created: 2022-12-24 09:22:45
updated: 2022-12-24 09:22:45
tags:
- Note/Article
这是一个许多人关注的问题,但也存在着太多的误区。本篇尝试从非常通俗的角度去讲述这个问题。
提醒:比喻都是蹩脚的,只是辅助理解,难免有所偏差。你杠就你对,你是大佬。
建立场景
你在某旅馆长租一间屋子,这个屋子你会视作私人区域,不希望别人进来,哪怕你不在这边的时候。而你自己过来和前台说一下约定好的暗号,他们就帮你把门打开。这个暗号就是密码。
你在世界各地都有这样长租的房间,就像你在很多网站都注册有账户一样。这就有了大量的密码,为了方便记忆,你都用了相同的密码。
这是不是很符合某些人的使用习惯?那接下来我们来研究这里面有哪些不安全。
安全隐患
自己
说梦话说出去了,自己写在小本本上被人看去了……很容易理解。
中途
跟前台说密码的时候被人偷听到了。
对方
前台并不在乎你的密码安全,就直接登记在 Excel 中,他离开的时候也不锁电脑。他在 U 盘里保存了一份,然后把 U 盘弄丢了。
简单
有个人知道你的名字,但不知道密码,于是猜猜看吧:123456,嘿,猜对了!或者一次没猜对,多试几次,比如生日啊,身份证号啊,电话号啊……
对策
- 密码强度高:密码不能太简单,要是非常复杂,比如这样别人才不容易猜到。
- 输入环境安全:和前台讲密码的时候要保证没人偷听,电脑上不乱装软件,不在不安全的环境下输入密码,比如别人的电脑。
你说,我看懂了前面的隐患,酒店方面不在意我的密码太可怕了,这完全不是我能控制的。这时候就得努力降低损失,不能别人知道了你的密码就可以打开你在各个酒店的房间,一下子所有隐私都没了,所以:
- 一站一码:在每个酒店设定的暗号都不相同。
懂了懂了!但是做不到。你看啊,要求密码很复杂,还各不相同,我记不住啊!那我得拿个小本子写下来,然后输入的时候照着抄,呜呜呜,复杂的密码真的不好抄,每次面对酒店前台照着本子一个字一个字念暗号太痛苦了。而且万一本子丢了就……
- 使用管理器:要是把密码放在保险柜里,就安全多了。如果这个保险柜还能快速找到需要的暗号并讲给前台,就更完美了。
一些解释
密码验证
直觉上,酒店保存好你们之间的暗号,然后你来了,讲暗号,他看看和保存的是否一样,一样就让你进去。但这样你会非常担心他没保管好密码,丢了之后后果很严重。
实际上,酒店应该加密存储。诶呀,这个怎么通俗解释呢。
明文存储
比如你的密码是一个苹果。酒店也保存一个苹果,见面都掏出苹果来一看,嘿,是同一种水果,行,密码验证通过,你进去吧。这叫做明文保存,是啥就是啥嘛。
加密存储
你的密码是一个苹果,酒店也保存一个苹果太危险了。所以规定了一个加工工序:不管你的密码是什么,一律捣碎做成酱,然后看味道一样不一样。所以酒店保存的是一罐苹果酱,你来了把你的密码也做成酱,前台用手指分别蘸了尝尝味道,一样!你进去吧。这叫加密存储。而且是不可逆加密,就是从苹果可以变成苹果酱,但是没法从苹果酱还原出苹果。
加盐
上面的方法虽然不可以还原,但还是可以从经验判断,毕竟苹果酱和橘子酱直接看看也能发现明显的不同。所以酒店决定改良工艺……不管你的密码是什么,一律捣碎做酱,同时加入大量没有味道的可食用黑色色素。诶,这就没法轻易区分了。这种掺入其他东西再加密的方法叫做“加盐”。
二次验证
诶呀,好复杂,好麻烦,但是酒店怎么保护和存储密码他也不公开,还是没法信任。酒店说,哎呀,我很努力了,但是用户有没有泄露密码我也不知道,用户的东西还挺贵重的,我得用心保管……这怎么办呢?
