如何执行密码安全审核

随着密码泄露（例如adobe最近丢失多达 1.3 亿个密码）变得非常普遍，现在是对您的密码安全性进行审核的好时机。在本教程中，我将向您展示如何使用 1Password 或 LastPass 来分析密码的安全性，并在必要时创建新的安全密码。

密码安全审计的必要性

密码从未如此安全

如果您不确定什么是安全密码，本教程选择密码是一个学习的好地方。

像 Adobe、Evernote、Linkedin和Yahoo 的每一个漏洞都会向开发密码破解方法的人们提供信息，即使密码是加密的。CrackStation有一个 190GB、150 亿个词条列表，使用两种最常见的算法 MD5 和 SHA1 进行加密。

如果您在其中一种加密中输入任何通用密码，CrackStation 将在一秒钟内破解它。

如果您使用的 Web服务非常小心并妥善处理您的数据，那么您会没事的。但如果他们一不小心，黑客就可能知道你的密码和电子邮件地址。正如 xkcd 指出的那样，如果您重复使用密码，那不是一件好事。

人们使用（和重用）糟糕的密码

除非网站将您的密码存储为纯文本，否则如果密码足够长，即使不遵循最佳实践，也需要数月或数年才能破解。但是，人们的密码不够长。Adobe 泄露中几乎 1% 的密码是123456。今天，我将向您展示如何确保您不是那 1% 中的一员！

密码管理软件

1Password 

Agilebits 的1Password是一款桌面密码管理应用程序，带有适用于 safari、chrome、Opera 和 Firefox 的配套浏览器插件。它还具有与您的桌面数据同步的ios应用程序，因此您可以从任何地方访问所有密码。

当您登录网站时，1Password 会为您保存登录详细信息。密码保存在受单一密码保护的加密保险库中：单一密码。只要您记住一个密码，您就可以使用 1Password 登录任何给定的网站，而无需记住该网站的特定密码。这意味着您使用的每个站点都可以拥有自己的、唯一的、安全的密码，而不必担心记住所有密码。

1Password 还可以为您生成这些安全密码，然后它会自动保存这些密码，让生活更加轻松。

最后通行证

LastPass是一个浏览器插件密码管理器。像 1Password 一样，它有一个 iOS 应用程序。它还提供相同的基本功能集。但是，由于 1Password 将您的所有信息保存在本地，LastPass 在将其上传到他们的服务器之前对其进行加密。LastPass 还使用免费增值模式。浏览器插件和基本功能集是免费的，但移动版需要每月 1 美元的高级订阅。

安全审计

除了大大简化您的登录，1Password 和 LastPass 还能够显示您的弱密码和重复密码。

最佳做法是为每项服务使用唯一密码。但是，如果像我一样，您长期以来一直在为许多不同的服务使用相同的密码，则可能需要一段时间才能将它们全部整理出来。出于这个原因，您应该优先考虑尽快更新重要的密码，然后在闲暇时处理不太重要的密码。

此外，如果您尚未使用 1Password 或 LastPass，则应下载其中一个并使用几周，以便在继续本教程之前构建您最常用密码的数据库。

使用 1Password

在 1Password 中查找重复密码

要查看所有重复密码，请打开1Password并单击侧边栏中安全审核下的重复密码。1Password 然后将所有使用相同密码的登录信息组合在一起。

1Password 安全审计中的重复密码

当您使用 1Password 生成密码时，除了与网站的登录详细信息一起保存外，它还会被记录下来。

有点不幸的是，当 1Password 检查重复项时包含生成的密码，因此您使用 1Password 为其生成密码的站点将显示为您为其生成的密码的重复项。这意味着您必须扫描列表并忽略两次相同站点的重复项。

