小聊密码保存

前天小练又跟我说忘记密码了，我鄙视地跟他说怎么不用我安利的密码保存软件。他说原因可能是很简单的，两个字，麻烦。既要快捷方便，又要省事省心，目前还是比较难以做到的，下面我们来聊聊密码保存的事。

我为什么要使用密码保存软件？

原因是有一次用社工库查询，发现我常用的一些密码居然被列在上面。要知道，大部分玩黑产的人都有你的资料，只要你一个电话就得到你所有的信息。那密码作为你网上帐号的最后一道防线，就那么简单地被人知道了，那是很危险的。我开始害怕了，我开始寻找一个密码保存工具。

为什么要使用工具，很简单。就是为了得到不一样的密码，而且长度和复杂度都可以自己调配。

密码保存软件大致分为两种，要钱的跟不要钱的。

要钱的以1Password为首，特点是界面好看，多平台。缺点是要付费，主要看个人喜好。

不要钱的我就强烈推荐keepass，开源，多平台。缺点是要自己同步密码库，我的做法是自己用同步工具来同步。这就可以完美现实改一处密码，就可以多端同步了。

可以看出，我已经完全离不开这个软件了。我把99%的网上帐号都放到里面，只需要记一个密码。这就是使用工具的好处，当然，现在看到这里的人也不会有想用的冲动。因为你帐号首先要多，你不想帐号信息泄露，你很在意密码安全你才会用。或者，最重要是，没死过的人怎么会怕死，你不被盗过号怎么知道安全的重要性。

Behind the scenes

我们为什么要使用密码保存软件，最重要的一个原因是安全。我们都知道，密码越复杂，破解的时间就要越长。没有了常规可寻，只能使用暴力破解，这种破解是需要成本的，因此，可以说你的密码终于算安全了。在软件里，有2个关键点可以保证：

加入了特殊的字符。

主要是为了增加复杂度。

长度最大化

如果网站没有要求最大长度，建议16位以上。

对于14位的大小写加数字（先不算特殊字符了）组成的密码的集合有多大？

自然就是（262+10）^14 = 62^14 = 1.24 10^25，这个就约等于12亿亿亿，即使我们每纳秒可以校验一个p(一秒钟10亿次，目前PC做不到)，暴力破解法也大概需要4亿年；

而生产如此复杂的密码，大部分的软件都是很简单，只需要点两下鼠标就可以为你生成。

有没有更舒适的姿势？

答案是有的，软硬结合。所谓软就是软件，而硬件就是手机。我厂手机支持指纹识别，其实只要系统上支持就可以做到了特别舒服的体验。如果实现的话，可以有以下几个特点：

1.系统集成了管理密码软件，不再需要安装，也不需要同步，我们已经为了同步，不过要开发浏览器插件。

2.真正的指纹即密钥。

刚好有公司一个个人的创新活动，我已经上报了，不知道有没有可能会采纳 :)。考虑到可能会要比较多的成本，不一定会采用。但是任何的创新都是需要成本，锤子系统加入的功能看似强大，其实不是没有人想过，或者做过。只是没有被包装或者被优化到可以变成产品，任何的创新如果害怕成本都不用创新了。

国产 vs 其他

最后，说一下国产的密码保护软件和国外的。国产的有几个代表的，但是有一部分人会怀疑表示不敢使用。我其实也不会用的，并不是说担心。其实是害怕，因为你不知道它会拿来做什么。因为它们不开源，密码库还不能离线，这样对一般使用者来说，不能接受。但是现在使用这类软件的，一般都是对密码保护要求比较高的人才有这种意识。如果能方便地做出一个产品，让大部分其他用户，可以不用安装第三方软件，可以很方便地使用。我相信，这是一次跨越。

全文并没有说其他牌子的密码生成软件，我只用了keepass(小试过1password)，而且我感觉我还可以用下去。