這是「App 背后的 App」系列之四
在先前的文章中我曾說到,越來越多的服務會向云端遷移,并多次提醒看官培養使用賬號管理器的習慣。現在就專門講一講賬號管理器。
賬號管理器的用處
日記、摘抄、隨筆、資料登記(通訊錄、賬號管理)、事項管理等等,都屬于個人信息管理(PIM)的范疇,都來自同一個基點:好記性不如爛筆頭。所以,賬號管理器的第一個作用是幫助我們記住用戶名、密碼和登記的其他信息。
賬號管理器并不限于記錄網絡賬號,基于它算法加密的安全性你可以用來存放各種重要資料,比如身份證、護照、出生證、結婚證等各種證件,又比如銀行卡、會員卡、軟件許可等;也不限于記錄用戶名、密碼,在注冊/申請這些賬號、證件、卡片時填寫的個人信息,包括這些證件、卡片的照片備份,都可以記錄存放。
跟數碼設備相比,人的記憶能力實在很差。如果一種東西難以找到規律和意義,難以與經驗掛鉤,那么人也就很難記住它。一個習慣用頭腦來記住賬號密碼的人,會設 !_$7#3@=w%&+T* 這樣的密碼來為難自己嗎?可能性很小,China-20171029 這種形式的可能性大得多。也就是說,迫于記憶的壓力,我們會傾向于使用低強度密碼。
賬號管理器既然卸下了我們記憶的負擔,相應的第二個作用就是,可以提高密碼的強度,不用再在乎密碼有多長、有沒有記憶的線索。
有感于人類并不擅長設定高強度密碼,賬號管理器的第三個作用是提供密碼生成工具,幫助隨機生成高強度密碼。
賬號管理器的第四個作用是幫助省去手輸密碼的麻煩。手動輸入高強度的密碼是一件讓人頭疼的事,它比較長,不光有數字,還有大小寫字母和各種符號,所以各種賬號管理器都提供自動填寫插件和快速查找功能。
自動填寫插件快速查找功能首先是幫助復制粘貼,用以應對不支持自動填寫的情況。在 iOS 上多數 App 的登錄界面都不支持插件,但借助快速查找功能,仍然可以較快復制粘貼密碼。在電腦上賬號管理器一般會提供狀態欄圖標,可以在其中直接搜索復制,更方便一些。
其次是幫助快速篩選。比如說我不得不更換手機號碼,會牽涉到水電劃扣賬號、銀行卡、社保醫保卡,其他還有什么記不清了,這時就可以把相關的項目都搜索出來,依此前去更改。
為了在不同的設備里達到相同的功能,賬號管理器的第五個作用是“全平臺”支持和數據同步。無論是 iOS、Android 還是 MacOS、Windows 都可以安裝相應的客戶端,在一個設備上所做的添加和更改能被快速同步到其他所有設備上。
上述五點是賬號管理器必須具備的基本功能,除此之外它們還可能支持:
- 密碼分析:一是密碼強度分析,二是核查使用了相同密碼的賬號。這主要針對使用賬號管理器前注冊的賬號。
- 風險報告:當某個賬號的服務提供商爆出安全隱患時警示用戶。
- 二次驗證服務:有些網站或軟件支持二次驗證(類似 Apple ID 雙重認證),啟用二次驗證則要求輸對密碼和驗證碼才能登陸。支持二次驗證服務的賬號管理器能夠接收驗證碼。
- 定期自動更改密碼:這是賬號管理器 Dashlane 獨有的功能,很智能、很省心,但需要服務提供商代碼對接,目前支持者不多。
常見的疑慮
盡管使用賬號管理器有諸多便利,但要將一些重要的資料寄托給它,大家肯定會有各種擔憂。在這里我解釋一些常見的疑問。
一、為什么不用自帶的鑰匙串(Keychain)功能
許多瀏覽器都自帶賬號存儲和自動填寫功能,iOS 系統自帶的鑰匙串功憑借先天優勢,能在手機網頁中實現最便捷的自動填寫、密碼生成和自動保存功能,而其他賬號管理器因為系統的限制,在 iOS 上根本無法自動保存。在即將推出的 iOS 11 中,蘋果更是打破 Safari 的限制,讓鑰匙串可以應用到 App 登錄界面。
