本期主题
《密码管理:每位律师都应该关注的信息安全工具》
推荐工具
1Password
正文
你的密码是什么?
统计显示,如果是六位数字,那么通常是:123456,111111,000000,自己的生日,恋人的生日……
如果是带字母的,通常也会是:自己的姓名(或者姓名缩写),加上生日——个别时候还会区分大小写……
信息安全,是我们这群从小在互联网上长大的「互联网原住民」最应该注意的事情。因为随着我们注册、使用的平台、工具越来越多,我们在各个平台的「数据库」里都会留下自己的各种信息——姓名、身份证号、手机号、邮箱……而这些信息,都被「我们设定的密码」所存储着。
但问题在于,统计显示,人们在不同平台,通常都会使用相同或者类似的密码——也就是说,一旦某个平台的数据库被攻破,那么理论上来说,黑客可以打开你所有平台的账户。
之前时不时在网络上出现的各种「明星照片」事件,很多时候都是这个原因——尽管你的信息放在苹果、谷歌的服务器上,这样的大平台通常很难被攻破,但是,同样的用户名和密码,你可能也在很小的平台上注册过,而这些小平台的数据库,就很容易被破解——一旦破解,你所有的信息,基本都泄露了。
去年蒋律师的App store,就被别人破解过。还好没出大碍。
作为一个「频繁在各大网站上」注册账号的人,我对自己的信息安全向来非常谨慎。而同样的,律师作为一个工作内容往往会涉及他人隐私的职业,信息安全也应该引起每个人的重视。
所以今天推荐的工具,就是一款「密码管理」工具。顾名思义,是帮助你更安全地管理各个平台上的密码的工具。
安全和效率不可兼得
在介绍工具之前,还是先说明一些基本的概念——安全这件事,注定和效率是背离的。安全性越高,效率往往越低。
只是随着自己拥有的信息越来越多,我越发感觉到安全的重要性,因此,愿意放弃一定的效率——如果你觉得自己的密码就算丢了也无所谓,那么自然不用有这个顾虑。
从这个角度来说,我绝大多数使用的服务,基本都是国外的——印象笔记我用国际版,同步盘我用Dropbox,基本上能用Google账户的就用Google账户……核心原因在于,国内的各种服务,不论是技术本身,还是政策原因,安全性上都会打折扣——国外的服务最多是被「攻破」,而很多国内的服务公司,往往会「监守自盗」,把用户信息泄漏。
不然你以为每天的垃圾信息哪里来的?
所以从安全的角度来说,我们在每一个平台注册的账户,用户名可以一样,但「密码一定要不同」。
并且,密码之间不能有「可以摸索的规律」。
有一个概念叫「社会工程学」,我们在互联网上所听说的「人肉搜索」,本质上就是社会工程学的体现——有很多专业的黑客,他们非常善于用技术+社会工程的方法,破解用户的密码,从而获取自己的利益。
比如,我之前听过一个案例——有个倒霉的用户,尽管在不同平台都使用了不同的密码,但是有一次中招了,进了一个银行的诈骗页面。这个页面就是个登陆页,所有的功能都是——当你输入用户名、密码之后,就提示你「密码错误」,最终,这个用户试了很多次不同的密码,而骗子因此得到了这个用户「几乎所有的密码」。
所以除了更谨慎之外,用工具就是为了解决类似的问题——如果这个密码复杂到我自己都不记得,那骗子还怎么骗。
这也是为什么,我会推荐这款名叫 1Password 的工具。
为什么&如何使用密码管理工具
类似的密码管理工具还有很多——但基本都是国外的,1Password是其中的佼佼者,同样的工具还有 LassPass。
这类密码管理工具,基本上都是一个思路——你只要管理一个「主密码」,来锁住自己的密码库,其他平台的密码,都放在这里就行了。
但它们也不仅仅是一个简单的「带加密功能的文件夹」而已——否则的话,你大可以把所有的密码记在一张纸上——只要保证纸不要丢了就行。
之所以会推荐使用这样的工具,核心还是为了解决上文提到的问题——如何在保证安全的基础上,尽可能地提高效率。因为这类工具,基本都会提供很方便的功能,帮助你在密码管理&使用上提高效率。
1. 核心功能一:智能自动填充密码
1Password支持几乎所有的系统以及浏览器,只要安装插件(就像印象笔记一样)后,它就能根据你正在使用的页面,自动帮你填充密码。如下图
当你安装了1Password插件,在需要登录的页面里只要点击「Ctrl+\」,就能够自动呼出上面这个界面,如果你并没有多个账户,那系统就会智能地帮助你输入密码。
所以我其实不记得自己的密码——因为每次登录时,我都是靠按「快捷键」完成的。
2. 核心功能二:自动生成高强度密码
因为1Password具有强大的「密码生成功能」,使得我在任何平台注册时,都会让它帮我生成类似下图一样复杂的密码——
像上面的那种密码,是非常难被破解的——同时因为很长,连我自己都记不住,只要系统帮我记住就行了。
因为有了这个功能,我不再需要费尽心思地设置不同的密码,同样只要按快捷键,自动生成,之后系统就会自动帮我记录下来。
结语
不论是1Password,还是LassPass,本质功能都是类似的——通过生成一个密码管理库,你只要管理好这个「库」的密码,就可以管理所有平台的密码。
就像在电脑上开了个「密码保险箱」一样。
在使用的过程中,类似信用卡密码等信息,也只要在网站上使用过一次,1Password就会提示你是否保存,之后就可以自动帮你填写了。
另,这类工具都需要收费——但一直以来,我都非常推荐每个人都使用正版。在密码管理这件事上,就不要浪费心思找盗版了——万一盗版里有木马,那就全完蛋了。加上现在1Password是支持免费试用的,你可以试用看看再付款。
信息安全是头等大事,希望这款工具可以帮到你。
最后
接下来「用工具升级大脑」专栏会正常更新,我会尽快补上之前的内容。每周日会上新的内容。
于此同时,我也在做一些新的尝试——今年我希望在「商业模式及思维」这个话题上,进行更多的探索。
你可以扫描下方二维码,关注我的微信公号——
另外,我也在尝试用更好的形式来运作我们的这个社群,你也可以扫描下方图片,加入我们的「大鱼私享会小密圈」,在这里,我每天会把自己一些的思考(不那么方便放在微信朋友圈的内容)在这里和大家分享——已经有将近400位朋友加入了。