密码管理器常识科普
密码管理器的作用是生成难以被暴力破解的强密码,并帮助保存管理。
为何密码管理器是必要的?
我们日常当中说的密码通常特指静态文本密码,虽然当前它的安全性备受质疑,但是暂时并没有更好的替代方案。作为用户而言,要做的就是让密码强度尽可能高。但是达到一定强度的密码难以记忆,也不便管理,密码管理便是为此而生。
什么样的密码是强密码?
密码强度的唯一决定性标准是随机性,也就是术语中的熵;长度确实是影响因素,但不是决定性的。
密码随机性量化标准也就是熵的位值,对应的密码强度如下表:
| 熵位值 | 密码强度 |
|---|---|
| 0-64 | 极弱 |
| 64-80 | 弱 |
| 80-112 | 中等 |
| 112-128 | 强 |
| ≥ 128 | 极强 |
我的密码足够强了,但是都放在密码管理器里安全吗?
在承认没有绝对安全的前提下,答案是肯定的。
所有主流密码管理器均使用 AES 加密算法,只要主密码不泄露,在目前或是可预见未来均无可行解法。
应当如何选择适合自己的密码管理器?
此处列出主流密码管理器的特性比较以供参考:
| LastPass | Enpass | 1Password | KeePass | BitWarden | Dashlane | Keeper | RoboForm | |
|---|---|---|---|---|---|---|---|---|
| 可免费使用 | ✔ | ✔ | ❌ | ✔ | ✔ | ✔ | ❌ | ✔ |
| 是否开源 | ❌ | ❌ | ❌ | ✔ | ✔ | ❌ | ❌ | ❌ |
| 免费云同步 | ✔ | ✔ | ❌ | ✔ | ✔ | ❌ | ❌ | ❌ |
| 全平台支持 | ✔ | ✔ | ❌ | ✔ | ❌ | ❌ | ✔ | ❌ |
| 二步验证 | ✔ | ✔ | ❌ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 导入导出 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 网页表单 | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 软件密码 | ✔ | ❌ | ✔ | ✔ | ❌ | ✔ | ✔ | ✔ |
| 测密码强度 | ✔ | ✔ | ❌ | ✔ | ✔ | ✔ | ✔ | ✔ |
| 私密分享 | ✔ | ✔ | ✔ | ❌ | ✔ | ✔ | ✔ | ✔ |
| 反键盘木马 | ❌ | ❌ | ❌ | ✔ | ❌ | ❌ | ❌ | ❌ |
补充细节:
LastPass
免费版包含除桌面版外所有客户端和云同步。付费版每年 12 美刀,包含桌面版、私密分享、文件附件等功能。
Enpass
所有桌面客户端免费,包含借助第三方服务的云同步,如 iCloud,Dropbox,Google Drive,OneDrive 等。移动版客户端为一次性买断制,每个设备 9.99 美刀。
1Password
必须付费才能使用,最低 35.88 美刀一年。具备某些独到特性,比如旅行模式(Travel Mode),当外出时擦出隐私数据,达到时恢复。
KeePass
特性最丰富的一款,完全免费。有不少独有功能(可能需要额外插件,但配置极为简单):
生成密钥文件替代手输主密码;直观的密码强度报告并寻找类似密码;添加新密码的同时估算强度;双通道混淆自动输入,预防键盘记录木马等。
可通过插件配合第三方服务完成同步;官方仅发布 Windows 桌面版,其它各平台(含浏览器扩展)为第三方版本。
BitWarden
开源密码管理器,内置免费便捷的云同步与二步验证支持。桌面版已经发布,适合轻度用户。
Dashlane
无限制任意客户端安装,可免费使用,无 Linux 支持。云同步、附件等功能需付费,一年 39.96 美刀。
Keeper
必须付费才能使用。最低一年 29.99 美刀,含任意条目数量、任意数量设备同步、历史恢复、私密分享等。
RoboForm
收费政策与 Dashlane 相同,无 Linux 支持,付费服务最低一年 19.95 美刀。
一些额外的帮助更安全地使用密码的建议
- 使用尽可能随机尽可能长的密码,避免不同账户共用密码
- 绝不泄露密码管理器主密码
- 定期修改密码
- 尽可能开启 2FA,即二步验证,这是密码泄露之后的最后一层保障
2020年11月21日 下午8:32 1F
BitWarden已经能完全满足我的使用了!