但即使升級到 iOS 11,系統自帶的鑰匙串仍存在嚴重的缺板:
- 沒有專門的管理界面,查找和修改比較費勁。
- 只支持保存登錄用戶名和密碼,不支持其他類型賬號和附加資料。
- 每個項目只支持一個網址,導致同一賬號需要分成多項存放(比如 apple.com 和 icloud.com 都是用 Apple ID 登錄,卻被保存為兩個項目),進而給更改密碼帶來不便。
- 不支持數據導出導入和安全檢查等功能,也不支持 Android、Windows 等其他系統,給跨平臺數據同步帶來巨大麻煩。
二、各家賬號管理器的安全性如何
這個安全性指多方面:
-
數據庫加密的強度是否足夠
賬號管理器通過用戶的主密碼計算出 256 位的密鑰,再用 AES 算法加密數據庫文件,沒有密鑰逆向解密出原數據的可能性為零,而使用窮舉法尋找正確密鑰所花的時間將以「億年」為單位計算。
-
是否會有后門
賬號管理器的開發者/服務商經受各種考驗,如代碼分析、網絡傳輸數據分析,至今無人發現有獲取主密碼的行為。
如果系統不安全,設備中潛伏了惡意軟件,這些惡意軟件可能會在你輸入主密碼時截獲,這不屬于賬號管理器自身的問題。
-
數據丟失風險
分布式文件系統使云存儲丟失文件的可能性極低(應該比記在紙質本子上還低),根本無須擔心數據在服務器或網盤上丟失的問題。
如果服務關閉呢?這可以參考之前國內網盤關閉的浪潮,服務商有義務給用戶轉移、備份數據的時間。
三、數據遷移是否被禁止
將重要資料存放在某個賬號管理器,但是用了一段時間覺得另一個更好,要遷移這些資料會不會受到限制?
遷移資料的確可能會遇到一些麻煩,但至少是不需要手抄遷移的。為了爭奪用戶,賬號管理器都會支持導入某些對手的數據庫,也都支持將數據庫導出為 CSV 格式。
最壞的情況只是不得不借助 CSV 格式遷移數據庫,可能會丟失原數據庫的一些格式規范,或者是字段名和值的混亂,需要做一遍檢查。
選擇適合自己的賬號管理器
廣受認可的賬號管理器有 Keepass / 1Password / LastPass / Dashlane / Enpass 等,其中前三個處于第一梯隊。
-
Keepass
Keepass 是開源免費項目,官方只有 Windows 客戶端,在 Android、iOS 和 MacOS 上的軟件都是第三方開發者自行開發。總體來說功能相對簡單,對用戶要求高一些。
在 Android 上,Keepass2Android 的表現比較出色,但在 iOS 上,相關 App 的表現都很糟糕。
-
1Password
1Password 在 MacOS、iOS 上的表現優于其他各家,在 Windows 上的表現略遜于 LastPass,在 Android 上表現較差。
1Password 主要支持 iCloud 同步,如果要顧及 Windows 或 Android,則只有 Dropbox 可選,這對不少人來說是難題。
1Password 的另一個缺點是價格比較高,按訂閱制個人每個月約為 18 元,家庭每月約 30 元。按傳統買斷制的話,Android 端目前好像是免費;iOS 端也可以免費使用,內購解鎖一些附加功能需要 68 元;MacOS 和 Windows 端單獨購買大概需要 320 元,捆綁購買大概要 480 元。
iOS 端不內購也已經包括密碼生成和填寫、多設備同步、Touch ID 鎖定等基本功能。
-
LastPass
