近期网上各种新闻媒体爆料出的一系列帐号数据泄露事件在一次次说明,使用一个通用密码是非常危险的,尤其是借助第三方云服务!对于了解过过怎样构建属于自己的安全体系的用户来说,有一个好用的密码管理器配合我们来减轻密码的记忆压力还是很有必要的。
不仅是当代,历史上也有很多由于各种原因导致密码泄露的事件。这些事情一直在提醒我们对于信息安全是有多么的重要!
历史上密码泄露事件枚举
1917年1月17日,一战期间,英军截获了一份以德国最高外交密码 0075加密的电报。这个令人无法想像的密码系统由1万个词和词组组成,与1000个数字码群对应。密电来自德国外交部长阿瑟·齐麦曼,传送给德国驻华盛顿大使约翰·冯·贝伦朵尔夫,然后继续传给德国驻墨西哥大使亨尼希·冯·艾克哈尔特。电文将在那里解密,最后要交给墨西哥总统瓦律斯提阿诺·加汉扎。
2014年12月25日,国内最大的漏洞发布平台乌云网今天上午出现了一则关于12306的漏洞报告,危害等级显示为“高”,漏洞类型则是“用户资料大量泄漏”。具体来说,这个漏洞会导致12306用户的账号、明文密码、身份证、邮箱等敏感信息泄露,而泄漏的途径还不知道。之后该漏洞提交给了国家互联网应急中心进行处理。
2016年12月10日晚,据一本财经报道,一个12G的数据包开始在黑市流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。而黑市买卖双方皆称,这些数据来自京东。2016年12月11日凌晨,京东方面发布声明,该数据源于2013年Struts 2的安全漏洞问题 [2] 。但强调,该数据初步判断源于2013年的一次安全漏洞。京东表示,当时国内几乎所有互联网公司及大量银行、政府机构都受到影响,导致大量数据泄露,暗指这个问题不只是京东一家出问题。
2017年12月5日,研究人员在一个地下社区论坛上发现了这个数据库,据称是迄今为止从暗网上发现的规模最大的数据库。此数据库中包含泄露自以下服务的明文凭证:Bitcoin、Pastebin、LinkedIn、MySpace、Netflix、YouPorn、Last.FM、Zoosk、Badoo、RedBox、如《我的世界》和《江湖》等游戏以及Anti Public、Exploit.in等凭证列表。
目前流行的密码管理软件
目前比较流行的密码管理软件有 1Password、LastPass、Zoho Vault 以及 KeePass 等,而如果你还想在它们之外再挑一款的话,那么开源免费跨平台的 Bitwarden 就值得你试试了。Bitwarden 支持 iOS / Android,并且提供多款主流浏览器扩展,可以在任何设备上同步使用和管理你的密码。
开源免费的密码管理软件Bitwarden
Bitwarden 是一个开源的密码管理器解决方案,拥有多平台客户端。它采用的方式是云端数据库、客户端同步和离线使用的模式,vaultwarden 是一个使用 Rust 编写的非官方 Bitwarden 服务器实现,它与官方的任意平台上的客户端兼容。bitwarden 项目现已更名为 vaultwarden。
Bitwarden 的工作方式类似于1Password 和 LastPass,它全程使用加密对你的个人数据进行本地加密,然后再传输到云端服务器来实现网络同步。Bitwarden 使用了微软 Azure 云服务器,利用 PBKDF2 方式加密主密码,而且还支持两步认证登录,安全性方面可以让人放心。
部分截图
Bitwarden 除了有网页版、Android / iOS 移动版客户端外,还提供了 Chrome、FireFox、Opera、Edge 等主流浏览器的扩展程序,支持多种方式导入外部数据,以便能在所有电脑和手机上使用或同步你的个人密码数据,而且上开源、免费的特性也让 Bitwarden 更具优势,任何公司和个人都可以在不违反开源协议的情况下自由的修改其源代码。
支持网页、应用程序自动填充
Bitwarden 的浏览器扩展程序以及移动端APP均能支持自动填充,在 Android和iPhone上还支持指纹识别登录,使用起来很方便!有了Bitwarden,妈妈再也不用担心你由于忘记密码而不能登录要访问的应用程序或者网站!
首次使用 Bitwarden,可以直接从 1Password、LastPass、Chrome、SafeInCloud、Zoho Vault等密码管理软件或者从浏览器中导入的密码数据,然后就可以放心地使用了。
由于 Bitwarden 跟 其它密码管理软件一样,会将全部数据保存在其服务器上,风险高低就只能说是看对端服务器的造化了。当然,不错的是Bitwarden 完全开放源代码,所有数据也是经过加密后才上传的,技术上还是靠谱的。
总结
如果觉得密码被同步到别人的云上始终不放心,那就选择 1Password、KeePass 这种进行纯本地化的密码管理吧,或者用搭配自己信得过的云 (比如 Nextcloud) 来进行同步它们的数据。
但总体来说,Bitwarden 还是给了我们一个新选择。它更像是一款开源免费版的LastPass,如果对目前主流管理器感觉不符合自己的期望,或者不大愿意为它们提供的服务进行买单,那么Bitwarden就是我们的最佳选择。