像我一样，您可能会发现少数密码已用于大量服务。这些是需要改变的重要因素。

生成的密码与登录名一起包含在重复查找器中。别理他们。

在 1Password 中查找弱密码

同样在侧边栏中的安全审核下，打开弱密码选项卡会显示您最弱密码的列表，这些密码按其强度分组。在我的例子中，有两个分组，可怕的密码和那些仅仅是弱的。

您很可能会发现最糟糕的密码来自本地开发环境，或者必须是四个或六个字符的密码。

我 可怕的密码

在 1Password 中查找旧密码

在安全审计中也有3个基于时间的类别，3岁以上，1-3岁，6-12个月。

1Password 跟踪创建密码的时间，因此可以判断密码何时未更改。对于某些密码，这比其他密码更重要。定期更改密码是一种很好的密码习惯。要充分利用此选项卡，您必须长期使用该软件，因为 1Password 将密码的创建日期设置为添加到 1Password 的时间。

使用 1Password 更新密码

要更新密码，请访问相关网站并使用 1Password 登录。它将自动填充您的（不安全的）登录详细信息。

• 导航到更新密码选项，它通常在安全或帐户设置下。

• 通过单击1Password 菜单栏图标打开 1Password，并将鼠标悬停在您想要的建议登录名上。

• 单击弹出菜单密码字段中的•••••••••••••将旧密码复制到剪贴板。

从 1Password 复制 Twitter 的旧密码

• 将旧密码粘贴到旧密码字段中。

• 重新打开1Password 菜单栏并将鼠标悬停在密码生成器选项上。

1Password 的密码生成器会根据您可以定义的一些规则自动生成密码。您可以设置长度、分隔符、是否希望密码发音以及是否希望使用大小写混合的字母。

提示：我建议您使用长度为 20 个字符并以数字分隔的密码。这意味着，在极少数情况下，当您必须在iphone键盘上手动输入它们时，它仍然是可行的。

单击“填写”将您的新安全密码插入“新密码”并确认“新密码”字段。

生成新密码

• 单击Save Changes会从 1Password 中弹出一个对话框，询问您是否要更新现有登录名。

• 点击更新将更改保存到 1Password 的保险库。

您现在已将弱密码更新为安全密码。

更新当前的 1Password 条目

使用 LastPass

在 LastPass 中查找重复密码

要使用 LastPass 查找重复密码，请访问网站并使用您的 LastPass 详细信息登录。

然后该站点解释了安全挑战的作用，如何解释结果并强调所有密码解密都在您的计算机上本地处理。

单击开始挑战开始。

LastPass 然后将使用您的浏览器下载、解密和分析您的 LastPass 保险库的内容。根据您拥有的密码数量，这可能需要一两分钟。

接下来，您将看到您的结果。但是，这些并没有告诉您需要更改哪些特定密码。向下滚动以查看这些。

LastPass 安全挑战的结果

LastPass 与 1Password 一样，现在将所有重复密码组合在一起。

LastPass 中的重复密码

在 LastPass 中查找弱密码

LastPass 在列表中显示您的详细结果，最弱的在顶部。您不太可能拥有许多弱且唯一的密码，因此您应该从重复的密码开始。

修复所有重复密码后，从列表顶部开始向下工作。LastPass 给每个密码一个安全等级百分比。

如果密码的分数低于 80% 左右，您应该考虑更改它。

使用 LastPass 更新密码

使用 LastPass 更新密码与 1Password 非常相似。

• 访问相关网站并使用 LastPass 登录。

• 导航到更新密码选项，它通常在安全或帐户设置下。

LastPass 将自动检测您正在编辑密码并为您提供生成新密码的选项。

• 如果您对建议的密码感到满意，请单击生成，然后单击接受。

• 如果没有，您可以单击“生成”创建一个新选项，或单击“显示高级选项”复选框以查看更多选项。

使用 LastPass 生成密码

LastPass 然后会自动将新密码填入表单。

• 在旧密码字段中输入旧密码，然后保存所做的更改。

LastPass 将检测到您已更改存储的登录名，并为您提供是否要更新 LastPass 保险库中的信息或保存新条目的选项。

选择确认以更新 LastPass。

您现在有了一个安全密码。

LastPass 确认密码更改对话框

结论

在本教程中，我向您展示了如何使用 1Password 和 LastPass 进行安全审计。很容易陷入错误的密码习惯，即使您开始使用像 1Password 或 LastPass 这样的好解决方案，如果您不回头纠正旧的错误，您仍可能面临风险。