在 Windows 和 Android 端表現優于其他各家,在 iOS 和 MacOS 也不算差,在平臺支持上沒有明顯缺板。LastPass 的數據庫存放在服務器上,客戶端均為 WebApp,若論不足,主要是界面不夠美觀、離線使用不便。
LastPass 實行訂閱制,但各平臺均可免費使用,沒有常用功能的影響。訂閱用戶的優勢主要在于:
- 可以建立和維護家庭共享文件夾,放置共用賬號;
- 可以有更多附件存儲空間。
可以說 LastPass 對免費用戶是很厚道的。
-
其他
- Enpass 的功能中規中矩,自動填寫能力略遜,勝在價格便宜。電腦端一概免費,手機端 68 元時常限免。
- Dashlane 是新貴,有獨家的定期自動更改密碼功能,據說在國外占有率攀升得很快。缺點是在國內水土不服,自動填寫功能時常失效;訂閱費比誰都高,免費用戶連同步數據都不行。
相比之下,LastPass 無疑是最好的選擇。
LastPass 的使用
在使用方法上各個賬號管理器大同小異,這里以 LastPass 為例,其他賬號管理器可依此類推。
首先應該在電腦上前往 LastPass 的主頁 https://www.lastpass.com/ 創建賬號、安裝瀏覽器插件。
正如「LastPass」這個名字表達的意思,LastPass 賬號的密碼大概是用戶需要用腦記住的最后一個密碼(至少是少數之一),所以應該盡量讓這個密碼的強度高點。把數字、大小寫字母和符號都用上,不要使用日期、單詞和全拼之類帶含義的拼寫。密碼框右側給了一個隨機樣本,可以在此基礎上加以改造,并強記下來。
一、瀏覽器插件
在安裝完插件之后,瀏覽器工具欄上會添加一個顯示為 ···| 的按鈕,通過這個按鈕能調用 LastPass 的所有功能,如搜索和管理賬號、密碼生成器等等。
此外我們會看到,在網頁填寫欄的右側多了一些小圖標,點這些圖標就能幫助我們自動填寫和生成密碼。
在我們注冊或登錄賬號時,如果 LastPass 檢測到賬號數據庫并沒有存儲該賬號,則會彈出提示保存。
基于插件自動保存的特性,通過電腦瀏覽器注冊賬號能省去許多手動錄入的工作。
二、賬號管理頁面
當然,插件并不總是那么智能,有些時候插件無法自動保存填寫的資料(比如注冊賬號時有分頁向導),這時候只能先將填寫的資料都復制粘貼到一個臨時的地方,在登錄時讓 LastPass 先自動保存用戶名和密碼,其他的資料在編輯時添加進去。
要管理賬號數據庫,點擊 ···| 按鈕,在彈出菜單中選擇「打開我的保險庫(Open my Vault)」。
如果菜單顯示為英文,請點「Preferences > 高級 > 語言」,選擇「Chinese (Simplified)」。
在數據庫管理頁面左側,「站點」存放網站、App 的賬號登錄項目;「安全筆記」存放證件、卡片等其他類型的賬號;「表單填寫」存放預設的支付卡片和寄送地址,以便購物時可以自動填寫,這個在國內用處不大。
點「站點」,找到要補登信息的賬號。當鼠標指到項目上,會自動顯示相應選項,點扳手圖標編輯站點信息。
在彈出的編輯框左下方再點扳手圖標,就可以添加注冊時要求填寫的項目了。
三、安全挑戰
在「···| > 更多選項」或數據庫管理頁面左側,可以看到「安全挑戰」功能。選擇安全挑戰,LastPass 將掃描賬號數據庫,生成安全性報告。
- 標示各賬號所用密碼的強度;
- 列出使用了相同密碼的賬號;
- 列出可能受到危害的賬號;
- 列出密碼過于脆弱的賬號;
- 列出過長時間沒有更改密碼的賬號。
這時可以根據安全報告的指示,前往網站或 App 更改密碼。
四、賬戶設置
在數據庫管理頁面左側的下方可以點開賬戶設置框。
-
通用
