随着密码泄露(例如adobe最近丢失多达 1.3 亿个密码)变得非常普遍,现在是对您的密码安全性进行审核的好时机。在本教程中,我将向您展示如何使用 1Password 或 LastPass 来分析密码的安全性,并在必要时创建新的安全密码。
密码安全审计的必要性
密码从未如此安全
如果您不确定什么是安全密码,本教程选择密码是一个学习的好地方。
像 Adobe、Evernote、Linkedin和Yahoo 的每一个漏洞都会向开发密码破解方法的人们提供信息,即使密码是加密的。CrackStation有一个 190GB、150 亿个词条列表,使用两种最常见的算法 MD5 和 SHA1 进行加密。
如果您在其中一种加密中输入任何通用密码,CrackStation 将在一秒钟内破解它。
如果您使用的 Web服务非常小心并妥善处理您的数据,那么您会没事的。但如果他们一不小心,黑客就可能知道你的密码和电子邮件地址。正如 xkcd 指出的那样,如果您重复使用密码,那不是一件好事。
人们使用(和重用)糟糕的密码
除非网站将您的密码存储为纯文本,否则如果密码足够长,即使不遵循最佳实践,也需要数月或数年才能破解。但是,人们的密码不够长。Adobe 泄露中几乎 1% 的密码是123456。今天,我将向您展示如何确保您不是那 1% 中的一员!
密码管理软件
1Password
Agilebits 的1Password是一款桌面密码管理应用程序,带有适用于 safari、chrome、Opera 和 Firefox 的配套浏览器插件。它还具有与您的桌面数据同步的ios应用程序,因此您可以从任何地方访问所有密码。
当您登录网站时,1Password 会为您保存登录详细信息。密码保存在受单一密码保护的加密保险库中:单一密码。只要您记住一个密码,您就可以使用 1Password 登录任何给定的网站,而无需记住该网站的特定密码。这意味着您使用的每个站点都可以拥有自己的、唯一的、安全的密码,而不必担心记住所有密码。
1Password 还可以为您生成这些安全密码,然后它会自动保存这些密码,让生活更加轻松。
最后通行证
LastPass是一个浏览器插件密码管理器。像 1Password 一样,它有一个 iOS 应用程序。它还提供相同的基本功能集。但是,由于 1Password 将您的所有信息保存在本地,LastPass 在将其上传到他们的服务器之前对其进行加密。LastPass 还使用免费增值模式。浏览器插件和基本功能集是免费的,但移动版需要每月 1 美元的高级订阅。
安全审计
除了大大简化您的登录,1Password 和 LastPass 还能够显示您的弱密码和重复密码。
最佳做法是为每项服务使用唯一密码。但是,如果像我一样,您长期以来一直在为许多不同的服务使用相同的密码,则可能需要一段时间才能将它们全部整理出来。出于这个原因,您应该优先考虑尽快更新重要的密码,然后在闲暇时处理不太重要的密码。
此外,如果您尚未使用 1Password 或 LastPass,则应下载其中一个并使用几周,以便在继续本教程之前构建您最常用密码的数据库。
使用 1Password
在 1Password 中查找重复密码
要查看所有重复密码,请打开1Password并单击侧边栏中安全审核下的重复密码。1Password 然后将所有使用相同密码的登录信息组合在一起。
1Password 安全审计中的重复密码
当您使用 1Password 生成密码时,除了与网站的登录详细信息一起保存外,它还会被记录下来。
有点不幸的是,当 1Password 检查重复项时包含生成的密码,因此您使用 1Password 为其生成密码的站点将显示为您为其生成的密码的重复项。这意味着您必须扫描列表并忽略两次相同站点的重复项。
像我一样,您可能会发现少数密码已用于大量服务。这些是需要改变的重要因素。
生成的密码与登录名一起包含在重复查找器中。别理他们。
在 1Password 中查找弱密码
同样在侧边栏中的安全审核下,打开弱密码选项卡会显示您最弱密码的列表,这些密码按其强度分组。在我的例子中,有两个分组,可怕的密码和那些仅仅是弱的。
您很可能会发现最糟糕的密码来自本地开发环境,或者必须是四个或六个字符的密码。
我 可怕的密码
在 1Password 中查找旧密码
在安全审计中也有3个基于时间的类别,3岁以上,1-3岁,6-12个月。
