你所在的位置: 首页 > 正文

一次解决 5 个痛点,一套免费且科学的密码管理方案

2019-07-22 点击:945

#爱否精选#

免费,易用且安全。美中不足的是,生成密码的步骤并没有完全集成到其他人开发的软件中,但FantasyPass计划实现JS扩展,这对我自己的使用来说非常令人满意。

该内容已被授权从“少数民族”转载;它由Aibo Technology选中。

作者/正弦定理

来源|少数

今天我想谈谈我使用的一套密码管理解决方案,我认为它更安全,更容易使用。

回想一下,大多数人的密码管理策略可能包含以下内容:

纯脑记忆所有密码:毫无疑问这样的解决方案非常痛苦,这种情况在父母或祖父母中很常见,他们不经常使用互联网服务;

几乎使用一组密码来注册所有网站:基本上遇到密码泄漏事件,与库冲突,风险最高;

几个级别的密码用于注册所有网站:它也是我最后一次使用的策略。虽然第二种情况的风险得到缓解,但仍有一些危险;

使用记忆因子,实时大脑计算出正确的密码:当我和朋友去ATM取钱时,我将花10多分钟与他一起计算密码并取出现金;

使用流行的密码管理工具,如1Password,LastPass,Keychain等:太昂贵,或受平台限制,并且没有密码的存储权限。

本文试图解决的是现有的难点。今天,在2019年,我仍然强烈建议您尝试这种密码管理策略。

首先要解决的第一个痛点是密码安全问题。我正在寻找的解决方案是鲜花秘密,引用官方口号:

不同的密码管理工具:令人难忘,非存储,更安全的跨平台应用支持:桌面版,移动版,易于使用,无需存储密码:计算最终密码,无存储过程,更安全。

它的工作方式如下:输入“内存密码+区分代码”,然后通过特定的哈希算法获取“最终密码”。 Hash算法体由多个MD5算法混淆,重复概率极低,具有不可逆推导的特征。由于不同的网站使用不同的密码,安全性大大提高。

然而,花本身有一定的缺陷。首先,它的网络版工具不做移动端改编,我不想在每个平台上安装更多软件来实现这个小功能。其次,其密码输出数字强制为16位,仅包含英文字母和数字,并且经常超出网站的密码限制,评估的密码强度只能是中等。

因此,我决定编写一个小工具来改善这些问题。灵感来自花,我实施的工具是细致的,在Github开源,再次感谢秘密的想法。

该工具的总体思路如下:

第一部分基本上是重新雕刻花卉的想法,这里不再重复;

在第二部分中,我添加了特殊字符来混淆,基本上密码的强度可以达到很强的水平;

在第三部分中,我将密码长度默认为10,并且我不会遇到密码长度限制为10的网站;

在第四部分中,考虑到对某些网站密码内容的限制,我添加了删除添加特殊字符的选项。还实现了单击复制密码,但由于缩小了大小和不同的浏览器功能,并且没有弹出功能,复制功能也很成功。

因此该工具具有以下功能:

完全开源

移动改编

高强度密码

更友好的密码长度

这只是一个小网页,在Github页面上运行,使用纯本地端计算,不涉及与服务器的交互,因此保证了密码安全性和开源。网站链接:

附:如果您还在编程,则可以对其进行自定义以自定义安全策略。普通用户直接使用此页面没有任何问题。

顺便提一下,提醒一下“记忆密码”和“差异化代码”不一定是常数。内存密码仍然非常推荐使用级别策略来记住,简单的2-3级我认为已经足够了,毕竟安全性已经大大提高,这意味着你只需要记住2-3个短密码。根据您自己的喜好,区分代码实际上可以根据网站的第一反应记忆,如昵称,昵称,域名,拼音缩写等。

这个页面实际上解决了可移植性的痛点。我不知道你是否有这样的痛苦。当您临时访问新计算机并希望登录帐户时,由于复杂的强密码完全无法识别,您必须重新安装密码管理软件才能同步,或者使用手机在查看后手动输入密码,体验本身并不友好。由于它只是一个网页,因此可以通过将其保存为浏览器书签来快速保存,或者您可以通过直接在新计算机上键入来获取最终密码。

RVSM42P24cnYC7

密码的安全性得到改善,下一个要解决的问题是所有权问题。

无论是笔记还是其他东西,我都希望我的数据掌握在我手中。让我来讨论一些极端情况:

当我发疯的时候,我删除了整个软件仓库。如果你不记得算法的流程怎么办?

Github服务在哪一天被阻止或关闭?你不知道我将在哪里部署新网站。

当1Password/LastPass和其他服务失败并且您的高强度密码丢失时会发生什么?

在不使用Apple硬件的情况下更改通用平台时,如何导出存储在Keychain中的密码?

