用账号管理器管理重要资料

这是「App 背后的 App」系列之四

在先前的文章中我曾说到，越来越多的服务会向云端迁移，并多次提醒看官培养使用账号管理器的习惯。现在就专门讲一讲账号管理器。

账号管理器的用处

日记、摘抄、随笔、资料登记（通讯录、账号管理）、事项管理等等，都属于个人信息管理（PIM）的范畴，都来自同一个基点：好记性不如烂笔头。所以，账号管理器的第一个作用是帮助我们记住用户名、密码和登记的其他信息。

账号管理器并不限于记录网络账号，基于它算法加密的安全性你可以用来存放各种重要资料，比如身份证、护照、出生证、结婚证等各种证件，又比如银行卡、会员卡、软件许可等；也不限于记录用户名、密码，在注册/申请这些账号、证件、卡片时填写的个人信息，包括这些证件、卡片的照片备份，都可以记录存放。

跟数码设备相比，人的记忆能力实在很差。如果一种东西难以找到规律和意义，难以与经验挂钩，那么人也就很难记住它。一个习惯用头脑来记住账号密码的人，会设 !_$7#3@=w%&+T* 这样的密码来为难自己吗？可能性很小，China-20171029 这种形式的可能性大得多。也就是说，迫于记忆的压力，我们会倾向于使用低强度密码。

账号管理器既然卸下了我们记忆的负担，相应的第二个作用就是，可以提高密码的强度，不用再在乎密码有多长、有没有记忆的线索。

有感于人类并不擅长设定高强度密码，账号管理器的第三个作用是提供密码生成工具，帮助随机生成高强度密码。

账号管理器的第四个作用是帮助省去手输密码的麻烦。手动输入高强度的密码是一件让人头疼的事，它比较长，不光有数字，还有大小写字母和各种符号，所以各种账号管理器都提供自动填写插件和快速查找功能。

自动填写插件

快速查找功能首先是帮助复制粘贴，用以应对不支持自动填写的情况。在 iOS 上多数 App 的登录界面都不支持插件，但借助快速查找功能，仍然可以较快复制粘贴密码。在电脑上账号管理器一般会提供状态栏图标，可以在其中直接搜索复制，更方便一些。

其次是帮助快速筛选。比如说我不得不更换手机号码，会牵涉到水电划扣账号、银行卡、社保医保卡，其他还有什么记不清了，这时就可以把相关的项目都搜索出来，依此前去更改。

为了在不同的设备里达到相同的功能，账号管理器的第五个作用是“全平台”支持和数据同步。无论是 iOS、Android 还是 MacOS、Windows 都可以安装相应的客户端，在一个设备上所做的添加和更改能被快速同步到其他所有设备上。

上述五点是账号管理器必须具备的基本功能，除此之外它们还可能支持：

1. 密码分析：一是密码强度分析，二是核查使用了相同密码的账号。这主要针对使用账号管理器前注册的账号。
2. 风险报告：当某个账号的服务提供商爆出安全隐患时警示用户。
3. 二次验证服务：有些网站或软件支持二次验证（类似 Apple ID 双重认证），启用二次验证则要求输对密码和验证码才能登陆。支持二次验证服务的账号管理器能够接收验证码。
4. 定期自动更改密码：这是账号管理器 Dashlane 独有的功能，很智能、很省心，但需要服务提供商代码对接，目前支持者不多。

常见的疑虑

尽管使用账号管理器有诸多便利，但要将一些重要的资料寄托给它，大家肯定会有各种担忧。在这里我解释一些常见的疑问。

一、为什么不用自带的钥匙串（Keychain）功能

许多浏览器都自带账号存储和自动填写功能，iOS 系统自带的钥匙串功凭借先天优势，能在手机网页中实现最便捷的自动填写、密码生成和自动保存功能，而其他账号管理器因为系统的限制，在 iOS 上根本无法自动保存。在即将推出的 iOS 11 中，苹果更是打破 Safari 的限制，让钥匙串可以应用到 App 登录界面。

钥匙串功能自动出现在输入法上方

但即使升级到 iOS 11，系统自带的钥匙串仍存在严重的缺板：

1. 没有专门的管理界面，查找和修改比较费劲。
2. 只支持保存登录用户名和密码，不支持其他类型账号和附加资料。
3. 每个项目只支持一个网址，导致同一账号需要分成多项存放（比如 apple.com 和 icloud.com 都是用 Apple ID 登录，却被保存为两个项目），进而给更改密码带来不便。
4. 不支持数据导出导入和安全检查等功能，也不支持 Android、Windows 等其他系统，给跨平台数据同步带来巨大麻烦。

二、各家账号管理器的安全性如何

这个安全性指多方面：

1. 数据库加密的强度是否足够

   账号管理器通过用户的主密码计算出 256 位的密钥，再用 AES 算法加密数据库文件，没有密钥逆向解密出原数据的可能性为零，而使用穷举法寻找正确密钥所花的时间将以「亿年」为单位计算。

