软件推荐:Bitwarden——简单好用的开源密码管理器和一些简单的密码管理事项
本帖最后由 Aphrodisy 于 2024-10-2 00:12 编辑Bitwarden是一个免费的,开源的密码管理器。
大家也都感觉得到,现在各种网站都要求越来越复杂的密码,包括大写字母小写字母数字符号等,如果只有一个密码,那还可以靠记忆力,但密码多了就是考验记忆的时候了。为了解决这一问题,密码管理器应运而生。我的泥潭的密码就是随机生成的字符串,储存在这里面,每次登录可以用浏览器扩展插件自动填充密码。
Bitwarden的优势:
开源免费:Bitwarden是一款免费且完全开源的软件,代码公开在Github,任何人都可以审查其源代码。
跨平台:Bitwarden支持多种平台,包括Windows、Mac、Linux、Android、iOS以及八个浏览器扩展(Firefox, Chrome, Microsoft Edge, Safari, Opera, Brave, Vivaldi等),方便在任何设备上同步密码。
安全:Bitwarden使用端到端加密技术,密码信息只有你自己可以访问,即使Bitwarden公司也无法获取。
功能:Bitwarden提供多种功能,包括密码生成、自动填充、安全审核、多因素身份验证等,并且不止可以添加密码,也可以添加银行卡信息、身份信息、笔记,界面简洁直观,操作简单,注册即可使用。
如何使用 Bitwarden:
1.在官网下载 Bitwarden 应用并安装。
官网上方的Downloads里面即为下载,该页面有可供下载的各种不同平台的版本。
2.创建一个 Bitwarden 账号,这一步只需要一个邮箱账号,并设置你的主密码。
3.创建账号成功后输入主密码即可使用。每次查看软件都需要重新输入主密码解锁。
官网地址:Bitwarden
源码仓库:Bitwarden Github
注意:务必牢记你的主密码,因为这是你访问Bitwarden以及所有密码信息的唯一密钥,主密码丢失之后没有任何方法能够找回和查看记录的内容!
——————————————————————————————————
下面简单的说一些密码管理的事情。
想象一下,小偷想偷你家的东西。他不知道你家门锁的密码,但他拿到了几个钥匙,上面有几个密码组合。他挨个钥匙去试你家的锁,直到有一把钥匙打开了为止。
这种“试钥匙”的过程,俗称“撞库”。如果一个人手里掌握着大量的用户名和密码组合(这些组合可能是从其他网站泄露出来的),然后用这些组合去尝试登录不同的网站。如果某个网站的用户使用了和泄露数据中相同的用户名和密码,那么他就成功“撞”开了这个用户的账户。
打个比方,一个人想要盗取M网站的账号,但M网站作为行业头牌网站信息加密非常严格,几乎不可能泄露和被攻破,外部人员也无法访问,但你还曾经用相同的账号密码注册过A网站,但A网站只是个普通的小网站,对密码根本没有强力的保护,于是你的密码就这么轻易泄露了。
他获得了A网站泄露的用户数据,其中包含了你的用户名和密码。然后这个人用A网站泄露的密码去尝试登录B网站、C网站、D网站、M网站……,如果你的B网站、C网站到M网站也使用了相同的用户名和密码,那么你的B、C网站的账户就有可能盗取了。
目前各个大平台账户被盗等事件,绝大多数都是因为很多人使用相同的密码注册不同的大小网站,导致小网站账户密码被泄露之后被撞库。有些人觉得我的唯一的密码是vnl;ijads@890$v2这种非常复杂的要输入半天会很有效,实际上如果用相同的密码,破解小网站之后导出密码开始撞库也就是几行程序的事,在别人眼里这和123456没有差别。
所以,为了保护你的账户安全,不要在不同的网站使用相同的用户名和密码。
————————————————————————————
各大浏览器也有创建和储存密码的功能,这里说一下为什么我也很少用浏览器的密码储存。
这里有一篇如何获取Chrome保存的密码的文章:How to decrypt Chrome password with Python?
