论文部分内容阅读
使用密码管理器,我们不再需要记忆其他的密码,只需要记住一个保护密码管理器的密码即可。为此,我们可以创建足够长和复杂的高强度密码,尽可能地提高账户的安全性。
从2011年至今,超过6.42亿Web服务的账户登录数据被盗,并且许多数据被公布到互联网上。为此,我们有必要采用措施尽可能地提高账户的安全性,而创建一个安全的密码只是第一步。
对于黑客来说,破解一个比较短或者常用的密码只需一秒钟的时间,而对于一个超过10个字符的复杂密码则基本上无计可施。为此,我们使用的密码必须足够长和复杂,并且需要为每一个Web账户创建不同的密码。不必担心如何记住那么多超过10个字符的复杂密码,通过类似True Key之类的密码管理器,我们只需要记住一个这样的密码,也就是保护密码管理器的主密码即可。密码管理器的数据库可以加密后存储在云端,只有拥有主密码的用户才可以解密该数据库。我们可以在各种设备上使用密码管理器并存取云端的密码数据库,每次使用只需要几秒钟的时间即可完成下载和解密,而数据库更新之后,可以再次加密并同步到云端。
优化设备安全
在开始安装使用密码管理器之前,我们要对使用的设备进行预防性的安全检查。必须在确保当前系统安全的情况下才可以使用密码管理器,否则黑客有可能窃取我们保护密码管理器数据库的主密码。
保护Windows电脑
对于Windows操作系统的电脑来说,首先我们必须确保系统已经安装了所有的更新,修复了已知的安全漏洞。Windows 10可以通过“设置|更新和安全”进行检查,而Windows 7、Windows 8可以通过“控制面板|系统和安全|Windows 更新”进行检查。
除了更新系统之外,更新系统上安装的病毒扫描程序和应用软件也非常重要。我们需要确保病毒扫描程序已经下载最新的病毒数据库,并且浏览器等应用软件也已经更新为最新版本,不存已知可以被利用的安全漏洞。
Android安全设置
由于Google的安全补丁只能够用于Android4.4及以上版本,另外,许多Android设备的生产厂商并没有及时地为设备提供安全补丁,为此,如果我们使用的不是Google旗下的Android设备,那么我们应该安装一个防病毒程序。相关的知识以及各种Android防病毒程序识别病毒的能力,请参考CHIP杂志近期刊登的相关文章。
除了防病毒应用程序之外,我们还需要正确配置Android系统的设置选项,如果设备能够通过Google或者生产商的应用程序商店下载安装应用程序,那么,应该禁用安全设置选项“允许安装来自Play商店之外的其他来源的应用”。除此之外,我们应该为设备配置一个保护的密码,例如一个锁定屏幕的PIN,避免其他人可以轻松地访问设备,影响密码管理器的安全。
检查iOS的安全性
iOS系统的设备由于系统的封闭性,所以在只能够通过苹果的应用商店下载安装应用程序的情况下,相对是比较安全的,但是需要注意,实际上iOS系统的安全漏洞并不比其他系统少,所以我们仍然需要注意及时更新系统。除此之外,对于已经越狱的设备,由于可以安装应用程序的来源更多,所以需要特别注意系统是否存在恶意软件。不幸的是,iOS和Android不一样,没有那么多免费而又强大的病毒扫描工具可以选择。不过,必要时我们可以通过应用程序SysSecInfo对系统进行简单的检查。我们可以通过App Store下载安装该应用程序,该软件是免费的。安装完成后启动应用程序,在软件的介绍页面上滚动至底部,选择对系统进行检查。该程序将给出简单的检查报告,注意是否有发现异常情况的报告。如果有,那么删除系统再完全重新安装是最佳的选择,因为只有这样,我们才可能确保设备上不再有任何恶意软件。
和Android设备一样,我们需要给设备加锁,确保其他人无法随意使用我们的设备。在“设置|TouchID与密码”中我们可以为设备设置一个至少6位数字的密码并设置TouchID。由于日常我们只需要通过TouchID解锁,所以密码设置得长一些也不会给日常使用带来不好的影响。
设置密码管理器