在「通用」選項卡里主要可以更改 LastPass 賬號的密碼、選擇界面顯示語言,以及綁定手機恢復號碼。
-
多重驗證選項
可以啟用或禁用各種二次驗證服務。
-
信任的設備
如果 LastPass 賬號開啟了二次驗證,在登錄時可以選擇“信任”一個設備。在經信任的設備上登錄時,不會被要求進行二次驗證。 信任的有效期為 30 天,過期后設備會重新要求信任。
-
移動設備
這里用于允許和禁止手機、平板訪問 LastPass 賬戶。當新的手機、平板設備登錄 LastPass 時,LastPass 會向注冊郵箱發送驗證郵件,在郵件里點擊了允許之后才能成功登錄。
成功登錄過 LastPass 賬戶的手機、平板設備會被列出在「移動設備」的列表中,并且訪問權限顯示為「允許」,如果將之調整為「禁止」,則該設備再也無法登錄此賬號。
-
等效域名
在編輯站點信息時可以看到,LastPass 存儲的每個站點賬號只支持一個網址,但有時服務商的網站/域名并不只有一個,這時需要用等效域名使同一個賬號能自動填充到不同的網站上。
LastPass 已經內置了許多知名網站的等效域名,用戶可以參照這些范例自行創建。
五、更多選項
在 ···| 菜單或數據庫管理頁面左側點「更多選項 > 高級」,可以看到導入、導出的功能。
在導入頁面上可以看到,LastPass 支持的導入類型極其豐富。原本使用系統自帶鑰匙串的用戶可以選擇從 Safari Password Manager 將數據導入到 LastPass;導入主流瀏覽器(如 IE、FireFox、Chrome、Opera 等)和其他賬號管理器(Keepass、1Password、Dashlane 等)的數據庫都不在話下。
六、在移動端使用 LastPass
-
安裝、登錄 LastPass
在電腦上完成注冊和相關配置之后,接著在手機上安裝 LastPass,如果要使用兩步驗證,則還要再安裝 Authenticator。
初次登錄 LastPass 需要郵件驗證或兩步驗證,成功登錄后可以啟用指紋,省得時常要輸入它的高強度密碼,苦不堪言。
啟用 Touch ID不過每次重啟手機,LastPass 都會重新要求輸入密碼登錄,然后才能使用指紋,以防時間一長用戶把密碼忘掉。
-
使用插件
打開 Safari 并調出分享面板,在最后一行圖標上左劃找到「更多」,打開 LastPass 的開關并移到靠前的位置。
啟用插件之后點這個按鈕就可以選擇要填寫的賬號信息。
自動填寫雖然在手機上 LastPass 不能自動提示保存,但在注冊或登錄新賬號時同樣可以用插件添加。
在插件界面點右上角的三點圖標出現側邊欄,選擇「Add New Password」添加賬號。
在插件中添加賬號如果是在網站上注冊新賬號,也可以在插件里先添加,再讓它自動填寫到網頁上。
手機、平板上的插件的確遠不如電腦上的強大,建議使用電腦注冊和登錄新賬號。
-
登錄 App 賬號
在 Android 上 LastPass 有懸浮按鈕可以自動填寫 App 的登錄信息,實現跟網頁同樣的體驗,但在 iOS 上就比較糟糕。
iOS 的多數 App 在登錄賬號時不支持任何插件,此時在 iPhone 上只能用應用切換器先切換到 LastPass 復制密碼,再切換到要登錄的 App 粘貼,別無他法。
如果通知中心有 App 啟動插件,將 LastPass 添加到插件里能稍微減輕切換之苦(見《提高打開 App 的效率》),還好用戶并不需要天天登錄 App 的賬號。
iPad 借助分屏模式能免去來回切換,但依然需要手動查找和復制粘貼。
