口令安全系列之三——教你使用自動(dòng)化工具管理口令

發(fā)布時(shí)間： 2016-01-29 17:14:55  

分享到：

在前兩期中，我們介紹了弱口令的前世今生和設置一個(gè)強口令的技巧，相信大家對口令安全已經(jīng)有了比較深入的理解，也具備了自己設計強口令的能力，但是記憶口令畢竟是一件辛苦的事，有沒(méi)有更加簡(jiǎn)便的方法來(lái)幫助更加方便的管理我們的口令呢？另一方面，即使我們設計了強口令，如果存儲口令的系統遭到破解也會(huì )導致我們的口令漏泄，如何降低這方面的風(fēng)險呢？本期東網(wǎng)快訊教你借助工具提高口令安全。

一、利用口令管理軟件來(lái)管理口令

Keeppass是一款開(kāi)源的口令管理軟件，通過(guò)密碼和密鑰，它能夠提供一個(gè)足夠安全的密碼存儲空間，在使用上也十分簡(jiǎn)便，支持 Windows、Linux和 Mac 三大平臺,甚至還有移動(dòng)操作系統版本，可以幫助我們有效的管理賬號口令。

Keeppass的安裝非常簡(jiǎn)單，以windows版本為例，大家可以通過(guò)http://keepass.info/download.html進(jìn)入下載頁(yè)面，點(diǎn)擊下圖所示的下載按鈕就可以下載windows版本的安裝包。

下載后雙擊EXE開(kāi)始安裝，安裝時(shí)默認語(yǔ)言選擇English，按照提示完成安裝。安裝完成后到http://keepass.info/translations.html下載漢化包。

將下載好的文件解壓到 KeePass 的安裝目錄，然后啟動(dòng) KeePass，選擇 View 菜單，點(diǎn)擊 Change Language，在彈出的對話(huà)框中選擇 Simplified Chinese，在彈出框中點(diǎn)擊YES重啟KeePass就完成了全部安裝過(guò)程。

開(kāi)始使用 KeePass 之前，首先需要創(chuàng )建密碼數據庫以保存密碼，步驟如下：

啟動(dòng) KeePass，選擇文件菜單，選擇新建選項。軟件會(huì )提示我們選擇數據庫文件保存路徑，這個(gè)文件就是存儲我們的密碼的文件。這個(gè)文件是經(jīng)過(guò)十分安全的算法加密的，只要我們設置一個(gè)足夠強大的管理密碼，就可以達到很高的安全性。

選擇文件路徑之后會(huì )要求創(chuàng )建管理密碼，建議采用管理密碼的方式來(lái)保護，采用上一期的密碼設計技巧設計一個(gè)強大的管理密碼來(lái)保護我們的密碼文件。

密碼設置以后會(huì )要求進(jìn)行數據庫配置，通常情況下我們只需要輸入數據庫名稱(chēng)并采用默認配置就可以了。以后每次打開(kāi)KepPass時(shí)需要輸入這個(gè)管理密碼才能訪(fǎng)問(wèn)我們的數據庫文件。

完成數據庫配置就可以開(kāi)始使用了，當你需要記錄一個(gè)賬號的時(shí)候，可以在空白處點(diǎn)擊添加記錄。

在彈出的輸入框中輸入標題用戶(hù)名、密碼、網(wǎng)址備注等信息并點(diǎn)擊確定就可以生成一條記錄。

當我們要輸入密碼時(shí)，打開(kāi)KeePass，郵件選擇相應的記錄，點(diǎn)擊網(wǎng)址可以使用瀏覽器打開(kāi)網(wǎng)頁(yè)，點(diǎn)擊“復制用戶(hù)名”、“復制密碼”等按鈕即可復制出用戶(hù)名和密碼，粘貼到網(wǎng)站上即可。

通過(guò)KeePass來(lái)管理口令可以有效減少口令的記憶量，只需要記住一個(gè)管理密碼即可管理所有的賬號口令。此外，KeePass的數據庫文件加密算法安全性很高，只要管理密碼的強度夠高，即使數據庫文件丟失也不用擔心密碼泄露的問(wèn)題。

上述方式適用于在單臺計算機上存儲所有密碼，如果要在多臺計算機之間同步密碼庫的話(huà)，可以將數據庫文件上傳到Dropbox、Google Drive、onedrive等云平臺，在打開(kāi)KeePass時(shí)點(diǎn)擊”文件”菜單下的打開(kāi)菜單，點(diǎn)擊打開(kāi)URL，輸入數據庫文件的網(wǎng)址和用戶(hù)賬號密碼，這樣多臺安裝了KeePass的計算機之間就可以同步密碼庫了。

在上述的基本功能之外，KeePass還能實(shí)現自動(dòng)生成密碼、自動(dòng)填寫(xiě)密碼等一系列功能，大家有興趣可以自行在使用中進(jìn)行嘗試。

除了KeePass以外，LastPass也是一款常用的口令管理軟件，LastPass是以瀏覽器插件的形式提供口令管理能力的，除了口令存儲記錄以外，還能實(shí)現很好的密碼自動(dòng)代填功能，使用起來(lái)十分便利。但LastPass的密碼是存儲在云端由服務(wù)商進(jìn)行維護的，之前曾經(jīng)出現過(guò)云端被入侵導致用戶(hù)信息泄露的事件，因此建議不要將網(wǎng)銀等重要業(yè)務(wù)賬號存儲在LastPass中，避免數據泄露帶來(lái)的風(fēng)險。

二、巧用社工庫查看密碼泄露情況

隨著(zhù)互聯(lián)網(wǎng)安全事件頻發(fā)，許多網(wǎng)站都收到過(guò)攻擊導致敏感信息泄露事件的發(fā)生，如何知道我們正在使用的密碼是否已經(jīng)泄露呢？一些信息安全技術(shù)人員或公司收集了互聯(lián)網(wǎng)上泄露的賬號密碼并提供了查詢(xún)服務(wù)，我們可以巧用這些社工庫來(lái)查詢(xún)我們的密碼是否被泄露。

通過(guò)百度搜索關(guān)鍵字“社工庫”可以找到很多社工庫相關(guān)的網(wǎng)站，使用方法基本類(lèi)似，我們以http://www.xiumima.com/為例，打開(kāi)網(wǎng)站后在關(guān)鍵字輸入框中輸入我們常用的賬號關(guān)鍵字，如QQ號、郵箱、手機號、用戶(hù)名等進(jìn)行查詢(xún)，即可查看相關(guān)的密碼泄露情況。

以“liudh”作為關(guān)鍵詞進(jìn)行查詢(xún)，可以看到大量的記錄，其中綠色圖標表示泄露賬號的網(wǎng)站或應用，如CSDN，小米賬號、天涯論壇等，藍色部分則為用戶(hù)賬號、郵箱和密碼信息，其中密碼字段較長(cháng)的通常為經(jīng)過(guò)MD5加密的密碼。

由于獲取完整密碼通常需要注冊，因此我們通?？梢酝ㄟ^(guò)用戶(hù)名和郵箱來(lái)判斷是否是自己的賬號，再結合泄露的來(lái)源就知道我們的哪些口令已經(jīng)泄露了，趕快去修改吧。

至此，口令安全系統的內容已經(jīng)向大家介紹完畢，希望大家能夠通過(guò)我們的講解掌握提高口令安全的技巧，提升自己的信息安全水平。