下面,以True Key(www.truekey.com)为例,为大家介绍密码管理器的使用方法。True Key是一个由英特尔全资子公司McAfee开发的密码管理器,软件提供只限15个密码的免费版本以及不限制密码数量的高级版本,高级版本每年使用费用为19.99美元,折合人民币约120元。
使用台式电脑
下载安装True Key后点击“继续”开始使用,新用户可以点击“让我们开始”创建自己的配置文件,已经创建配置文件的用户可以通过点击上方的“登录”输入自己的电子邮件和密码管理器主密码进行登录。创建自己的配置文件需要输入姓名、电子邮件以及一个自定义的主密码,软件只要求主密码超过8位即可通过,但是为了有效地保护密码管理器不被盗用,建议设置一个超过10位并同时包含数字、字母和特殊字符的密码。注意一定要记住自己的主密码,虽然忘记密码仍然可以有恢复的方法,但是恢复起来比较复杂。
输入需要的信息后点击“好的,下一步”,软件将要求再次输入主密码。正常情况下,主密码输入无误即可成功创建,并进入选择需要在哪些浏览器上安装插件,以便自动记录和登录Web服务站点。但是,目前简体中文版由于服务器的原因而偶尔会出现一些异常的情况,例如创建账户的过程中显示“出现错误”的提示,此时我们可能需要换一个时间或者更换一个访问国外网站不受任何限制的连接进行尝试。
成功创建配置文件将自动转到选择安装浏览器插件的步骤,软件将自动打开我们选择的浏览器,并自动或者提示我们点击完成插件的安装。接下来,软件将引导我们添加第一个登录信息,按照向导的提升操作即可轻松完成并学会添加和使用自动登录的功能。 完成所有的安装步骤后进入主界面,点击右上角的齿轮按钮可以打开设置界面。默认设置下,在当前电脑上我们将使用主密码登录,但是如果电脑上安装了摄像头,那么可以选择“面部”并让软件收集脸部的信息,添加生物识别信息作为另一种登录方式。
在设置界面上,我们可以通过“想要何时注销”来设置当我们离开电脑的情况下True Key软件自动注销的时间。一般情况下,建议在台式电脑上设置为1天,在笔记本电脑上设置为1h。接下来,我们还可以修改默认的登录选项以增加密码管理器的安全性。通过“您要用哪一个安全级别来登录”下拉菜单选择“高级”,接下来,我们可以在“您要用哪个要素来验证是您本人”中选择需要的验证方式,除了默认的“受信任设备”之外,我们还可以选择“主密码”和“第2台设备”,再点击下面的“激活”按钮,以后,想要登录访问我们的True Key密码数据库将需要在受信任设备上登录,输入正确的主密码,并且需要在第二台受信任的设备上确认。通过这种高级的验证方式,基本上可以确保我们的密码数据安全无忧。
这里,我们必须特别说明一下所谓的“受信任设备”,当我们在一台设备上创建配置文件时,我们可以将该设备设置为“受信任设备”,而接下来我们需要在另一台设备上登录同一个账户,键入正确的主密码,True Key将会要求我们在此前使用的“受信任设备”上确认才允许登录,我们将在“受信任设备”上受到提示,确认之后新的设备才可以通过验证,并且我们可以选择是否将这台新设备也设置为“受信任设备”。
配置Android
要安装Android版的True Key,我们需要从Play商店或者其他可信任的第三方商店下载安装该应用程序。安装完成后打开应用程序,由于我们已经创建了配置文件,所以可以点击上方的“登录”输入自己的电子邮件和密码管理器的主密码登录。
登录成功后,软件将建议我们开启“即时登录”功能,该功能用于支持软件实现自动登录网站的功能。如果决定开启,那么可以跟随软件的操作提示,转到系统“设置|安全|无障碍”完成此项设置。如果没有拿定主意,也可以暂不开启,随后需要时可以通过软件左上角的按钮打开菜单,选择“设置”,点击“即时登录”再次打开设置向导开启该功能。
和电脑一样,在Android上我们也可以通过“设置|面部信息安全”开启和设置脸部识别的生物识别方式,以及通过“设置|自动锁定”设置True Key在闲置多长时间后自动锁定,一般情况下,建议将其设置为1小时。最后,我们还可以通过“锁定首选项”修改默认的验证方式,例如我们也可以设置为登录需要在可信任设备上输入密码,并通过面部识别的验证才可以登录。
