你的密码有多重要?
随着互联网的发展及普及,企业将使用者的信息存储在互联网的系统内,由于系统是由人编写的,人都会犯错,所以系统会有许多漏洞,同时由于企业的道德底线不同,导致你存在系统内的数据容易遭到无意或有益的泄露,其中除了个人隐私数据外,最重要的就是个人密码,因为历史因素,很多信息系统使用明文或MD5这种易受破解的密码存储方式。为了方便记忆,人都会倾向于使用相同的用户名及密码注册多个不同的系统,稍有安全意识的小伙伴会对不同类型的系统使用不同的密码,比如所有的网银使用一个密码,所有邮箱使用一个密码,而由于密码记忆的难度,很少有人针对不同网站使用不同密码。同时人又倾向于使用简单密码,其中包括但不限于123456,生日,1qaz2wsx等这种存在严重漏洞的密码,虽然有的网站要求大小写数字字符混合,但很多人仍然使用“P@ssw0rd”这种符合密码复杂度的弱口令。密码一旦由一个系统泄露,黑客就会使用撞库等手段来使用相同的用户名密码尝试登录其他系统,造成个人信息泄露甚至导致金钱上的损失。为了避免出现这种情况,越来越多的企业使用带盐的强哈希算法来保护用户的密码,同时为了避免密码泄露造成的恶劣影响,网站采用二次认证来保护用户在密码泄露的情况下账户不被恶意登录。虽然网站建设者已经为我们做了这么多,但我们自己仍有义务来保护好自己的密码,有几点需要做到:
- 不同应用系统账户使用不同密码
- 使用随机生成的高强度密码,而非有特征的密码
- 在支持二次认证的网站上开启OTP(One Time Password)或fido2等双因素认证
我该怎么做?
想要做到上述几点并不容易,首当其中的问题是,密码记在哪。市面上现在有许多密码管理器,支持的特性也各不相同,有各自的优缺点,但主要分为两大类,基于文件保存的密码库:Keepass及其各类衍生软件,这类软件最大的问题是,密码无法多端保存,仅提供本地保存,同步密码困难。另一类则是在线密码库:以1password及bitwarden为首的密码保存站点,这类网站的局限性是,就算再怎么安全,你的密码还是被传送到了第三方,虽然这类网站有足够的安全手段来确保你的密码库不被恶意利用,但如果使用旁路攻击或网站有意偷窃你的密码,这应该不是困难。P.S.很多人说我在夸大其词,但你想想,js投毒,修改网页源码导致主密码和库加密密码泄露真的不可能吗?同时这些网站还有个最重要的因素就是,它们收费!年费虽然不贵,但你不交钱就不让用啦!同样的,很多单位和个人不希望将密码保存在第三方机构中,而自建又对基础设施的要求较高。上述的这些密码管理软件都需要在手机或PC环境下运行,而部分复杂环境无法使用软件的场景中,只能通过肉眼识别密码后输入,容易产生错误,甚至锁定账号。
那怎么办?
根据上述要求,所以我们需要一个支持以下特性的密码保存载体:
- 需要支持更安全的在线同步
- 不收年费
- 安全离线保存
- 在支持键盘的任意环境下一键输入密码
所以,一个随身的硬件密码保存器就比较重要了,它需要支持以下功能:
- 通过蓝牙与手机进行交互,编辑需要保存的信息。
- 通过蓝牙/usb将加密后的密码库传送至远端存储,且仅密码仅在本地进行解密。
- 仅收取硬件费用,在线保存免费。
- 支持使用usb连接设备,使用PC管理密码,且支持模拟硬件键盘输入密码。
- 均需要用户在设备上按下特定的按键后解密密码并通过硬件键盘或数据通道传送出去。
- 即使设备丢失,用户密码也不会泄露。
而我们要做的就是这样一个设备:P-vault!详细的实现请参考下一篇文章。