虽然这些情况更难以实现,但我仍然会考虑这些情况。

我使用的密码管理软件是KeePass。我首先引用其官方介绍:

“KeePass是一个开源密码管理器。您可以将密码存储在数据库中,并使用主密码或密钥文件(或一起)对其进行加密,并使用锁来理解它们。今天使用数据库。了解最安全的加密算法AES和Twofish加密。“

首先,安全性是最好的算法加密,只记得记住一个主密码,所有主要密码管理员都需要用户记住主密码。

其次,所有权,所有密码都存储在数据库文件中,而这个文件完全由您自己掌控。

然后可持续的开源算法和软件,不用担心服务提供商倒塌,你总能找到一种从数据库文件中提取自己密码的方法。

还有多样性,KeePass不仅可以存储密码,还可以存储笔记和文件等。在这里抛出数字密码锁和路由器管理密码是非常实用的。我经常忘记它。

最后但并非最不重要的是,它是免费的。无论1Password还是LastPass,价格基本上是每月3刀,超过200年,作为密码数据存储服务提供商,风险不小,这个价格实际上是合理的。

下载KeePass的官方网站:通过逐步创建本地数据库,我个人建议使用主密码和密钥文件进行加密。强烈建议启用Windows用户帐户进行加密。然后你可以得到以下两个文件:

├──TassardDatabase.kdbx

└──DiaadDatabase.key

建议将主密码存储在大脑中或以纸质形式存储;建议密钥文件存储多个副本,其中至少有一个副本位于移动磁盘上。

但是,与1Password/LastPass提供的多平台密码同步不同,KeePass只是一种算法/软件,不包括云服务。但这显然只是需要,所以我找到的解决方案是WebDAV,并且约定引用了它的官方描述:

Web分布式创作和版本控制(WebDAV)是超文本传输协议(HTTP)的扩展,允许客户端执行远程Web内容创作操作。 WebDAV由RFC 4918由Internet工程任务组的工作组定义。

简而言之,WebDAV只是一种扩展的HTTP协议,允许客户端授权和远程访问和修改服务器的内容。这正是我们所需要的。

在2019年的主要网络磁盘服务提供商中,只有NutCloud和Dropbox支持WebDAV协议。由于众所周知的原因,本文仅讨论前者。

Nut Cloud的官方网站是:注册并登录后,按照以下步骤添加授权的应用程序密码。

RVSM42oHCVFAOm

然后创建您喜欢的路径并将刚刚获得的两个文件上传到坚果云。可以自定义文件路径和文件名。

RVSM433IWz6VcG

顺便说一句,Nut Cloud的免费版本每个月限制上传和下载流量,如图像的左下角所示,但如果你看看我的实际数据库大小,它只有几kb(当然,如果你想当我没说时,使用KeePass存储大文件,所以我不认为流量完全令人担忧,并且因为服务器在中国不受限制并且可以运行全带宽,所以它作为一个普通的云也不错存储。

如果您只保证安全并且不考虑方便使用,我认为这也是一件非常痛苦的事情。所以本章的内容是如何提高易用性。

引入WebDAV的原因是我们希望我们的数据库存储在云中。我们可以随时通过客户端访问和添加新密码,但可以通过多个平台进行同步。

在Windows下使用官方客户端是一个不错的选择。您需要注意以下参数:

URL:此URL基于Nut Cloud提供的服务器地址+存储数据库的相对路径。您可以通过比较上面的两张图片找到规则。

用户名:是上图中的帐号

密码:请注意,这不是您登录Nut Cloud的密码,而是上述密码中的密码。

记住:这是你的偏好。我选择在我最喜欢的电脑上记住它,所以每次打开它时我都需要输入主密码。

主密码:根据您自己的密码填写。

密钥文件:保存本地密钥文件路径

填写这5个参数后,可以直接打开远程数据库。记得在每次编辑后保存它,它将同步到远程数据库

RVSM43J2Q8hIAc

介绍链接:支持Chrome和Firefox,也支持WebDAV,非常好(? - ?),但我没有必要在没有截图的情况下使用它。

好的,让我们来看看这个的重点!我在官方推荐下载列表中尝试过多个iOS平台上的客户端,并且它们都不支持WebDAV协议,这意味着我无法在两个方向上与远程数据库同步。然而,在2019年,我很幸运在V2EX上找到了一个新的应用程序FantasyPass。首先,我还引用了官方介绍:

适用于KeePass的功能强大且方便的iOS客户端。用户界面和平滑动画介绍,支持多个密码文件,自动填充,附件添加和查看,JS自定义,常见通知栏插件和自定义键盘。让一切都尽可能美妙!

这个应用程序也应该在2019年在线,我被认为是早期用户,加入官方QQ小组讨论。开发人员是在业余时间独立开发的应用程序,他还积极倾听用户的各种反馈。由于它是在业余时间独立开发的,包括官方网站在内的各种东西仍在建设中,因此引言略有不足。

但是没关系,让我总结一些可用的最佳功能:

漂亮的UI设计,适合刘海平和2018 iPad Pro,常用网站图标支持

同步多个云平台,包括但不限于WebDAV,iCloud,OneDrive,Dropbox,Google Drive

支持iOS 12的自动填充功能

支持FaceID和TouchID

支持附件预览

支持备份联系人

我认为,上述每个功能都优于官方下载页面上推荐的iOS客户端miniKeePass。作为日常稳定的应用程序,完全没有问题。只要您了解上述五个参数,那么使用此应用程序不会遇到任何问题,也不会详述。

RVSM43Z75SYDsL

目前,App Store的价格为12元一次性买断。我认为这款应用仍然非常值得。

但是,仅仅执行上述步骤是不够的,还要考虑上述服务同时被挂起的情况。

灾难恢复解决方案实际上非常简单,只需绑定您的重要网站和您的公共邮箱和手机号码即可。它应该与双因素身份验证一起使用。如果有必要,它们是你的最后一道防线。

以上是我目前使用的密码管理解决方案,免费,易用且安全。美中不足的是,生成密码的步骤并没有完全集成到其他人开发的软件中,但FantasyPass计划实现JS扩展,这对我自己的使用来说非常令人满意。

在2019年,为什么不尝试更新您的密码管理策略?

R6UrZYTF5KaJRT

日期归档
楚汉新闻 版权所有© www.airkatknives.com 技术支持:楚汉新闻 | 网站地图