设置iOS设备
iOS上的True Key和Android上的True Key很相似,但是还是有一些地方是不同的,例如在iOS我们可以选择指纹识别方式作为一种验证方式,除此之外,iOS上浏览器的自动登录功能设置起来也相对复杂一些。
在iOS上登录软件之后,打开菜单,选择“首选项”,在这里可以通过“面部”设置面部识别验证方式。可以通过“安全级别”选择“高级”验证方式,可以选择“面部”和“TouchID”等作为登录True Key的验证方式。另外,在“经过以下时间后注销”我们可以设置空闲多长时间之后注销。
要在Safari浏览器中通过True Key插件自动登录,我们需要在Safari中打开一个网站,然后点击下方带箭头的正方形按钮,在下方的菜单中滑动到最右侧,选择“更多”,在打开的“活动”界面上选择打开“True Key”。设置完成之后,以后我们在需要使用True Key登录当前浏览的网页时,将可以和设置时一样点击下方带箭头的正方形按钮,然后选择“True Key”,即可切换到True Key,选择需要的密码记录完成自动登录。
重置主密码
万一我们忘记了密码管理器的主密码,我们可以重置密码。当然,这需要满足一定的条件,首先我们必须有另一台获得授权的“受信任设备”。以台式电脑的版本为例,忘记主密码可以在登录时输入电子邮件,在要求输入主密码的对话框下面选择“忘记主密码”并根据提示操作即可。
注意重置密码的尝试只有3次,超出次数当前设备将被锁定。被锁定的设备即使使用正确的主密码登录,登录时也将需要通过另外的“受信任设备”选择“接受”才可以正确登录。
离线密码管理器
如果不希望自己的密码数据库离开家中的电脑,那么我们可以使用离线的密码管理器。它们没有云解决方案那么便利,但是担心云数据安全的用户可以更放心一些。对于并不需要同步密码到其他设备而只管理本地使用的密码来说,离线的密码管理器也确实是一个很好的选择,特别是需要存储在线银行之类高度敏感的密码的情况。
KeePass(keepass.info)是离线密码管理器中最受欢迎的软件之一,该软件免费并且功能强大,提供中文语言包和许多实用的插件(http://keepass.info/plugins.html),其中还包含可以帮助我们保存和自动输入网站密码的各种浏览器插件,并且如果希望在手机上使用该密码管理器的密码数据库,则可以找到适用于手机等各种移动设备的版本及可以直接在闪存盘等移动存储设备上运行的移动版本。
防止数据泄露
复杂的密码可以更好地保护数据的安全,但是如果网络服务提供商没有将他们的用户数据很好地加密,那么仍然有被盗的可能。不过,如果我们激活了双因素身份验证(Two Factor Authentication,简称2FA)系统,那么要破解我们的账户将会是一件非常困难的事情。
目前,许多网站已经支持双因素身份验证功能,我们可以利用该功能有效地提高网上账户的安全性。双因素身份验证的步骤都非常简单,如果是通过短信接收的双因素身份验证功能,那么输入正确的用户名和密码登录后,再输入手机收到的双因素身份验证码即可。如果使用的是应用程序,那么可能需要扫描一个二维码。下面,我们将为大家介绍一个Android和一个iOS应用程序,通过它们我们可以轻松地使用双因素身份验证功能。
Android最好的方法是使用Authy,我们可以从Google的Play商店下载这个免费的应用程序。该软件可以用于大部分目前支持双因素身份验证功能的网站,并且软件提供备份功能以及PIN码保护功能,每次启动时,软件将要求输入一个4位数字代码。与其他同类型的软件相比,Authy最吸引人的是它还提供同步功能,双因素身份验证的设置可以通过自动同步功能轻松地转移到各种设备上。
iOS免费的双因素身份验证应用程序OTPAuth是最值得推荐的,我们可以在App Store下载安装该程序。和Authy一样,该应用程序具有备份功能,并且可以灵活地选择存储的位置,除了本地存储之外,该应用程序可以通过在线存储服务备份配置。如果需要,该软件可以通过Touch ID(从iPhone5s起)维护和访问一次性的双因素身份验证码。
