苹果iPhone ios7教程
您的位置: 91门户 > iPhone专区 > iPhone教程 > 实用教程 > 内容

1Password真的安全吗?1Password上手完全评测

为什么要用 1Password?什么是 1Password?1Password 真的安全吗?本文将一一为您解答,另附1Password for iOS 以及 桌面版 1Password 上手体验。

先来回顾一下近期发生在周遭的一些事——

【2014 年 3 月 25 日】暗黑破坏神3:夺魂之镰(Diablo3:Reaper of souls)上市,却发现伴随自己多年的台服战网账号密码竟然怎么也想不不起来,邮箱和密码提示问题带着我曾经无限的美好记忆,被遗忘在那只能魂牵梦萦却无望昨日重现的青春时光之中了。

【2014 年 3 月 27 日】祸不单行,因为一个低级错误,公司服务器账号和邮箱账号密码丢失。虽然个人和客户的隐私信息没有泄漏,但服务器被迫全线歇菜,一半以上小伙伴们的工作停滞。

【2014 年 4 月 7 日】Heartbleed 曝光。

【2014 年 4 月 12 日】彭博社报道,美国 NSA 已经利用 Heartbleed 漏洞获取信息为时数年了。

【2014 年 4 月 14 日】加拿大财政局发表声明,由于 Heartbleed,900 个纳税人的个人身份信息被从政府系统里窃取。加拿大纳税人们成为 Heartbleed 的第一个受害案例。

Life goes on, Heart is bleeding……

而以上这些,就是我购买并开始使用 1Password 的原因,只为避免下次再以这样悲伤的故事作为我文章的开头。啊~多么痛的领悟。

什么是 1Password?

1Password 是来自加拿大开发商 agilebits 的一款跨平台(Windows,Mac,Android,iPhone,iPad)密码管理应用,甚至是个人大部分信息管理应用,在业界知名已久。因为 1Password 使用的是 AES(advanced encryption standard)256 位加密,而非 OpenSSL,Heartbleed 并未对其造成影响。

agilebits 官方 blog 有应对 Heartbleed 的一些建议。4 月 16 日,他们还推出一款叫 1Password Watchtower 的工具,可以帮助鉴别出容易遭受 Heartbleed 的网站并建议用户及时更改密码。另外,他们的官网和 blog 也有很多关于 1Password 和密码、隐私保护方法的介绍和说明。

为什么要用 1Password?

回答这问题之前,先列几条密码保护的原则:

1.避免在多个不同场合使用相同的一组密码。

2.经常改换自己的密码。

3.避免相同一组密码先后重复使用,避免新修改的密码使用之前用过的。

4.避免使用一些可预测的词汇或数字号码,例如,重复的字,可查到的某个词的拼音缩写,身份证号,驾照号,某人生日,某个纪念日,亲朋或宠物的名字,个人偏好的事物等等。

5.最好创建随机密码,降低人为猜中的几率。密码位数至少 12 位。(国内许多服务或网站支持最高16位,国外多数支持 32 位以上)

6.密码中最好包括数字,符号和字母。如果支持大小写识别,最好大小写并用。

与之对比,再列出一些安全度较低的密码:

1.拼音或单词+数字:qinaide2008,niuxmima123,alexchou789

2.固定的字母或数字排列:123456,369258147,qwerty,asdfg

3.和个人信息相关的字母或数字:Alexchou1989/1/1,021-XXXXXX,+86 13XXXXX

4.系统默认的密码:111,888,000000

5.某个词汇或者某句话的拼音:woainiyiwannian1314,gongxifacai888

6.有一些小模糊的词:1l0veU,p@ssw0rd

7.重复的词或数字:456456,bugeinibugeini

8.手机号码,身份证号,驾照号,学生证号,亲朋生日、名字等等任何和个人信息相关,并且可以通过调查获取的信息。

要保证所有地方的密码都毫不重复并且牢记他们还不能混淆,再加上经常改换它们,而且还有诸多注意事项……果然是「密码虐我千百遍,我待密码如初见」啊。

面对这么一项专业技术活儿,不是每个人都是密码学专业毕业的吧?也不是每个人都有那么多时间专门用来改密码吧?

所以矛盾就在于:安全 = 麻烦事儿,省事儿 = 不安全 = 更麻烦的事儿。

如果刚才那一连串个人和世界性的事件,加上这一堆关于密码保护的麻烦事儿,还不足以回答「为什么要用 1Password?」这个问题的话,我想起来一句微软 XBox 的广告语:Life is short,Play more。

生活很美好,生命却有限,尽量把时间精力放到美好的事物和人身上总是好的。而防盗密码什么的,恐怕很难作为一种美好的事物被人们想起来。既然如此,为什么要为密码而操心呢?

1Password 的价值正在于此,就像它的名字一样,只需要「一个密码」,就可以安全又省事儿地把这些麻烦事儿都料理好。

1Password 真的安全吗?

既然 1Password 掌握了几乎所有个人信息,若是它本身不安全,岂不是「一着不慎满盘皆输」?

