首先来说一些我的密码管理策略吧。
一些比较关键的密码,比如银行卡或者一些支付网站的支付密码,都是自行记忆,一般来说通过两段的组合得出一个完整的密码,一段跟时间相关,一段跟平台相关,这样任何一个需要密码的地方,就算是很长时间不用,一般来说都能根据回忆最后一次使用的大致时间,得出当初的密码是什么,或者现在很多网站会提醒最近一次修改密码是什么时候,就能很方便的计算出密码了。
一些比较简单的密码,比如宽带的登陆账号或者手机卡的服务密码什么的,限制了只能数字或者位数很少的,就选择一些比较简单的密码了,比如生日各位都加一个固定数值,或者通过一些位运算的方法,获取一个新的数字串,相对来说比较固定,比较方便记忆,但是跟自己的生日什么又不容易被人轻易猜测出来。
还有就是一些比较复杂的密码,这才是对密码管理器有要求的地方,主要表现为一些游戏账号,论坛账号,工具的账号等。这一类账号主要特点在于可能一段时间很多次的使用,然后很长时间都不会使用,下一次使用的时间就不知道是什么时候,另外可能由于一些论坛或者网站是由一些个人或者小团体建立的,账号的安全性得不到保障,随时有被拖库或者撞库的风险,所以尽量需要每个账号一个密码,并且密码要很方便的存储查找,最好密码管理器还能原生支持Google验证器的算法,毕竟目前很大一部分网站的两步验证都是使用的这种TOTP的算法。
下面说说使用或者试用过的几款密码管理器吧:
Keepass
名字应该没拼写错误吧,这个是使用得比较早的了,最早了解到密码管理器就是从Keepass开始的。当第一次下载安装,发现这才是想要的密码管理器的样子:能够很方便的生成随机密码,能够很方便的保存密码,有密码过期的提示,提供了比较方便的自动填充,支持基于窗口的自动填充,但是有几点又是我觉得比较麻烦的:没有一个很好看的UI,数据同步是个问题,一些第三方的插件,会网密码库添加一些奇奇怪怪的字段数据,没有比较好用的浏览器插件、手机客户端的解决方式,不支持TOTP密码。我看网上很多的评价,都是对Keepass很高的评价的,毕竟开源的东西,会更加放心一点,但是我觉得一个比较方便的同步才是更需要解决的。这也成为了放弃Keepass的一个主要原因。
LastPass
LastPass算是我使用得比较长的一款管理器了,优点是很明确的,服务器方式的同步,几乎全是基于Web的管理方式,很方便在各个平台使用,浏览器插件也是很方便,由于是从服务器直接获取密码数据,也少了本地与应用通信不畅的问题。但是LassPass有个比较蛋疼的问题,那就是在国内的访问速度很慢,如果使用代理,又需要在安全性里面设置信任另外一个区域的登陆,另外很多操作都是在Web上面,所以相应速度就会变得很不让人满意。之前试用了一下LastPass的Windows应用,感觉界面也是比较难看的,而且本地化工作一直做得不是特别好,有中文翻译,但是很多翻译的错误的,反而造成了一些使用上的不便。不过好在LastPass的价格倒是很便宜,免费的够用,收费的好用,这样的评价完全不为过。还有个问题是LassPass无法在一个应用里面使用TOTP密码,还需要安装一个额外的手机程序,这样在电脑上使用一些需要两步验证的网站,还是需要手机在身边。
Enpass
这个就是我前段时间一直在使用的管理器了,各方面都很让人满意,但是……重点往往都在但是上面,但是Enpass过于小众了,至少在我看来是很小众的,浏览器的插件更新不算很快,而且一些比较小众的浏览器,就没可用的插件可用了,而其他的管理器,好歹还有一些修改版的插件可以使用。像EDGE浏览器,到现在好像都没上架浏览器插件,另外,过于小众,也就意味着格式不被支持,比如我这次从Enpass迁移出来,就直接导致了无法直接导入之前的密码库。而Enpass的收费,主要是集中在了平台授权上,有点类似于前些年的1Password,但是好在价格都不贵,桌面端免费,移动端收费的策略,在只使用iOS或者只使用Android平台的时候,只需要花一次钱,就相当于解决了所有的使用问题了,但是如果同时使用两个移动平台,那么就不好意思了。另外,Windows版本的Enpass客户端,在输入主密码的时候,如果密码中有字母,而又正好打开了中文输入法,那么在输入的时候,是会把字母输入到输入法中的,导致密码输入很麻烦。
1Password