从2011年至今,超过6.42亿Web服务的账户登录数据被盗,并且许多数据被公布到互联网上。为此,我们有必要采用措施尽可能地提高账户的安全性,而创建一个安全的密码只是第一步。
对于黑客来说,破解一个比较短或者常用的密码只需一秒钟的时间,而对于一个超过10个字符的复杂密码则基本上无计可施。为此,我们使用的密码必须足够长和复杂,并且需要为每一个Web账户创建不同的密码。不必担心如何记住那么多超过10个字符的复杂密码,通过类似True Key之类的密码管理器,我们只需要记住一个这样的密码,也就是保护密码管理器的主密码即可。密码管理器的数据库可以加密后存储在云端,只有拥有主密码的用户才可以解密该数据库。我们可以在各种设备上使用密码管理器并存取云端的密码数据库,每次使用只需要几秒钟的时间即可完成下载和解密,而数据库更新之后,可以再次加密并同步到云端。
优化设备安全
在开始安装使用密码管理器之前,我们要对使用的设备进行预防性的安全检查。必须在确保当前系统安全的情况下才可以使用密码管理器,否则黑客有可能窃取我们保护密码管理器数据库的主密码。
保护Windows电脑
对于Windows操作系统的电脑来说,首先我们必须确保系统已经安装了所有的更新,修复了已知的安全漏洞。Windows 10可以通过“设置|更新和安全”进行检查,而Windows 7、Windows 8可以通过“控制面板|系统和安全|Windows 更新”进行检查。
除了更新系统之外,更新系统上安装的病毒扫描程序和应用软件也非常重要。我们需要确保病毒扫描程序已经下载最新的病毒数据库,并且浏览器等应用软件也已经更新为最新版本,不存已知可以被利用的安全漏洞。
Android安全设置
由于Google的安全补丁只能够用于Android4.4及以上版本,另外,许多Android设备的生产厂商并没有及时地为设备提供安全补丁,为此,如果我们使用的不是Google旗下的Android设备,那么我们应该安装一个防病毒程序。相关的知识以及各种Android防病毒程序识别病毒的能力,请参考CHIP杂志近期刊登的相关文章。
除了防病毒应用程序之外,我们还需要正确配置Android系统的设置选项,如果设备能够通过Google或者生产商的应用程序商店下载安装应用程序,那么,应该禁用安全设置选项“允许安装来自Play商店之外的其他来源的应用”。除此之外,我们应该为设备配置一个保护的密码,例如一个锁定屏幕的PIN,避免其他人可以轻松地访问设备,影响密码管理器的安全。
检查iOS的安全性
iOS系统的设备由于系统的封闭性,所以在只能够通过苹果的应用商店下载安装应用程序的情况下,相对是比较安全的,但是需要注意,实际上iOS系统的安全漏洞并不比其他系统少,所以我们仍然需要注意及时更新系统。除此之外,对于已经越狱的设备,由于可以安装应用程序的来源更多,所以需要特别注意系统是否存在恶意软件。不幸的是,iOS和Android不一样,没有那么多免费而又强大的病毒扫描工具可以选择。不过,必要时我们可以通过应用程序SysSecInfo对系统进行简单的检查。我们可以通过App Store下载安装该应用程序,该软件是免费的。安装完成后启动应用程序,在软件的介绍页面上滚动至底部,选择对系统进行检查。该程序将给出简单的检查报告,注意是否有发现异常情况的报告。如果有,那么删除系统再完全重新安装是最佳的选择,因为只有这样,我们才可能确保设备上不再有任何恶意软件。
和Android设备一样,我们需要给设备加锁,确保其他人无法随意使用我们的设备。在“设置|TouchID与密码”中我们可以为设备设置一个至少6位数字的密码并设置TouchID。由于日常我们只需要通过TouchID解锁,所以密码设置得长一些也不会给日常使用带来不好的影响。
设置密码管理器
下面,以True Key(www.truekey.com)为例,为大家介绍密码管理器的使用方法。True Key是一个由英特尔全资子公司McAfee开发的密码管理器,软件提供只限15个密码的免费版本以及不限制密码数量的高级版本,高级版本每年使用费用为19.99美元,折合人民币约120元。
