这个圣诞节最欢乐的事情是改各种密码。CSDN,天涯被刷库(不幸中枪)了,其中一个我用的是我自己的低级密码,于是改了一通密码。最后还是决定采取一次一密的方法,把密码都记下来。于是顺便把所有的密码都改了一遍。

首先是Google。基于多年的印象,对Google还是比较信赖,但是我还是启用了Google的2-step verification。 平时登陆的时候,除了输入密码还是输入一个动态密码,动态密码由一个Android程序提供。据观察应该是基于时间的某种算法,因为那个程序没有要求网络权限。 手机不能用的时候,还有电话,短信,备用验证码等等。此外对应每个应用可以设置一个一次性密码。比如一个密码专门用来Android同步用。需要注意的是,这个密码只会在生成的时候出现一次,后面就再也找不回来了。如果这个密码不幸被人知道了,只要删除这一项,对其他的没有影响。总的来说,设置起来还是比较麻烦的,但是为了安全也就忍了。目前没有碰到很大的麻烦,但是也有人被这个搞得很抓狂的。这一个确保安全了,然后可以用来做恢复密码的邮箱用。

对于其他没有提供类似服务的,现在也只有采取一次一密这个方法了,也就是每个网站密码不同。但是问题是这么多密码怎么记呢?Google之后发现了一个软件Keepass2, 软件有中文语言包。 可以生成密码以及密码管理。更棒的是,这个软件又各个平台的版本,于是我又装了Android版本的。 随之而来的问题是,我怎么同步我的密码库呢?在受Dropbox毒害之后,我立马想到了Dropbox。但是其实Dropbox也是存在安全隐患的,这个很多网站都讨论Dropbox的原理。Google大神把我指引到了SecretSync。简单来说,这个跟dropbox一起工作,现在本地把文件加密了,然后同步到dropbox。这样的话,就算dropbox的文件被人拿到,别人还是需要解密才能得到真正的文件。所以现在的方案就是吧密码文件通过SecretSync加密,然后同步到dropbox。

如果只是用电脑,这个方案其实也是不错的,只是我是满意了。但是问题是SecretSync没有Android版本的。我在手机上打不开密码文件,于是我就傻掉了。。。不过办法总是有的。注意到Keepass除了使用密码登陆外,还可以选择密钥登陆。密码文件本来就是经过AES加密的,这样就可以把密码文件直接放在Dropbox里面,而密钥则存在本地,手机里也存一份。然后就是稍微看了下这个密钥,就是ssh生成的RSA密钥。

ssh密钥生成有很多方法,linux下就不用说了,基本上用的人都会知道怎么去做。在windows底下可以用Puttygen生成。关键是要分清密钥跟公钥。密钥当时要存在只有自己才能找到的地方。此外还可以给密钥再设个密码什么的。

虽然听起来需要很多的密码,很复杂的样子,但是平时用起来基本上输一次可以顶很多个小时,所以还是蛮方便的。

此外,已经曝光的密码千万不能再用了。其实密码曝光的不仅仅是它自己,还有取密码的习惯什么的。特别是泄露的不止密码,还有邮箱,用户名。交叉比对一下的话,好多网站会遭殃的。

再有一点,我觉得email也比较不安全,有段时间我发出去的邮件都用gpg签名或者加密,可惜都被人当成乱码。。。这个还是需要有个使用的环境的。

Comment now!
















Trackbacks