你报出来正确的暗号还不行,酒店前台还要给你手机上发一个随机的暗号,你再说出来才能证明你是你。
动态密码嘛,大家都熟悉的。
静态密码证明你确实知道密码(有权限进入),动态密码证明你确实是那个应该知道密码的人(你是你)。
这个方法虽然麻烦,但确实明显的提升了安全度,所以应该尽量开启。
你说有的不是发短信,他给了我一个 U 盘,插上就能验证了。诶,你理解成古代的把玉佩一摔两半,各执半边。
还有的是给了个可以显示数字的小东西,每次输入上面的数字。就是他掏出一块表,随便拧一个时间,然后给你一块和他那个相同时间的表。这两块表时间是一样的,但不是标准时间。回头你报出你手里的时间,他看看怀里的表,对的上。别人可不知道你们这表和标准时间偏差多少。
……
密码管理器
就是个保险柜。
密码很复杂,你自己记不住,写下来,放保险柜里。现在你不用担心自己说梦话说出去了。
你只要记住一个密码,就是保险柜的密码就好了。
诶,你说那我要是说梦话把保险柜的密码说出去怎么办呢?是个问题,密码和保险柜要分开,保证密码复杂速度,密码要经常更换。这已经是唯一的弱点了,还好还好。
而一个误区是:好多人在纠结,哎呀,这个保险柜放在银行啥的会不会不安全(密码管理器的数据放在云端、网盘会不会不安全)。
保险柜就是别人无法轻易打开的东东,你觉得对方会对一个不知道里面有多高价值的保险柜大费手脚么?
相对的安全
如果有一个非常厉害的品鉴师,可以通过加了大量黑色素的苹果酱猜出密码的本体是个苹果怎么办?
如果对方就是铁了心的要撬开你的保险柜怎么办?
这些可能都是有的,但都是小概率事件,因为显然投入产出比很不划算,花几十年培养一个品鉴师,就为了偷走你藏起来的三块六毛钱的私房钱?从青壮年开始用锤子铁钎敲打,一直坚持到白发斑斑,就为了打开你的保险柜,说不定你里面只放了一首年轻时青涩的诗?
相比之下,其他细节的危险更高,所以我们应该优先把那些问题解决好。而现在的加密手段,用现在的计算机进行破解,需要的时间都要到地老天荒。
当然,这些都是建立在培养一个品鉴师需要的时间足够长,打开一个保险柜需要的时间足够长,长到让这件事情变得没有意义的基础上。
如果未来造出了能快速品鉴的机器,或者快速打开保险柜的设备,那就是另外的问题了。所以安全是相对的。
那怎么办呀?再说一遍:这些危机还很远,而其他细节上的风险就在眼前,我们应该先担忧哪一个呢?
最有趣儿的是——好些担心这担心那的朋友,竟连保险柜都没用。
密码管理器的选择
大牌子,用的人多的。比如:
- 1Password
- Lastpass
- Keepass
- Enpass
- Bitwarden
这样更安全一些,更稳定一些,遇到问题可以问的人更多一些。
要注意:
- 数据支持导入导出,否则以后想更换很麻烦
- 妥善保管好自己的主密码,这个丢了什么都白扯了,自己的保险柜自己都打不开了。
关于收费,看自己喜好,如果追求免费,用 Keepass 系列的工具就好,或者现在也有一些自搭建方案。但是别因为想要免费而用某些非常小众的工具。
关于云端存储,基本不用担心安全问题,但是要仔细研究自己能不能轻松拿回自己的数据(导出成通用格式),可别数据放在他那里他就不给你了。
如果你看懂了,那,请小老鼠喝杯咖啡好不好呢?老鼠爱发电