信息化服务指南,厦大学子看这里
你是否拥有一种“瞬间遗忘”的能力特别是到了输入密码的时候经常会碰到下面这些问题
??????????
这些看起来习以为常的事情
经常让人为之抓狂
密码太复杂,会导致很不方便
密码不够复杂,又导致不安全
……不少小伙伴会把密码记在备忘录里但是!如果遇到手机重置或者备忘录丢失那简直就是“人间惨案”!
不过,如果你拥有这个神器
说不定能帮你解决一些问题
为什么要使用一个密码管理工具?
根据一项统计,一般人平均至少有100个密码,大量的密码导致很多人会对密码进行重用,也就是多个系统会使用同一个密码,这会带来撞库等风险。对于密码的管理,一般我们会推荐使用密码管理工具。使用密码管理工具遇到最大的挑战是,你是否要用一个密码来管理所有密码?如果一个密码泄露后,是否会导致所有密码泄露?
从以下方面打消你的疑虑:
1. 使用一个密码来管理所有密码比所有密码都一样或者使用同一个规则生成安全。2. 能被记忆的密码一定是不安全的。在于两个方面,一是人可以记住,说明这个密码不是随机的。二是记忆不可靠,失忆、太久未输入或者舌尖现象(英语:Tip of the tongue,或者 TOT,也是常说的“话在嘴边”,是一种不能从记忆中回忆词语的现象,时常伴有部分回忆,但又焦急说不出的情况。)都可能导致你忘记密码。3. 将密码使用一个管理工具来管理后,安全可以统一做。你可以对密码进行分级,分库存储,阅读报告检查弱密码和密码使用记录,使用双因素认证,加入硬件级别的安全等等。4. 很多时候你已经在使用一个密码管理所有密码了,只不过你没有意识到而且都使用得很不安全。比如你将密码保存在浏览器,比如你通过手机验证码登录,比如你通过手机指纹登录各类App等等。
所以,这里推荐一款密码管理工具来管理你的所有密码,包括KeePass、1Password、LastPass、Bitwarden、https://www.passwordstore.org/等等。
KeePass带来的安全性包括,开源,AES256、Twofish算法加密,运行时内存保护(注意的是,在任何环境下,内存对超级用户总是可见的,如果休眠后,内存也会被转储到文件。),主密码输入框有防止键盘记录器功能,自动输入支持混淆输入,剪贴板保护,私钥管理,OTP功能等等。
单纯使用一个密码管理工具来管理密码不会让你的密码变得更加安全,密码的安全一定是在特定的场景里讨论的,并且依赖个人整体的信息安全素养的提高。比如你使用了KeePass后,因为不安全的网络环境,更新或者终端被物理控制导致KeePass.EXE文件被替换,并向云服务提交所有密码,或者被钓鱼,或者本机被安装软件或者硬件按键记录工具导致主密码泄露。
密码分类分级:
在对你所有密码进行梳理之时,你首先应当对密码进行分类分级,资产梳理从来都是安全的第一步。分类可以从以下几个方面来:1. 工作和生活分开。工作的密码,你可能需要随时共享给A/B角。2. 高价值和低价值分开。比如支付类的密码和论坛类的密码分开。3. 常用和不常用分开。因为使用密码时需要打开密码数据库,分开可减少不常用密码的打开次数。对密码分完类后,你可以自定义多套密码文件,甚至使用多个密码管理软件,或者混合记忆与密码管理工具使用。你也可以对密码管理工具保存的密码使用一些规则替换以隐藏真正密码。
Tip:你一定要假定你的密码或者密码数据库有一天会泄露,提前考虑泄露会造成的风险,减低泄露的损失。
KeePass PC端使用指南
第一步:下载KeePass软件并安装
Tip:请从官方网站下载,请勿贪图方便从任何个人、朋友、同事、管理员处获得该软件。
