保管和使用密碼的正確方式

發現最近很多人收到了一個email。看樣子是某個網站的用戶資料庫被盜了。這件事來看，這個網站的用戶數據還可能是沒有加密的。不然其實就是拿到了整個資料庫，要還原密碼也不是太容易。

這就是涉及到一個簡單的問題，如何正確的保管和使用你的賬戶密碼？

我接下來要說的，其實不是一個IT的新概念，有興趣的可以自行放狗何謂privilege account security（PAS)。 這概念從千禧年前就有了，也催生了好些上市公司。詳細的技術細節我就不講了。不是本文關鍵。我要說的是從PAS裡面剝離出來的，最核心的部分：如何保管和使用密碼。

第一部分我想說說問題，不知道問題所在很難解決問題。

首先，現在一般人會有多少個上網賬戶呢？ 你幫襯的每個金融機構會有一個。各種購物網站，保險，各種論壇社交....

保守估計每人有30個賬戶左右是正常的。如果是精買高手有4-50個不稀奇。 常用的至少10多個。那多賬戶怎麼管理？密碼怎麼設置？

一般人有幾個方法：

1 一個密碼走天下。自不然說風險多大。無論密碼多複雜。因為每個網站都用，那麼安保最弱的那個網站出事你就好像內褲都沒穿一樣了。

2 分等級，大概3-5個密碼。因應網站所保留的個人信息敏感程度而決定使用那個。這個要風險要低一點，只是呢，有你敏感信息的其中一個網站可以是被攻破的那個。

3 組合式。比如一個序列加網站名字。這個也不錯，但是如果有心不難看出來。而且也會遇到不同網站密碼長度限制不一，要求複雜程度不一的問題。比如有的特殊字元有的是不允許的。

4 每個網站都不同，超複雜，抄在紙張上。您還別說，這個只要那張紙不丟，這個方法相當保險。但是易用性就很差了。

那要兼顧易用性和安保要怎麼做？

1 代理登錄，比較洋氣的說法叫saml. 一個密碼多個網站分享就等於你要信任這幾個網站都不會泄漏你的密碼。與其相信那麼多網站，還不如相信少一點。比如，現在有的網站支持SAML 登陸，背後技術我這裡不解釋。總之就等於你可以用你的google賬戶登入abc購物網站，abc購物網站並不直接保管你的賬戶和密碼，它是把驗證你身份的責任交給了google，google告訴它，對，這人通過我們驗證了。abc購物網站就允許你你登入了。這樣子你可以少幾個賬戶的密碼。我們的原則是，賬戶越少越好。

2 其實很多同學都提到了lastpass和1password。 這種賬戶保管軟體。其實就是它會記錄你在不同網站的賬戶，並且幫你隨機生成一個比較複雜的密碼。你可以不同的網站使用不同的密碼。你自己並不需要記得每個網站的密碼，你記得你的lastpass或者1password的管理者密碼，master key就夠了。當遇到你需要填入賬戶時，可以從這些軟體上提取密碼，甚至讓它們直接幫你注入密碼。

這樣子等於你從信任很多不同的網站，到信任lastpass或者1password中的一家就夠了。

網路上的網頁安保漏洞最大的缺點就是每個網站的安保程度良莠不齊。有的很好，有的很差。你的密碼通常都是從加密做的比較差的網站上丟掉了。而好像lastpass之類的網站，因為安保是它們的核心業務，所以通常都會投入很大的投資，定期會進行入侵測試，所以它們的安保程度比較高。

那作為面向個人用戶的賬戶保護軟體二者有什麼區別呢？

其實從嚴格的安保角度來說1password只把密碼加密後保存在本地，只有多設備同步時才上傳。而lastpass的賬戶一隻保存在它們的網路伺服器上，通過加密通道在不同設備間交換。前者要更保險一些。不過我要推薦的倒是lastpass。因為對於個人用戶來說，易用性太重要了。

lastpass的chrome插件可以很方便的檢測到你在輸入密碼，並且把密碼自動記錄在它的密碼庫裡面。並不需要特別花時間去把賬戶一一登記在lastpass上，用過你就知道這個onboarding的過程有多方便了。不知不覺之間就把幾十個密碼都存到lastpass裡面了。具體教程網路上很多，我就不具體寫了。真的不難學。你到時其實不需要知道你的密碼，你能登入到last pass就好了，它會幫你填寫密碼。也就是說，與其相信幾十個網站，你不如相信lastpass會好好保管你的密碼。