2. 是否会有后门

   账号管理器的开发者/服务商经受各种考验，如代码分析、网络传输数据分析，至今无人发现有获取主密码的行为。

   如果系统不安全，设备中潜伏了恶意软件，这些恶意软件可能会在你输入主密码时截获，这不属于账号管理器自身的问题。

3. 数据丢失风险

   分布式文件系统使云存储丢失文件的可能性极低（应该比记在纸质本子上还低），根本无须担心数据在服务器或网盘上丢失的问题。

   如果服务关闭呢？这可以参考之前国内网盘关闭的浪潮，服务商有义务给用户转移、备份数据的时间。

三、数据迁移是否被禁止

将重要资料存放在某个账号管理器，但是用了一段时间觉得另一个更好，要迁移这些资料会不会受到限制？

迁移资料的确可能会遇到一些麻烦，但至少是不需要手抄迁移的。为了争夺用户，账号管理器都会支持导入某些对手的数据库，也都支持将数据库导出为 CSV 格式。

最坏的情况只是不得不借助 CSV 格式迁移数据库，可能会丢失原数据库的一些格式规范，或者是字段名和值的混乱，需要做一遍检查。

1Password 导入对手数据库

1Password 导出 CSV 格式

选择适合自己的账号管理器

广受认可的账号管理器有 Keepass / 1Password / LastPass / Dashlane / Enpass 等，其中前三个处于第一梯队。

• Keepass

  Keepass 是开源免费项目，官方只有 Windows 客户端，在 Android、iOS 和 MacOS 上的软件都是第三方开发者自行开发。总体来说功能相对简单，对用户要求高一些。

  在 Android 上，Keepass2Android 的表现比较出色，但在 iOS 上，相关 App 的表现都很糟糕。

• 1Password

  1Password 在 MacOS、iOS 上的表现优于其他各家，在 Windows 上的表现略逊于 LastPass，在 Android 上表现较差。

  1Password 主要支持 iCloud 同步，如果要顾及 Windows 或 Android，则只有 Dropbox 可选，这对不少人来说是难题。

  1Password 的另一个缺点是价格比较高，按订阅制个人每个月约为 18 元，家庭每月约 30 元。按传统买断制的话，Android 端目前好像是免费；iOS 端也可以免费使用，内购解锁一些附加功能需要 68 元；MacOS 和 Windows 端单独购买大概需要 320 元，捆绑购买大概要 480 元。

  iOS 端不内购也已经包括密码生成和填写、多设备同步、Touch ID 锁定等基本功能。

• LastPass

  在 Windows 和 Android 端表现优于其他各家，在 iOS 和 MacOS 也不算差，在平台支持上没有明显缺板。LastPass 的数据库存放在服务器上，客户端均为 WebApp，若论不足，主要是界面不够美观、离线使用不便。

  LastPass 实行订阅制，但各平台均可免费使用，没有常用功能的影响。订阅用户的优势主要在于：

  • 可以建立和维护家庭共享文件夹，放置共用账号；
  • 可以有更多附件存储空间。

  可以说 LastPass 对免费用户是很厚道的。

• 其他

  • Enpass 的功能中规中矩，自动填写能力略逊，胜在价格便宜。电脑端一概免费，手机端 68 元时常限免。
  • Dashlane 是新贵，有独家的定期自动更改密码功能，据说在国外占有率攀升得很快。缺点是在国内水土不服，自动填写功能时常失效；订阅费比谁都高，免费用户连同步数据都不行。

相比之下，LastPass 无疑是最好的选择。

LastPass 的使用

在使用方法上各个账号管理器大同小异，这里以 LastPass 为例，其他账号管理器可依此类推。

首先应该在电脑上前往 LastPass 的主页 https://www.lastpass.com/ 创建账号、安装浏览器插件。

创建 LastPass 账号

正如「LastPass」这个名字表达的意思，LastPass 账号的密码大概是用户需要用脑记住的最后一个密码（至少是少数之一），所以应该尽量让这个密码的强度高点。把数字、大小写字母和符号都用上，不要使用日期、单词和全拼之类带含义的拼写。密码框右侧给了一个随机样本，可以在此基础上加以改造，并强记下来。

一、浏览器插件

在安装完插件之后，浏览器工具栏上会添加一个显示为 ···| 的按钮，通过这个按钮能调用 LastPass 的所有功能，如搜索和管理账号、密码生成器等等。

此外我们会看到，在网页填写栏的右侧多了一些小图标，点这些图标就能帮助我们自动填写和生成密码。

自动填写和生成密码

在我们注册或登录账号时，如果 LastPass 检测到账号数据库并没有存储该账号，则会弹出提示保存。

LastPass 的绿色提示条

基于插件自动保存的特性，通过电脑浏览器注册账号能省去许多手动录入的工作。

二、账号管理页面

当然，插件并不总是那么智能，有些时候插件无法自动保存填写的资料（比如注册账号时有分页向导），这时候只能先将填写的资料都复制粘贴到一个临时的地方，在登录时让 LastPass 先自动保存用户名和密码，其他的资料在编辑时添加进去。