使用台式电脑
下载安装True Key后点击“继续”开始使用,新用户可以点击“让我们开始”创建自己的配置文件,已经创建配置文件的用户可以通过点击上方的“登录”输入自己的电子邮件和密码管理器主密码进行登录。创建自己的配置文件需要输入姓名、电子邮件以及一个自定义的主密码,软件只要求主密码超过8位即可通过,但是为了有效地保护密码管理器不被盗用,建议设置一个超过10位并同时包含数字、字母和特殊字符的密码。注意一定要记住自己的主密码,虽然忘记密码仍然可以有恢复的方法,但是恢复起来比较复杂。
输入需要的信息后点击“好的,下一步”,软件将要求再次输入主密码。正常情况下,主密码输入无误即可成功创建,并进入选择需要在哪些浏览器上安装插件,以便自动记录和登录Web服务站点。但是,目前简体中文版由于服务器的原因而偶尔会出现一些异常的情况,例如创建账户的过程中显示“出现错误”的提示,此时我们可能需要换一个时间或者更换一个访问国外网站不受任何限制的连接进行尝试。
成功创建配置文件将自动转到选择安装浏览器插件的步骤,软件将自动打开我们选择的浏览器,并自动或者提示我们点击完成插件的安装。接下来,软件将引导我们添加第一个登录信息,按照向导的提升操作即可轻松完成并学会添加和使用自动登录的功能。 完成所有的安装步骤后进入主界面,点击右上角的齿轮按钮可以打开设置界面。默认设置下,在当前电脑上我们将使用主密码登录,但是如果电脑上安装了摄像头,那么可以选择“面部”并让软件收集脸部的信息,添加生物识别信息作为另一种登录方式。
在设置界面上,我们可以通过“想要何时注销”来设置当我们离开电脑的情况下True Key软件自动注销的时间。一般情况下,建议在台式电脑上设置为1天,在笔记本电脑上设置为1h。接下来,我们还可以修改默认的登录选项以增加密码管理器的安全性。通过“您要用哪一个安全级别来登录”下拉菜单选择“高级”,接下来,我们可以在“您要用哪个要素来验证是您本人”中选择需要的验证方式,除了默认的“受信任设备”之外,我们还可以选择“主密码”和“第2台设备”,再点击下面的“激活”按钮,以后,想要登录访问我们的True Key密码数据库将需要在受信任设备上登录,输入正确的主密码,并且需要在第二台受信任的设备上确认。通过这种高级的验证方式,基本上可以确保我们的密码数据安全无忧。
这里,我们必须特别说明一下所谓的“受信任设备”,当我们在一台设备上创建配置文件时,我们可以将该设备设置为“受信任设备”,而接下来我们需要在另一台设备上登录同一个账户,键入正确的主密码,True Key将会要求我们在此前使用的“受信任设备”上确认才允许登录,我们将在“受信任设备”上受到提示,确认之后新的设备才可以通过验证,并且我们可以选择是否将这台新设备也设置为“受信任设备”。
配置Android
要安装Android版的True Key,我们需要从Play商店或者其他可信任的第三方商店下载安装该应用程序。安装完成后打开应用程序,由于我们已经创建了配置文件,所以可以点击上方的“登录”输入自己的电子邮件和密码管理器的主密码登录。
登录成功后,软件将建议我们开启“即时登录”功能,该功能用于支持软件实现自动登录网站的功能。如果决定开启,那么可以跟随软件的操作提示,转到系统“设置|安全|无障碍”完成此项设置。如果没有拿定主意,也可以暂不开启,随后需要时可以通过软件左上角的按钮打开菜单,选择“设置”,点击“即时登录”再次打开设置向导开启该功能。
和电脑一样,在Android上我们也可以通过“设置|面部信息安全”开启和设置脸部识别的生物识别方式,以及通过“设置|自动锁定”设置True Key在闲置多长时间后自动锁定,一般情况下,建议将其设置为1小时。最后,我们还可以通过“锁定首选项”修改默认的验证方式,例如我们也可以设置为登录需要在可信任设备上输入密码,并通过面部识别的验证才可以登录。
设置iOS设备
