如何安全把密碼交到別人手裏

TECH2IPO 於 10/02/2015 發表 收藏文章

胡亂對待敏感信息的公司很可怕,他們用未經加密處理的電子郵件或聊天工具接收或發送明文密碼,或者毫無安全意識地儲存他們的客户信息。更可怕的是,他們會讓各地的員工以貌似安全的方式共用同一個賬號。

幸運的是,有一些密碼管理器能夠化解這些難題。下面讓我們快速全面地瞭解一下這些好用的工具吧。

LastPass

同大多數密碼管理器一樣,LastPass 讓用户只需記住一個主密碼,用户的其他所有密碼都可以儲存在裏面。這樣用户只需要創建並記住一個複雜的主密碼,但所用每個網站的登陸賬號密碼都可以不同。

除此之外,LastPass 的企業賬户可以讓你為團隊中的每個人或小組設置不同等級的共享登錄信息。也就是説,你可以決定誰有權訪問哪些文件夾,支持雲同步。根據用户數量的不同,LastPass 企業賬户相應地收取每年每個用户 18 至 24 美元費用,無使用區域限制。

LastPass 還有個人高級賬户,可以設置一個單獨的文件夾分享給其他最多 5 個 LastPass 用户,這種功能很適合剛創業的小公司,合夥經營公司,或者需要和家人朋友分享密碼的用户。個人高級帳户的費用是每年 12 美元,只需主賬户持有人支付。

由於 LastPass 是基於雲端存儲的,它可以方便地在多台電腦上使用,但也有一些不足之處。比如説,你的密碼是被上傳到雲端的,儘管不是主密碼並且也是以加密的方式上傳的,但是終究會有不安全的因素。

另外,「像 LastPass 這樣的第三方服務商會在你訪問密碼時看到你的密碼以及密碼所屬的網站。」新聞自由基金會技術顧問,隱私和安全研究員魯納・山特維克認為。

「KeePass 和 KeePassX 可能沒有其他管理工具靈活,但它是開源軟件,完全免費,效率也不錯,」山特維克説。這些密碼管理器是本地使用的密碼管理工具,所以當你訪問不同的網站時,沒有第三方服務商會知道。但是,你需要經常備份數據庫。(也就是説,別弄丟了你的密碼庫,否則就會麻煩了。)

如果想要和他人共享密碼,你需要創建一個數據庫,設置一個密碼,然後將這個數據庫發送給其他人,同時要安全地把所設置的數據庫密碼發送給他們。我們過一會兒再來討論這個問題。

OneLogin

OneLogin 也是一個基於雲端的密碼管理器。它讓用户使用一個登陸賬號就可以登錄多個雲端服務。它還可以將一個公司裏多個賬號的「活動目錄」和賬號權限整合在一起。

OneLogin 另一個好處是它可以與種類繁多的企業應用程序整合在一起。它有免費和收費版本,收費版價格在每月 2 美元到 8 美元之間不等。

1Password
1Password 是一個個人隱私工具管理器,用户可以創建多個密碼庫,然後和其他的 1Password 用户共享任意一個密碼庫。但是用户需要使用 Dropbox 來同步數據。

「這是一個適用於家庭和小團隊的共享解決方案,但它不是一個企業解決方案,或者説它不適用於大公司,」密碼黑客大會的創始人兼安全顧問皮耶・索爾森説。1Password 的費用為 49 美元。

SplashID

SplashID 是一個適用於企業級用户的密碼管理器,它可以讓大型團隊或公司之間共享一些密碼和其他信息。比如一個 IT 團隊可以創建一批賬號、組別以及權限,這樣只有因工作原因需要查看密碼的員工才可以看到密碼,同時可以查看使用記錄。

Dashlane

Dashlane 也是一個適用於團隊的密碼管理工具。它有一個功能是,當團隊中某個人修改一個密碼後,那麼團隊中其他用户也可以看到這個改變。

當一個賬號可能被破壞時,Dashlane 也會發送安全警報到用户的設備上。提示客户創建一個更安全的賬號。

使用 Dashlane 每年需要支付 39.99 美元。它還有一個免費的版本,但功能非常有限。

Strip

Strip 也是一個企業級密碼共享功能的工具,它支持 Dropbox,Google Drive,以及本地 Wi-Fi 同步,並能夠創建本地數據備份。

LastPass、1Password 和 Onelogin 都支持雙重認證,就是説當用户需要用密碼登陸一個網站時,它們還增加了一個步驟來驗證用户的身份。比如説,登錄密碼管理器時不僅要輸入密碼,還要輸入發送到用户手機上的代碼。

雙重身份驗證對使用類似 Twitter 這樣工具的用户是一種挑戰,比如你有一個分散在各地的團隊,但只能使用一個電話號碼來驗證登陸。不過也有其他辦法,比如Google,它允許用户提前生成一批備用的登陸驗證碼,然後把這些備用的登陸驗證碼提前分發給各地的團隊成員,這樣他們登陸賬號的時候就不需要再通過實時的手機驗證碼來驗證。

假如你只想發送一條密碼給某個人,這時候使用密碼共享工具就顯得很麻煩。再具體點來講,比如你給某人發送了一個 KeePass 密碼庫,但隨後還需要向他們發送一個打開密碼庫的密碼,這個有點麻煩。

「我們面臨的挑戰是,即使你只在密碼數據庫裏存儲了一個共享密碼,你還是需要設置一個進入這個數據庫的密碼,」山特維克解釋道。那麼安全地共享這種單一密碼的最簡單方法是什麼?

你可以發送加密的電子郵件,這需要有點技術訣竅。或者使用加密的電話或短信軟件。比如「RedPhone(Android)和 Signal(IOS)這些應用程序,都特別方便。

SnapPass

SnapPass 是一個在 Pinterest 上面使用的開源軟件,可以讓人們發送一個鏈接到密碼的 URL 鏈接給別人。密碼存儲在用户自己電腦裏的 Redis 數據庫中。這還需要一些在本地電腦中的設置。

「打開該網址就會引出密碼」,網絡運營顧問戴夫•達什説(Pinterest 的前內部工具工程師,SnapPass 的開發者)。他繼續道「你只能點擊一次,URL 幾天後就過期。如果我為某個人建立了一個賬户,我可以發送一個 URL 網址給他們,他們就獲得了密碼,然後他們可以再修改密碼以確保安全。

達什建議,使用的時候可以設置應用程序和數據庫不能被公共網絡訪問,還可以限制訪問應用程序和關聯數據庫的人數。

當然,也有非技術類型的解決方案。例如,你可以一個登陸信息分散到不同的渠道發送。比方説你可以用電子郵件發送一個,再用聊天工具發送一個。

這就好比銀行發送借記卡的時候,將卡裝在一個信封裏,並將這張卡的臨時密碼裝在另一個信封內,不同的日期寄出。當然這不是萬無一失的。「這也是一種選擇,但基本夠用了,再擔心就顯得多餘了,就好像要操國家安全局的心一樣」山特維克説。

已經説的差不多了,只是要記得,不要將你所有的密碼都存儲在一個命名為「密碼」的文件夾裏。

文章來源:readwrite 本文由 TECH2IPO/創見 編譯


資料來源:TECH2IPO

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→