要管理账号数据库，点击 ···| 按钮，在弹出菜单中选择「打开我的保险库（Open my Vault）」。

如果菜单显示为英文，请点「Preferences > 高级 > 语言」，选择「Chinese (Simplified)」。

在数据库管理页面左侧，「站点」存放网站、App 的账号登录项目；「安全笔记」存放证件、卡片等其他类型的账号；「表单填写」存放预设的支付卡片和寄送地址，以便购物时可以自动填写，这个在国内用处不大。

点「站点」，找到要补登信息的账号。当鼠标指到项目上，会自动显示相应选项，点扳手图标编辑站点信息。

编辑站点信息

在弹出的编辑框左下方再点扳手图标，就可以添加注册时要求填写的项目了。

三、安全挑战

在「···| > 更多选项」或数据库管理页面左侧，可以看到「安全挑战」功能。选择安全挑战，LastPass 将扫描账号数据库，生成安全性报告。

1. 标示各账号所用密码的强度；
2. 列出使用了相同密码的账号；
3. 列出可能受到危害的账号；
4. 列出密码过于脆弱的账号；
5. 列出过长时间没有更改密码的账号。

这时可以根据安全报告的指示，前往网站或 App 更改密码。

四、账户设置

在数据库管理页面左侧的下方可以点开账户设置框。

1. 通用

   在「通用」选项卡里主要可以更改 LastPass 账号的密码、选择界面显示语言，以及绑定手机恢复号码。

2. 多重验证选项

   可以启用或禁用各种二次验证服务。

3. 信任的设备

   如果 LastPass 账号开启了二次验证，在登录时可以选择“信任”一个设备。在经信任的设备上登录时，不会被要求进行二次验证。 信任的有效期为 30 天，过期后设备会重新要求信任。

4. 移动设备

   这里用于允许和禁止手机、平板访问 LastPass 账户。当新的手机、平板设备登录 LastPass 时，LastPass 会向注册邮箱发送验证邮件，在邮件里点击了允许之后才能成功登录。

   成功登录过 LastPass 账户的手机、平板设备会被列出在「移动设备」的列表中，并且访问权限显示为「允许」，如果将之调整为「禁止」，则该设备再也无法登录此账号。

5. 等效域名

   在编辑站点信息时可以看到，LastPass 存储的每个站点账号只支持一个网址，但有时服务商的网站/域名并不只有一个，这时需要用等效域名使同一个账号能自动填充到不同的网站上。

   LastPass 已经内置了许多知名网站的等效域名，用户可以参照这些范例自行创建。

五、更多选项

在 ···| 菜单或数据库管理页面左侧点「更多选项 > 高级」，可以看到导入、导出的功能。

在导入页面上可以看到，LastPass 支持的导入类型极其丰富。原本使用系统自带钥匙串的用户可以选择从 Safari Password Manager 将数据导入到 LastPass；导入主流浏览器（如 IE、FireFox、Chrome、Opera 等）和其他账号管理器（Keepass、1Password、Dashlane 等）的数据库都不在话下。

六、在移动端使用 LastPass

1. 安装、登录 LastPass

   在电脑上完成注册和相关配置之后，接着在手机上安装 LastPass，如果要使用两步验证，则还要再安装 Authenticator。

   初次登录 LastPass 需要邮件验证或两步验证，成功登录后可以启用指纹，省得时常要输入它的高强度密码，苦不堪言。

   

   启用 Touch ID

   不过每次重启手机，LastPass 都会重新要求输入密码登录，然后才能使用指纹，以防时间一长用户把密码忘掉。

2. 使用插件

   打开 Safari 并调出分享面板，在最后一行图标上左划找到「更多」，打开 LastPass 的开关并移到靠前的位置。

   

   启用插件

   之后点这个按钮就可以选择要填写的账号信息。

   

   自动填写

   虽然在手机上 LastPass 不能自动提示保存，但在注册或登录新账号时同样可以用插件添加。

   在插件界面点右上角的三点图标出现侧边栏，选择「Add New Password」添加账号。

   

   在插件中添加账号

   如果是在网站上注册新账号，也可以在插件里先添加，再让它自动填写到网页上。

   手机、平板上的插件的确远不如电脑上的强大，建议使用电脑注册和登录新账号。

3. 登录 App 账号

   在 Android 上 LastPass 有悬浮按钮可以自动填写 App 的登录信息，实现跟网页同样的体验，但在 iOS 上就比较糟糕。

   iOS 的多数 App 在登录账号时不支持任何插件，此时在 iPhone 上只能用应用切换器先切换到 LastPass 复制密码，再切换到要登录的 App 粘贴，别无他法。

   如果通知中心有 App 启动插件，将 LastPass 添加到插件里能稍微减轻切换之苦（见《提高打开 App 的效率》），还好用户并不需要天天登录 App 的账号。

   iPad 借助分屏模式能免去来回切换，但依然需要手动查找和复制粘贴。