不過給了你利器，你還得注意使用方法。

1 你的master password非常重要，請保證它足夠複雜並且只在lastpass或者1password上面使用。

2 記得為你的lastpass或者1password 開啟2 factor authentication，就是雙重認證。就是所謂的密碼+通知。比如說你用密碼在一台主機上登入了你的lastpass賬戶，lastpass會向你已經登記的手機發送一個認證信息。只有該信息得到確認才會允許登陸。lastpass支持非常多的雙重認證方案，絕大部分免費，比如業界龍頭duo， 免費的微軟認證app，google 認證app。這樣子，人家不但要知道你的master key還需要拿到你的手機方可登入你的lastpass賬戶。

3 lastpass和1password在手機上都支持touch id。 touch id的安全性是商業級標準的，比密碼好多了，能開啟就開啟把。

4 首次使用lastpass的時候記得用它來把你的各個網站賬戶密碼改一遍。一定要保證沒有一個密碼是相同的。

5 還是必須要遵循賬戶越少越好的原則，如果有些網站，你只是使用一次。我會建議你去那些可以申請「一次性郵箱」的網站來申請一個臨時郵箱開通賬戶。用完即棄。如果一個網站可以允許你通過google賬戶通過saml機制登錄。你還是不要開設一個新的登錄賬戶了。

說完民用，略帶提提商用。不涉及技術細節。就給大家一個概念。

商業應用篇

這個就泛泛而談了，不涉及太多細節了。也不針對某一家的產品，而是很多產品的共性。

上面說的是低價甚至免費的解決方案。商業自然不可以這樣，澳大利亞基本大銀行都上了賬戶安保產品，世界500強至少300多用了。餘下的100多我沒有研究過。說不定也有。這些解決方案動不動就10萬過百萬乃至數百萬美金的價格。自然不能和免費軟體一樣。在整個網路安保的生態裡面，密碼保護只是其中的一個部分。畢竟你的網頁設計的很爛，人家不用密碼，直接可以注入式破解掉。那麼密碼保護也是沒用的。所以大公司，網路安保的複雜程度還有預算都是很厲害的。

一般來說商用會多了一些什麼功能呢？

1 一次性密碼，就是說在一些高度敏感的賬戶裡面，密碼都是用完一次就換掉的。

以前一個管理員在不同的系統下，隨時擁有10幾個高許可權賬戶。當人離開了公司，經常這些高許可權賬戶都不能得到有效的處理。江湖傳說有人心血來潮，離職以後10個月試試自己的管理賬戶，還能登入勞動局的網路....

現在有了一次性密碼系統，系統管理員自己也不知道密碼是什麼。所以在賬戶安全管理上可以說進了一大步。

2 全程監控。基本上整個登陸過程都被監控了。所以命令都會被記錄下來。

舉個例子把，你要通過密碼管理軟體去登錄微軟的雲管理賬戶。以前是你直接登錄。現在是你必須先登錄到密碼管理軟體，密碼管理軟體幫你把密碼和用戶名注入到azure portal，你自己連密碼是什麼都不知道。你的所有操作都被監控。隨時發現異常可以馬上斷掉鏈接。

3 智能分析，上面說到了命令了都會被記錄, 誰，從那個地方登陸登陸，幹了些什麼一清二楚。記錄下來的數據會送到SIEM系統, 進行安保分析。注意這裡的SIEM是另外一套系統，又是花錢的地方了。

4 定期輪換裡面，類似一次性密碼，不過沒有那麼誇張，就是按照規定定期自動更換一遍。

5 更加強大的 密碼庫。 密碼管理軟體的核心是密碼庫。到了商用領域，密碼庫伺服器要強很多了。基本上不用的埠和服務全部堵上了。也不放在domain裡面。只有特定的密碼管理軟體可以進行存儲。

6 流程管理。以前系統管理員基本上是有最高許可權。現在不行了，要幹什麼，什麼時候干要想上級批准。生成一個ticket, 只有持有這個ticket才能在規定時間和對象內使用真箇密碼。用完了以後。 這裡會涉及到和serviceNow之類的ticket管理系統的融合。 如果啟用了一次性密碼會馬上更換。

7 DR 和HA , LB 這概念在IT領域就很普遍了。做IT 接觸到硬體的都懂，我就不解釋了。

8 終極master key恢復功能。對於一個公司來說，既然密碼庫那麼重要。一旦丟了管理密碼問題就很大。所以商業系統一般會有一個終結賬戶，再配合一個複雜的演算法來重製恢復最高許可權賬戶master賬戶的密碼。一般這個演算法是高度機密，而master賬戶平時也是不被使用，這套機制不到萬不得已不啟動。而個人軟體一般就沒有這個功能了。

9...不斷進化中，除了以上這些普遍的功能，各家還會有自己特色，每過幾年又會多一些新功能。而且就算你學會了整個密碼管理軟體的每一個細節，這也不過是網路安保的一個部件。我就從來沒有看到人可以收集器滅霸的5個寶石，把網路安保的每一個領域都精通...

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！