首先,如本文开头所说,因为 1Passwowrd 采用 AES(advanced encryption standard )256 位加密,这个加密标准本身的安全性是很高的。

其次,所有的个人信息都由且只由一个主密码(Master Password)看管,除了设置这个主密码的人,任何人都无法开启,包括应用程序开发商。所以保证这个密码的安全性够高,并且牢牢记住就够了。

最后,1Password 保存的所有数据都在本地,它提供的网络云同步数据也是加密后之后才同步。假如 iCloud 或者 Dropbox 有什么意外,这些数据都是如上所述加密的,只能被主密码(Master Password)开启,有几分飞机黑匣子的意味。这是 agilebits 官方过去针对 1Password 安全性的说明。

关于第三方登录

何为第三方登录?各位在很多网站都会见到类似场景:

国外亦是如此:

过去,登录一个新的网站服务,需要注册账号,填写邮箱,密码(如果是不太熟悉的网站还得想一个新密码),发邮件、收邮件确认等等非常麻烦。

最近几年,类似这样「用微博账号登录」的登录方式非常普遍,因为这样做可以免去新注册账号,新记住一个密码的麻烦,方便快捷。不过问题也随之而来了。

这样的第三方登录服务一般是基于 OpenID 和 OAuth 两种开放标准建立的。而这两种标准是不同的,简而言之:

OpenID 是关于证明、证实身份(Authentication)的,就像过安检的时候拿出身份证来看,比对是否同一个人。这是在回答「我是谁?这就是我」,是为了证实「这不是一个匿名的不可查的信息源头」,因为匿名对象和信息对网络服务商来说不好统计管理,也不利于产生价值。

OAuth 是关于授权、许可(Authorization)的,就像过安检的时候除了看身份证,还要求掏出兜里的东西,拿出包里的东西、手机等随身物品以便检查,这时就需要得到被检查人的许可才行。这是在回答「我同意让你对我进一步做些什么」,是为了在被授予权限的前提下,更多的获取除了账号密码以外的个人信息,例如:联系人通讯录,邮箱号,电话号,地址,照片,聊天记录,网络发言、活动记录,GPS 信息等等,来满足用户对服务的功能需要,或者「其他需要」。

OpenID 和 OAuth 是不一样的,但国内的很多网络服务商原本只需要通过 OpenID 就能解决的身份证明问题,因为或有意或无意地使用了 OAuth,从而带来了不少安全隐患。就像本来亮一下身份证就 OK,现在需要我把自己以及家里亲朋好友的户籍信息都详细报一遍,恨不能让我把家门钥匙给一把出去才行。

再加上现在移动互联网普及进程一日千里,微博、微信、QQ 还有很多其他互联网服务掌握了我们太多的个人信息,轻易授权某一方获取,人为刀俎我为鱼肉,这样真的让人放心吗?

所以又回到了之前提到的那个矛盾:安全=麻烦事儿,省事儿=不安全=更麻烦的事儿。

现在看起来,似乎选择「立即注册账号」是比选择「用XX账号登录」更麻烦,但选择前者的话,我需要提供的只是邮箱号,昵称,至多姓名,性别等等这样一些比较普通的个人信息,剩下的,就靠 1Password 帮我生成一组高安全度的密码,并且帮我把用户名和密码都记住,等我下次登录时自动填充就行。

这样,个人信息得到最大程度的保护,也让密码的安全性得到保障,同时也不需要我再为记住一堆用户名和密码而操心,一举三得,岂不快哉?

一些安全相关的细节

国内有些网站(例如淘宝)和一些服务或应用(例如 QQ,但微信却可以)不支持自动填充和复制粘贴密码,只能通过手动键入密码。自己的随机密码越奇葩、越不容易被盗、越安全,这个时候越感叹,加密虽易,输密不易,且用且珍惜。

登录有些需要输入验证码的网站(例如支付宝),1Password 记录下登录信息时会连同验证码一起记录。这就导致下一次使用 1Password 自动填充账号密码的时候,它把验证码也一并填入,这时有可能出现:账号密码已经输入正确,没有验证码输入框,但点击登录时却提示验证码错误这种滑稽的事情。这时需要在电脑端打开项目详情,把下方除了 username 和 password 以外的有信息的条目删除。

1Password 因为没有用 OpenSSL 协议程序所以不受 Heartbleed 影响,使用 1Password 可以在个人范畴提高个人信息的安全度。但应对 Heartbleed,还得处在漏洞源头的网络服务提供商们也出力才行。

到现在(2014 年 4 月 18 日 17:38)关于 Heartbleed,在众多我正在使用的网络服务中,我收到了两家(国内一家国外一家)的邮件通知。

莫名的,此刻他们俩在我浏览器收藏夹的和 iPhone,iPad 众多 apps 中的位置靠前了许多。(若说这是广告植入,竟然有厂商宁愿花钱打广告也要对用户的账号隐私安全着想,如果这样的广告能越来越多地涤荡「点这里就能上我」之流,难道不是一件人民群众喜大普奔的好事吗?)

来源:少数派
信息也是生产力,精简才是硬道理!情报猎手带你突破信息迷雾,每日独家为您锁定最有价值的IT行业新鲜事。打开微信,扫描关注,赢取每月粉丝奖!
iOS未知错误代码提示解决
回到顶部
微信