常用個人密碼管理軟體

http://www.williamlong.info/archives/3100.html

互連網現在已經完全融入到了我們的日常生活中了，一個普通人每天都會接觸到互連網，各個網路服務和軟體的登陸密碼對我們每個人來說都是非常重要的，如果密碼被盜其後果可想而知，月光部落格在《個人密碼安全性原則》一文中詳細介紹了網路使用者應該如何使用和配置自己的個人密碼，但這也帶來了一個記憶密碼的現實問題。

　　我在《個人密碼安全性原則》中指出，針對不同類型的網站，使用者應該使用不同的使用者名稱和不同的密碼，如果使用者訪問的網站數量非常大的話，需要記憶的密碼將會達到幾十甚至數百個，如何記憶和管理數十個不同的密碼，就要用到密碼管理軟體。

　　密碼管理軟體是專門用於管理帳號密碼的安全管理應用軟體，協助使用者記憶網頁和應用程式登入視窗的帳號密碼，支援帳號密碼自動填滿和一鍵登入，免除使用者記憶眾多密碼和手工輸入帳號密碼的繁瑣。

　　常用的密碼管理技術有很多種方法，下面我將一一介紹。

　　記事本類工具

　　密碼管理有很多種方式，最簡單的一種就是將密碼寫到某個記事本檔案裡，然後可以通過類似Dropbox這樣同步工具同步到多台電腦和行動裝置上，同理也可以放到Evernote等雲筆記本上，使用其內建的方法同步，這種密碼管理方法最簡單，也非常危險，因為密碼是明文儲存，一旦駭客入侵擷取了這份密碼檔案，或者膝上型電腦丟失，使用者都將失去所有的帳號密碼，風險很大。

　　瀏覽器內建密碼儲存

　　Chrome瀏覽器和Firefox瀏覽器自身就支援儲存密碼的同步功能，可以儲存登入過的使用者名稱和密碼，登入的時候只要選擇就好了，不用重新輸入。設定瀏覽器資料同步後，即使重裝過系統後，還是可以還原回原先儲存的密碼，不用每次都要手動輸入使用者名稱和密碼，使用起來非常方便，在易用性方面做的非常出色。

　　不過，Chrome和Firefox內建的密碼管理器相對較為簡單，如果駭客遠端控制或入侵了使用者電腦，就可以獲得純文字密碼，很不安全。雖然Firefox可以設定“主密碼”來防止查看純文字密碼，但設定“主密碼”後，錄入密碼的易用性卻大為降低。同時，對於同一個網站，瀏覽器只能記錄一個使用者名稱和密碼。

　　因此，對於瀏覽器儲存密碼來說，密碼保護的主要策略是防止使用者電腦被入侵攻擊。

　　線上密碼管理服務

　　線上密碼管理，就是將密碼放在雲端（伺服器端），這就解決了本地電腦安全性問題，密碼保護變成了針對密碼伺服器的保護。

　　最為著名的雲端密碼管理服務是LastPass，其支援Chrome、FireFox及IE等主流瀏覽器以及iPhone、Android和黑莓等行動裝置，支援Google身分識別驗證器（Google
Authenticator），支援將瀏覽器中現有帳號及密碼匯入到LastPass資料庫中。

　　在登入時，Lastpass的瀏覽器外掛程式會自動填寫登入所需的資訊並自動登入，支援針對同一個網站的不同使用者名稱的登入，使用非常方便。

　　Lastpass在相容性、易用性和安全性上都非常不錯，並且提供免費版本，唯一的問題是Lastpass網站本身的安全性如何，做為一個雲端線上密碼管理服務，Lastpass將密碼儲存在網上，密碼保護變成了針對Lastpass的密碼保護，如果Lastpass網站有漏洞，或者使用者的Lastpass密碼被攻破，Lastpass的密碼保護就會失效，使用者依舊可能失去所有的純文字密碼。

　　因此，對於使用者來說，強烈建議在Lastpass中綁定Google身分識別驗證器（Google Authenticator），綁定之後，即使使用者的Lastpass密碼被盜，沒有使用者的手機和密保信箱，駭客也無法登入Lastpass網站。

　　開源密碼管理軟體

　　線上密碼管理雖然看起來很酷，但很多人還是不放心，寧願將密碼放在本地儲存管理，目前也有一些常用的本地密碼管理軟體，其中最知名的就是KeePass這個開源密碼保護軟體。

　　KeePass採用本機資料庫的方式對密碼進行管理，軟體對密碼資料庫採用256位AES演算法加密，理論上破解難度極大。這樣，即使電腦丟失或駭客入侵導緻密碼資料庫被竊取，駭客也很難從中解密出明文帳號密碼資訊。

　　KeePass是開源軟體，綠色無需安裝，支援功能很多，包括匯入匯出、第三方外掛程式以及中文介面等等，通過ChromeIPass和KeePassHttp兩個外掛程式，可以實現Chrome瀏覽器填入KeePass資料庫密碼的功能。

　　KeePass不能直接匯入Chrome瀏覽器的密碼，需要先使用ChromePass這個軟體先將Chrome密碼匯出為CSV格式，然後再從KeePass中匯入CSV檔案。

　　除了免費開源軟體之外，還有一些付費商業密碼管理軟體，例如1Password、RoboForm等，這些商業軟體提供30天免費試用，超過時間期限後就需要付費購買。

　　總結

　　對於大量帳號密碼的管理，肯定是需要一個密碼管理軟體，從跨平台以及易用性上看，Lastpass做為專業的帳號密碼管理軟體，使用簡單，方便安全，相對其它幾款軟體有很大的可用性以及實用性。但Lastpass的主要缺點是，使用者必須要信任Lastpass的安全性，而網路攻擊可能會主要針對雲端的Lastpass，而一旦Lastpass網站被攻破，則使用者密碼就存在外泄的可能。KeePass做為本地密碼管理非常強大，但易用性相對較差，瀏覽器自身的密碼儲存易用性很好，但安全性很差。

　　總的來看，例如郵箱、網銀等最為核心的密碼最好還是記在自己的大腦裡，一些其他重要性較低的網站密碼可以採用上述的密碼管理工具，以減輕使用者記憶大量密碼的負擔，同時又保證了使用者上網的安全性。