是时候重视账号安全了 - 1Password × YubiKey

互联网公司数据库拖库的消息层出不穷,我们也许应该做些什么了

CSDN、京东、NVIDIA这类的大型网站,数据泄露仿佛已经成为了家常便饭

一、什么是”拖库”和”撞库”

拖库:

拖库其实是数据库管理的专业用语,可以理解为导出数据库数据,但现在一般把拖库理解为黑客通过非法手段获取数据库数据,这些数据一般包括用户的邮箱、手机号码、密码等敏感数据

词条:https://baike.baidu.com/item/%E6%8B%96%E5%BA%93

撞库

撞库就是黑客通过已经泄露的网站用户名及密码去另一个网站尝试登录,如果你的所有网站用的都是同一个密码,且密码已被通过拖库等方式泄露,那么大概率其他网站的账户也会被盗

词条:https://baike.baidu.com/item/%E6%92%9E%E5%BA%93

二、解决方案

(1).不使用密码管理工具

为了尽最大可能减少撞库的影响,我们可以对不同的网站使用不同的密码:

金融类(支付宝,银行账户):1级密码

可信度高的公司(微软,Google等):2级密码

可信度低的公司:3级密码

通过3组不同的密码,就对网站进行了等级划分,并且可以尽最大可能减少拖库及撞库的风险,比如一个安全度低的网站使用了3级密码,就算泄露,黑客也无法用这个密码登录支付宝等重要的网站

(2).使用密码管理工具

通过1Password这类的密码管理工具,可以给每一个账户都生成一个完全随机的密码,可以直接避免”一个网站被拖库,所有账号都遭殃的情况”,并且基本没有泄露的可能,因为你也记不住你的随机账户密码…

我这里还是推荐用1Password这类的老牌软件,毕竟密码管理器被拖库的事情也不少了,1Password采用的是双端加密,且并没有被拖库过.

1Password发布过公开的 白皮书, 里面介绍了1Password是如何工作,存储数据的

但是,密码管理工具也是有缺点的

1.《美丽的价格》

1Password只有收费版

Lastpass同时提供Free(免费)版

还有开源的KeePass,也是免费的.

2.安全的密码

还记得上面说的完全随机密码吗,这也是一个致命问题,在提高了安全性的同时,损失了方便性,因为随机密码有特殊符号,想象一下,有人找你借网盘账号时:”一,大括号,四,小括号,大于号,百分号,六,大写的A…”;当然,也不是没有解决方案,可以设置密码中不包含特殊符号,这也是在方便和安全性之间中和的一个方案.

3.”一锅端”

如果你选择的密码管理软件不靠谱或你的密码设置的太差,你的账号密码可能会被”一锅端”,也就是黑客直接登入到你的密码保管软件中.

这一点1Password做的很好,因为在首次登入1Password时,不仅需要邮箱,密码,还需要额外的”Secret Key”,这个Key就是一个由32个字符组成的随机字符串,它不可以被找回,只要丢失,将无法登入1Password,虽然变麻烦了,但是密码也变安全了.

三、使用硬件

大家应该或多或少听说过Yubikey吧

就是这个小玩意,它是用作二步验证的,就是你输入完密码之后要按一下它,如果没有问题,才能登入你的账户,这种物理层面的硬件是无法被破解的 :)

正好微软和1Password都支持这个小玩意,所以可以通过这个保障账户安全

当然目前很多大厂也支持类似于 Yubikey 一样使用 fido2 认证协议的安全密钥，知名的有谷歌、微软，国内的阿里云目前也在子账户支持了安全密钥登录，再加上近年来 webauthn 协议的普及，认证有望摆脱物理硬件（类似于Window的Windows Hello，苹果和安卓也有类似的服务）。