拿什么拯救你,我的密码。

最近相对清闲,开始整理自己电脑的东西,发现了一个文本文件,犯愁了。此文件是我的密码文件,从2000年到现在的各种账号密码,很长很长,密集恐惧。115网盘前几天忽然恢复了功能,然后有人说账户密码早忘了,但是我的账户密码还在,静静地躺在那个TXT文本里面,只是这种网盘,不用也罢吧。在人群中,我属于比较自律的那种,我会把密码记录下来,基本不存在忘记这种事情。有人会问,密码记录在文本文件里,怎么确保安全?我的处理方法是:省略密码的中间一部分,记录的并不是密码的全部,最大限度的保障安全。可是:密码真的太多了,还有好些已经关闭的网站ID,再也没有用处了。我想把这个文本整理出来,顺便想个办法,让以后输入密码的体验更美好一点。

问题一:什么样的密码是安全密码?

答案是:密码没有安全的。密码学研究的就是编制密码和破译密码。除了被破译,还有泄漏这个问题。

我的账户密码不是机密,一般的强度就可以了。有大、小字母加数字、特殊字符的组合就达标。

例如:7r296X4tHL*4^@

这是由KeePass的密码引擎生成的一个密码。随机且乱序,我看了看,长度适宜,强度也没问题。可是如果你的密码是这样的,每次输入它的体验,真的不要更好啦。关键是:你记不住它!

那么这个呢?cuM3Hw5!%obj%pao5b9*yH8iD8t2gYK@P4cpSKwXmPu@r!

如果没有泄漏,想暴力算出来它,呵呵……

但是基本上没有网站能支持这个长度的密码,平时6位以上,14以下即可,适可而止。

问题二:怎么避免泄漏?

自己都不知道的密码,把它放在一个安全的地方。需要的时候拿出来,不用的时候放回去,自己根本都记不住的那种,可以最大限度的避免泄漏。不要使用相同的密码很重要,被某些网站泄漏了一个,不至于撞库泄漏你所有的密码。

最安全的存储地点是:本地+双热备份+定期独立备份。

其次是密码本身经足够强度的加密算法加密后存储于网络,需要时取回。

问题三:怎么输入密码?

由密码软件生成的这种反人类的密码,铁定不能手写键入,否则一定会疯。那么需要什么软件来帮我们输入?这种输入不要太复杂,要安全与便利兼顾。

于是一堆密码软件进入了我的视线:

1Password、KeePass及其衍生第三方APP、KeeWeb、LastPass、EnPass、Bitwarten……

1Password被人认为是密码软件的老大,最好的密码管理软件,但是我不打算去用,原因见下图。贫穷限制了我。


那么除了这个最好的,我还有什么选择吗?经过一番折腾,锁定了一套解决方案。

该方案满足如下条件:

低费用或无费用:这条不解释。

跨平台:Windows、Mac、Linux、Android、iOS平台下均有客户端,APP界面还要尽量精美(请原谅我这么苛刻,图标丑陋的软件真的会让人心情变糟)。

跨浏览器:密码管理软件配套扩展必须可同时工作在:Safari、Chrome、Firefox三大主流浏览器之下。

支持网络同步:需即时同步,可以到另一个设备继续编辑和使用。我在电脑上设置好的密码,手机上要无需输入,可以直接登陆。

那么解决方案出炉了:Bitwarden+KeePass+坚果云


坚果云:目前所有网盘中支持WebDav的,没有之一。


KeePass:优点:开源、支持网络同步、插件众多。缺点:浏览器中密码输入体验稍差。


Bitwarten:全平台,支持Docker、NAS内自建服务器。密码的浏览器自动填充做的较好。

如果你只是为了密码使用方便,该解决方案可以精简到只有一个软件 Bitwarten。

---------------------------超级无敌分割线---------------------------

步骤一:密码库本地建立与网络同步

本地密码编辑器建议使用KeePass的第三方开源客户端:KeePassXC。来源我确认过了,可放心。


使用密码编辑器将自己的密码编辑到软件内。⚠️⚠️⚠️重要警告:请记住你密码库的主密码!这句说三遍。忘记了谁也拿不回来数据。这是一个庞大的工程,工程量取决于你的密码数量,我的还不算多,100个左右,录入的同时使用软件自动生成了强密码,顺带着把网站的密码都改了一遍,这是非常非常痛苦的经历,不堪回首……


把密码文件放入坚果云,可以让你无缝全平台编辑该密码文件。可开启坚果云WebDav服务,可以使用软件自带的网络同步服务,不用每台电脑都安装坚果云客户端。


KeepassXC支持所有主流操作系统,无论你是什么电脑,Windows、Linux、MacOS 都可以即时打开并编辑你的密码文件。说实话,任何软件的界面放在Mac下都要好看些……请别骂我,实事求是说的,我不是果粉。

这样你的原始密码库文件就保留在自己手里,随时可以迁移到另外的密码软件平台进行管理,虽然我不认为我会迁移这套解决方案。

此时,你已经可以通过:

Chrome浏览器插件:KeepassXC-Browser(需科学上网,或者到国内可访问的分享类crx插件平台【安全性无法保障】下载。)

iOS:minikeepass 、FantasyPass(奇密)等。

Andorid:Keepass2Android等来完成该方案的使用。


不足之处:我没有找到Keepass的Safari插件,在Safari中使用只能使用全局热键填充。


步骤二:KeePass密码库数据导入到Bitwarden

导出请使用Keepass官方客户端,导出类型建议选用:keePass XML(2.x)。

然后在所需平台电脑上安装Bitwarden客户端,在Bitwarden客户打开的网页内完成导入。

导入后请立即删除电脑中的导出文件,此文件未经任何加密处理,存在安全隐患。

步骤三:享受美妙的密码自动填充

Bitwarden支持Andorid和iOS,基础功能完全免费,我觉得个人用户完全无需付费使用高级功能。

介意个人密码数据库被上传到第三方机构的人,请于步骤二前终止,使用自己的网盘来同步自己的密码文件。最大限度保证安全。

同样方法:

全浏览器平台均有Bitwarden插件,请下载并安装之。

之后你的浏览器上就会多一个小按钮。


当你访问的网站密码库中有登陆信息的时候,那个小按钮会提示你戳它!


手机平台下载Bitwarden后,登陆你的账号,打开其设置界面:


iOS平台按照屏幕操作提示打开:自动填充密码、APP扩展、面容ID(或者指纹ID)解锁。以后开启软件再也不用输入主密码。重要提示:主密码必须记住,自己心里牢记,记不住的刻石头上!不然你天天FaceID解锁,保不齐哪天就把主密码忘记了。

Android平台请按照提示打开:自动填写服务、自动填充服务、指纹解锁服务。

这是一次极端痛苦的修改密码和密码库录入的过程,但是结局无疑是极度舒适的,以后账号和密码,都将会是自动填充。

PS:我把原来的密码库TXT文本打了个带密码的压缩包扔进了NAS,里面有很多很多的已经消失的网站,或许很多年以后我再打开它,会勾起一段回忆。

推荐阅读更多精彩内容