(以下为该文章部分内容节选)
不可否认,在Chrome浏览器中保存密码非常方便。它可以帮助你自动登录网站,而且也可以开启使用Windows登陆提示符,输入电脑的密码验证身份后查看密码。
但说实话,Windows登录提示符是一个薄弱的安全功能。你有没有想过Chrome是如何在没有任何提示的情况下自动填充密码字段的?这是因为Chrome已将你的密码保存在应用程序的其他位置。
值得注意的是,他们没有将其保存在安全的位置。
Chrome储存的密码有个加密的密钥,密码经加密后保存在本地加密的文件中,但问题在于,加解密的密钥以明文的方式储存在本地文件,如果用Chrome自带的密码管理保存密码,任何一个运行在你电脑上的程序,不需要管理员权限,都能解密并读取本地保存的密码。它存储在一个文件中,该文件可以在WindowsPC 上的以下位置找到:
C:\Users\AppData\Local\Google\Chrome\UserData\Local State
简单的使用记事本打开文件后,搜索单词“encrypted_key”
瞧!你找到了解密保存你的密码的密钥。
然后进入以下路径:
C:\Users\AppData\Local\Google\Chrome\UserData\Default\Login Data
很好,你找到了你的密码储存的地方。现在只需要一个普通二进制工具就可以打开这把锁。
可以说,这安全性还比不上在本地txt文件里保存密码,至少如果有恶意代码的话,它不知道你的路径,还得扫一下盘。而Chrome在本地保存的密码文件,解密密钥路径,还有储存格式都是固定不变的,上面的文章是三年之前的文章,可Chrome的密码储存路径至今未变。
Firefox这一点做的好一点,类似Bitwarden等密码管理器,它也可以设置一个主密码保护存储的密码。我有一部分密码也储存在Firefox里。
这个在火狐的扩展管理上常常见到推荐
不过我已经用了火狐自带的,就没用这个,之后越来越多就懒得更换了 本人主要是用浏览器插件来管理密码了 看着不错的工具,不过倒是习惯了直浏览直接填充密码~ 可以管理密码还是很方便的惹,记住一个主密码也不费劲{:6_169:} 本帖最后由 深暗幽狼 于 2024-9-22 23:06 编辑
在安卓系统8.0以上,底层特性支持了密码填充功能(IOS上也有,系统设置→密码),所以起先的Chrome和GMS打通了PC和安卓手机让我一直用下去,Edge看了下也有了密码填充。个人这里包含APP记录了一百多条账密,应该都可以一键导入和多端同步支持,但很早就依赖和习惯的所以不是那么轻易想换(苦笑
手机电脑都一直用的浏览器自带的密码保存功能 这个应该比那个更安全点? 都挺麻烦的说,不过有时候浏览器不保存密码就很傻比 为了密码的安全还要重新记住个密码 有点像套娃(感觉很好用唉 雀氏各种密码要求加强,不过一般也就那几种条件,换个头尾加个点,一直都是这么弄密码的{:6_165:} 一般习惯一个默认密码~但是现在浏览器都会记录也很好用,工具可以考虑 要是各大网站的密码要求都是一样的就好了,不一样就会不停的在那排列组合 我一般用浏览器自带的功能保存密码的{:6_169:} 以前玩魔兽,我用手机乱按了几组密码,因为经常用记忆忧新啊~~~ 靴靴,不过我已经忘掉很多了 平常是用浏览器自带的密码管理器比较多,不过确实有担心过是否存在风险() 印象里不少浏览器都自己有自己的密码管理器 如果这个能填充各种位置 包括浏览器外的密码的话好像也能就业(? 其实我感觉edge或者手机自带的密码管理箱就够了,实在不行放在qq的收藏里 一键添加账密很方便,原来也有安全问题惹{:6_169:} 线上有点担心密码失窃,一般都在其他地方有备份