打开KeePass官网,https://keepass.info ,找到最新版本并下载。默认安装,建议勾选创建桌面快捷方式选项,如下图。
首次打开软件会提示是否打开自动更新检查。
Tip:建议打开自动更新检查。KeePass不会自动更新,自动更新会带来文件被替换风险,更新太频繁也会导致一旦KeePass官方被攻击,可能攻击会很快波及到你。如果不需要自动更新检查,你甚至可以在防火墙的“出站规则”取消KeePass的联网权限。请定期手动更新。
第二步:设置软件显示中文界面
Tip:为防止安装太多程序导致的风险,可以直接使用英文界面,如果确实有必要,可按如下操作设置成中文界面。
重新回到选择语言界面,选择要更换的语言,Chinese_Simplified ,即可。
第三步:创建数据库
Tip:经过加密的密码数据库可以安全共享在网盘类系统内,甚至可以发给任何人,即使有人拿到你的密码数据库,几年之内也是无法破解的。但是由于所有密码都无法经受时间攻击,并且因为没有前向安全,一旦你主密码泄露,恶意用户还是可以解密以往的密码数据库。所以应当尽量减少密码文件在互联网传输。
Tip:按照前面介绍的密码分类分级创建多个密码数据库。
Tip:密码文件命名尽量不使用“密码”等命名,后缀名也可不使用kdbx,以免被恶意用户快速定位。
Tip:这个主密码(管理密码)非常的重要,一定要设置一个足够复杂且不会忘记的密码。一旦忘记了你的主密码,则你将失去所有密码。请确保你的密码取回机制有效。
不同于其他密码管理软件,KeePass还支持使用密钥文件来加密,密钥文件可以是任何一个文件,比如一张图片、一份文档或一个软件,都可以作为开启数据库的密钥来使用。
可勾选上图【显示高级选项】,勾选高级选项里面的【密钥文件/提供器】来进行设置。
第四步:添加密码
标题栏输入网站的名称,然后输入用户名、密码、网址。如果输入的是已有的密码,可以将密码输入后保存。重新打开这条记录后,可以利用软件生成一个新的更加复杂的密码后保存。当然记得要在网站上将密码修改为最新的密码。这样的话,就会在这条记录的历史标签中就会自动记录每一次的更改历史。
Tip:因为你需要在浏览器自动填写密码,所以一定要确保网址准确,确保标题易于识别。
我们还可以设置密码的过期时间,这可以提醒我们去定期修改网站的密码。
Tip:随机密码是个好主意,但是为了防止输入或者在手机端输入的麻烦,尽量减少l、L、1、o、0、O等易混淆字符,尽量避免需要多次切换手机输入法的中英文、标点符号、数字。
第五步:安全设置
1. 导航【工具】-【选项】,切换到【安全】选项进行设置 。以下是推荐的【安全】设置:
2. 导航【文件】-【数据库设置】,切换到【高级】选项进行设置 。以下是推荐的【高级】设置:
3. 请经常检查相同密码、相似密码对、相似密码结合、密码的质量并进行维护加强。相同密码、相似密码对、相似密码可以通过导航【查找】查看。
第六步:账号密码自动输入
当要在一个网站上输入账号和密码时,先打开登录页,之后切换到KeePass上,搜索并选中相应的记录后,按Ctrl V,或者点【执行自动输入】或者右键选择【执行自动输入】选项,软件就会自动切换到网页上并输入用户名和密码后进行登录操作,也可以单独右键选择复制用户名和复制密码。
第七步:数据库备份
请定期通过手动或是自动的方式将数据库再次加密(ZIP加密)后备份到其它物理存储设备(本地硬盘、U盘等)。
其它说明
KeePass还支持浏览器自动代填入密码(可以更少受到钓鱼网站的攻击),同时KeePass还支持在手机端使用。因为本文篇幅原因,暂时不做介绍,大家可以先自行学习。
今天的干货分享到此结束心动不如行动小伙伴们快试试叭
审核:郑海山
END
厦门大学信网中心出品