好吧,终于说到重点了,这货算是整个互联网呼声最高的管理器了吧,也是我目前试用期在尝试长期使用的一个了。先说说优点吧,好看,这货真的很好看,至少Mac平台上跟iOS 平台上我觉得很好看,Windows上勉勉强强,但是Windows上面目前是一个完全英文的环境,好在整个界面单词也没几个,看起来不算费劲,而存储的内容里面是可以完美兼容中文的。浏览器插件也算是比较方便,但是在试用的这几天,还是偶尔出现Chrome的插件跟应用无法通信的情况,不过有个折中的方法,官方上架了一款1Password X的插件,这个就能完全从互联网获取密码信息了,避免了与本地的应用通信,也就算是曲线解决了通信不畅的问题。然后这货对TOTP密码支持很到位,手机上电脑上都能很方便的查看,并且在电脑上自动填充登陆完之后,如果有TOTP密码,也会自动的把当前的密码放在剪贴板备用。然后就是缺点了,首先就是贵,虽然不是试用的几个里面最贵的,但是绝对不算便宜,不过好在因为1Password算是业界标杆了,导出的文件也可以很方便导入别的管理器,这样就算以后需要更换,也可以很方便。
这次暂时确定先使用1Password的一个原因是,他的收费模式是订阅制的,而我又正好想要换一个Android手机使用,至少目前看来各平台的体验都还不错。
Dashlane
这货在网上的评价里面也算是不错的,但是我安装好了不到5分钟就删除了,不算是特别重度的体验吧,只说说我的直官感受吧。安装需要通过网络安装,这点能保证程序的最新与安全,不容易下载到一些山寨的程序或者被改过的程序,这点好评。但是,注册的时候就有点蛋疼了,没有账号的密码,而是注册完了发个邮件到邮箱,通过邮箱链接设置密码,好吧,我认为是出于安全性考虑吧。打开程序,可以添加的字段数就很有限了,更别提没有TOTP密码的支持,我觉得这一点我就忍不了了。
RoboForm
这个也是这两天无意间在网上看到的,据说还很老牌的,但是恕我见识短了以前还真没怎么听过,好像图标是见过。一样的安装试用,前面的一切都很满意,比如账号密码与主密码分开,安装的时候也可以设置数据存储的位置和是否为所有用户安装,感觉做得很专业,事实上从网上的评论来看,确实也是很专业的一款,并且据说支持应用程序内的密码填充,这个倒是其他几款都不具备的。不过为什么说是据说呢,因为我压根没找到怎么手动添加记录,点击完新增,提示说直接从浏览器登陆网页,就会自动弹出新增的窗口,照做,确实也弹出来了,但是保存的一些字段让人有点摸不着头脑,所以很快也就放弃了。
Rememberbear
这个好像就比较新了,看了下介绍,看了下官网,浏览了下官方的Twitter,没有正式安装试用,就不说具体使用情况了,但是可以预见,相对来说比较大众化的,相对小众的又会遭遇Enpass一样的窘境,到时候需要导出迁移可能会比较麻烦。不过说实话,这货的界面什么的也挺好看的,可能以后会什么时候火起来呢。
总结
浅尝了这些款的密码管理器,首先确认能够使用TOTP密码的,就只限定在Enpass,1Password了吧,然后相对来说,对1Password的多种浏览器插件的选择比较满意,但是1Password的价格相对来说在这个系列里面,算是比较高的了,不过话说回来,相对于密码的安全性而言,一年几百的投入还是值得的。
心得
最后,网上就密码库是存在本地还是同步在互联网更加安全,真的是公说公有理婆说婆有理,主要就集中在之前的Keepass和LastPass两派吧。大家都觉得密码库放在本地,或者自己选择同步方式比较安全,但是放在本地肯定不能很方便的满足多终端的同步需求,一直只用单终端的当我没说吧,而需要同步的,大都是采用了Webdav或者各类网盘两种形式,但是采用第三方的这些同步,都会面临一个问题,就是这些同步工具的密码怎么存放的问题,用太简单的密码肯定不行,用太复杂的记不住,跟密码库主密码一样的话,安全性就大打折扣了。而从密码库本身的安全性来说,除非从来不用同步,不然不管是用什么方式,密码库都会在网络上留下痕迹的,不同点就在于是专业的密码库存放服务,还是专业的文件存放服务,相对来说,我认为专业的密码库存放服务应该会更强的安全性吧,所以说自行使用同步手段进行同步会更加安全,我认为是站不住脚的。
自此,几款密码管理软件的体验分享到此,可能今后会变得更好吧,到那时候可能就会有不同的偏向了。