密码管理软件
在深入了解我们是否需要使用密码管理软件时,可以先问问自己:
- 密码管理软件解决了我们哪些问题?
- 付出了什么代价?
- 是否合理,是否有使用的价值?
- 如何选择?
优点
- 独立密码: 自动生成的密码都是独立的,一个账户的密码被盗不会影响其他账户。
- 高强度: 自动生成的密码通常具有高强度,难以被破解。
- 隐私追踪: 如果用户资料也可以自动生成,更容易追踪哪家公司的安全出现问题。
- 便捷性: 一旦设置好,这些工具可以自动填充你的用户名和密码,大大提高了使用各种在线服务的便捷性。
- 安全更新: 如果某个网站的安全性受到威胁,你可以很容易地只更改那个网站的密码,而不影响其他服务。
- 多平台同步: 大多数密码管理工具都支持多平台使用,你可以在手机、电脑、平板等设备上同步你的密码。
- 安全性评估: 提供密码强度和泄露风险的定期检查。
- 一键更改: 部分工具支持一键更改多个网站的密码。PS:听说可以,但我没找到可以用的。
缺点
- 访问限制: 如果没有密码管理工具,你将无法访问自己的账户。因为你不会记得随机生成的密码。此时需要下载或登陆工具所在的网页,去查看自己的账户名和密码。
- 存储安全性: 不同工具的存储安全性不同,不一定都使用端到端加密。以保证你资料的安全性。
- 成本: 高级功能可能需要付费。
- 学习曲线: 初次使用可能有一定的复杂性。
- 软件漏洞: 工具自身也可能存在安全风险。
- 依赖性: 过度依赖可能导致在没有工具的情况下感到无助。
对照上面“密码管理软件的优缺点”,我们提取一下精华:
在安全性方面,有两个主要优势:
- 不会一个密码暴露则暴露全部。
- 会帮你做安全检查,提醒你可疑的活动。
在便捷性上,其明显特点是:
不需要手动输入和保存账户密码信息,软件自动帮你完成。自行记录不断增长的每个服务对应的用户名和密码是不现实的。所以我们之前用同一个账户和密码替代。
而它的同步功能。这不是应该有的嘛?不能同步,不能导入导出到不同竞争软件让你自由切换。那就是反过来故意为难用户,大公司的垄断和傲慢都喜欢这样。
接下来,我们深入探讨一下使用密码管理软件所需的代价。
代价1:
无论是手机还是电脑,每一个使用环境都需要安装和配置这款工具。初始的安装和设置确实需要一些时间。
但权衡一下,想想每次手动输入密码所浪费的时间,半年累计下来,这段时间远超过了学习和安装工具所需的时间。更何况,你可能会在各设备上使用这款工具长达2到3年。
代价2:
这款软件本身是否安全?
如果该软件出现安全漏洞,那么你所有的密码等于都被泄露了。还记得我们之前一起设置的最高级别密码规则备忘录吗?这无异于你的这个备忘录被泄露了。
但是这两者真的一样吗?
当然不,最高级别的备忘录保存在极为安全的环境下。密码级别非常高,因为使用的频率低,所以密码长一点也问题不大。
而密码管理软件可能需要在多种设备,甚至在非安全的环境下使用。例如,在网吧快速查询某网站密码时,你可能需要先登录密码管理软件,此刻,密码的安全性便面临威胁。
此外,为了确保安全,你需要经常输入密码管理软件的认证密码。尽管可以设置PIN码简化这一步骤,但这无疑是用一定的安全性换取了便捷性。
最后,大部分现代的密码管理软件采用端对端加密技术。即使服务提供商的服务器被攻破或内部人员有不当行为,他们也无法查看你的密码。
但这也带来了一个挑战:一旦你忘记了管理密码,所有的密码都可能永久丢失。尽管许多公司提供了多种恢复方案,但这些方案总是在安全性和便捷性之间寻求平衡。
那密码管理软件到底值不值得使用?
在我看来,它非常有效地满足了我们对于第一级密码的各种需求。即使它可能带来某些安全性问题,但对于我们这个级别的密码来说,这些问题并不构成真正的威胁。而且,为了享受它带来的便捷性,我们所付出的一次性学习和使用成本是完全值得的。
因此,我的想法是,将其主要用于管理我们的第一级密码。而对于第二、第三级别的密码,这取决于你对隐私的重视程度。
如果你极度重视个人隐私,不希望被他人知晓或追踪,或者你在多个平台上都有大量的资产,每个平台上的资产都值上百万,那么使用密码管理软件可能只适用于第一级别的密码。
最后,选择哪款密码管理软件
现在主流的密码管理工具有:Bitwarden、1Password、LastPass、Proton,Microsoft authenticator等。还有浏览器自带的功能“Autofill 自动填充”也是完全够用的。下面是它们的对比表格:
表格对比:
| 功能/软件 | 1Password | LastPass | Bitwarden | Proton | 浏览器的自动填充 |
|---|---|---|---|---|---|
| 价格 | 付费/免费版 | 付费/免费版 | 付费/免费版 | 付费/免费版 | 免费 |
| 平台支持 | 多平台 | 多平台 | 多平台 | 多平台 | 仅浏览器 |
| 开源 | 否 | 否 | 是 | 是 | 否 |
| 端到端加密 | 是 | 是 | 是 | 是 | 通常没有 |
| 多因素认证 | 是 | 是 | 是 | 是 | 通常没有 |
| 一键登录 | 是 | 是 | 是 | 是 | 是 |
| 密码生成器 | 是 | 是 | 是 | 是 | 是 |
| 密码共享 | 是 | 是 | 是 | 是 | 否 |
| 自动填充 | 是 | 是 | 是 | 是 | 是 |
| 数据导入/导出 | 是 | 是 | 是 | 是 | 有限 |
| 安全审计 | 是 | 是 | 是 | 是 | 有限 |
| 离线访问 | 是 | 是 | 是 | 是 | 是 |
我的建议是:
1Password和LastPass的免费版基本上不够用。所以pass。不过1Password的广告实在多,反正我没钱,我也没试过。土豪可以随意尝试选择。
Bitwarden有个小特色,它不会出现在密码输入栏里,有很明显提示,引导你点击后自动填充。而它是使用快捷键来激活自动填充的。这一点增加了很多隐蔽性。
而它的付费功能是团队使用的,搭建服务器的。免费功能足够使用了。就算你扩展到团队需求,你也可以自建服务器,这也是免费的。所以对于那些特别重视隐私的用户,我会首先推荐Bitwarden。
而Proton的亮点在于它提供了一整套隐私保护工具,其内部生态系统间的合作更为紧密,能够同时提高安全性和便捷性。
至于浏览器的自动填充功能,对于我们的第一级密码管理已经足够,最大的优势在于无需额外安装任何软件。但是各个设备上都得使用这款浏览器,这也没什么,同款浏览器之间的同步,有很多便捷之处。所以这也是一个可选项。
推荐完了,具体怎么使用,网上一搜一堆。我就不讲了。如果大家实在有需求,点赞留言告诉我,我看要不要再专门出一期节目来说。又或者可以详细讲讲proton的整个隐私管理的生态。