iOS上的True Key和Android上的True Key很相似,但是还是有一些地方是不同的,例如在iOS我们可以选择指纹识别方式作为一种验证方式,除此之外,iOS上浏览器的自动登录功能设置起来也相对复杂一些。
在iOS上登录软件之后,打开菜单,选择“首选项”,在这里可以通过“面部”设置面部识别验证方式。可以通过“安全级别”选择“高级”验证方式,可以选择“面部”和“TouchID”等作为登录True Key的验证方式。另外,在“经过以下时间后注销”我们可以设置空闲多长时间之后注销。
要在Safari浏览器中通过True Key插件自动登录,我们需要在Safari中打开一个网站,然后点击下方带箭头的正方形按钮,在下方的菜单中滑动到最右侧,选择“更多”,在打开的“活动”界面上选择打开“True Key”。设置完成之后,以后我们在需要使用True Key登录当前浏览的网页时,将可以和设置时一样点击下方带箭头的正方形按钮,然后选择“True Key”,即可切换到True Key,选择需要的密码记录完成自动登录。
重置主密码
万一我们忘记了密码管理器的主密码,我们可以重置密码。当然,这需要满足一定的条件,首先我们必须有另一台获得授权的“受信任设备”。以台式电脑的版本为例,忘记主密码可以在登录时输入电子邮件,在要求输入主密码的对话框下面选择“忘记主密码”并根据提示操作即可。
注意重置密码的尝试只有3次,超出次数当前设备将被锁定。被锁定的设备即使使用正确的主密码登录,登录时也将需要通过另外的“受信任设备”选择“接受”才可以正确登录。
离线密码管理器
如果不希望自己的密码数据库离开家中的电脑,那么我们可以使用离线的密码管理器。它们没有云解决方案那么便利,但是担心云数据安全的用户可以更放心一些。对于并不需要同步密码到其他设备而只管理本地使用的密码来说,离线的密码管理器也确实是一个很好的选择,特别是需要存储在线银行之类高度敏感的密码的情况。
KeePass(keepass.info)是离线密码管理器中最受欢迎的软件之一,该软件免费并且功能强大,提供中文语言包和许多实用的插件(http://keepass.info/plugins.html),其中还包含可以帮助我们保存和自动输入网站密码的各种浏览器插件,并且如果希望在手机上使用该密码管理器的密码数据库,则可以找到适用于手机等各种移动设备的版本及可以直接在闪存盘等移动存储设备上运行的移动版本。
防止数据泄露
复杂的密码可以更好地保护数据的安全,但是如果网络服务提供商没有将他们的用户数据很好地加密,那么仍然有被盗的可能。不过,如果我们激活了双因素身份验证(Two Factor Authentication,简称2FA)系统,那么要破解我们的账户将会是一件非常困难的事情。
目前,许多网站已经支持双因素身份验证功能,我们可以利用该功能有效地提高网上账户的安全性。双因素身份验证的步骤都非常简单,如果是通过短信接收的双因素身份验证功能,那么输入正确的用户名和密码登录后,再输入手机收到的双因素身份验证码即可。如果使用的是应用程序,那么可能需要扫描一个二维码。下面,我们将为大家介绍一个Android和一个iOS应用程序,通过它们我们可以轻松地使用双因素身份验证功能。
Android最好的方法是使用Authy,我们可以从Google的Play商店下载这个免费的应用程序。该软件可以用于大部分目前支持双因素身份验证功能的网站,并且软件提供备份功能以及PIN码保护功能,每次启动时,软件将要求输入一个4位数字代码。与其他同类型的软件相比,Authy最吸引人的是它还提供同步功能,双因素身份验证的设置可以通过自动同步功能轻松地转移到各种设备上。
iOS免费的双因素身份验证应用程序OTPAuth是最值得推荐的,我们可以在App Store下载安装该程序。和Authy一样,该应用程序具有备份功能,并且可以灵活地选择存储的位置,除了本地存储之外,该应用程序可以通过在线存储服务备份配置。如果需要,该软件可以通过Touch ID(从iPhone5s起)维护和访问一次性的双因素身份验证码。