1Password 跟踪创建密码的时间,因此可以判断密码何时未更改。对于某些密码,这比其他密码更重要。定期更改密码是一种很好的密码习惯。要充分利用此选项卡,您必须长期使用该软件,因为 1Password 将密码的创建日期设置为添加到 1Password 的时间。
使用 1Password 更新密码
要更新密码,请访问相关网站并使用 1Password 登录。它将自动填充您的(不安全的)登录详细信息。
导航到更新密码选项,它通常在安全或帐户设置下。
通过单击1Password 菜单栏图标打开 1Password,并将鼠标悬停在您想要的建议登录名上。
单击弹出菜单密码字段中的•••••••••••••将旧密码复制到剪贴板。
从 1Password 复制 Twitter 的旧密码
将旧密码粘贴到旧密码字段中。
重新打开1Password 菜单栏并将鼠标悬停在密码生成器选项上。
1Password 的密码生成器会根据您可以定义的一些规则自动生成密码。您可以设置长度、分隔符、是否希望密码发音以及是否希望使用大小写混合的字母。
提示:我建议您使用长度为 20 个字符并以数字分隔的密码。这意味着,在极少数情况下,当您必须在iphone键盘上手动输入它们时,它仍然是可行的。
单击“填写”将您的新安全密码插入“新密码”并确认“新密码”字段。
生成新密码
单击Save Changes会从 1Password 中弹出一个对话框,询问您是否要更新现有登录名。
点击更新将更改保存到 1Password 的保险库。
您现在已将弱密码更新为安全密码。
更新当前的 1Password 条目
使用 LastPass
在 LastPass 中查找重复密码
要使用 LastPass 查找重复密码,请访问网站并使用您的 LastPass 详细信息登录。
然后该站点解释了安全挑战的作用,如何解释结果并强调所有密码解密都在您的计算机上本地处理。
单击开始挑战开始。
LastPass 然后将使用您的浏览器下载、解密和分析您的 LastPass 保险库的内容。根据您拥有的密码数量,这可能需要一两分钟。
接下来,您将看到您的结果。但是,这些并没有告诉您需要更改哪些特定密码。向下滚动以查看这些。
LastPass 安全挑战的结果
LastPass 与 1Password 一样,现在将所有重复密码组合在一起。
LastPass 中的重复密码
在 LastPass 中查找弱密码
LastPass 在列表中显示您的详细结果,最弱的在顶部。您不太可能拥有许多弱且唯一的密码,因此您应该从重复的密码开始。
修复所有重复密码后,从列表顶部开始向下工作。LastPass 给每个密码一个安全等级百分比。
如果密码的分数低于 80% 左右,您应该考虑更改它。
使用 LastPass 更新密码
使用 LastPass 更新密码与 1Password 非常相似。
访问相关网站并使用 LastPass 登录。
导航到更新密码选项,它通常在安全或帐户设置下。
LastPass 将自动检测您正在编辑密码并为您提供生成新密码的选项。
如果您对建议的密码感到满意,请单击生成,然后单击接受。
如果没有,您可以单击“生成”创建一个新选项,或单击“显示高级选项”复选框以查看更多选项。
使用 LastPass 生成密码
LastPass 然后会自动将新密码填入表单。
在旧密码字段中输入旧密码,然后保存所做的更改。
LastPass 将检测到您已更改存储的登录名,并为您提供是否要更新 LastPass 保险库中的信息或保存新条目的选项。
选择确认以更新 LastPass。
您现在有了一个安全密码。
LastPass 确认密码更改对话框
结论
在本教程中,我向您展示了如何使用 1Password 和 LastPass 进行安全审计。很容易陷入错误的密码习惯,即使您开始使用像 1Password 或 LastPass 这样的好解决方案,如果您不回头纠正旧的错误,您仍可能面临风险。
- 密码从未如此安全
- 人们使用(和重用)糟糕的密码
- 1Password
- 最后通行证
- 安全审计
- 在 1Password 中查找重复密码
- 在 1Password 中查找弱密码
- 在 1Password 中查找旧密码
- 使用 1Password 更新密码
- 在 LastPass 中查找重复密码
- 在 LastPass 中查找弱密码
- 使用 LastPass 更新密码