管理密码的最佳利器

源济

黑

客和企业之间在发生战争，而你也深陷其中。每次企业受到黑客攻击，你都不得不修改自己的密码，还不敢在其它地方重新使用这个密码。

为每一个网站和每一项服务想一个不同的密码是让你的东西在网上获得安全保证的唯一办法，但这也是一件大麻烦事。对此，你能够、也应该做的一件事是：使用密码管理程序。

我有150多个不同的登录名，这个数字还在增加。我必须成为雨人(Rain Man)才能记住那么多的密码。因此我开始寻找可以储存我所有密码的最好工具，最终将备选名单减少到四个：1Password、Dashlane、LastPass和PasswordBox。它们可以不辱使命并为我们大多数人提供足够的安全保证。

图表：四款程序助你密码管理

LastPass对于使用指纹扫描仪等新技术的人来说是一个很好的选择，而对于真正的偏执狂来说，1Password可以对你的加密密码库的所在位置提供最优的控制服务。

对于大多数人，我推荐使用Dashlane。它很简单，所以你真的会用它，它甚至可以让你减少你点击鼠标的次数。

不过，等等——把你所有的密码存放在一个地方，这难道不是一个可怕的想法吗？这总比在所有地方重复使用轻而易举就记得住的密码要好。密码管理器会把你的信息隐藏在一个只有你才知道的主密码后面。

没有什么东西是有100%的保证的，但这四种密码管理器都采取了额外的安全措施，永远不会在互联网上发送你的主密码。它们就像一个保险箱一样，保管它的专业人士并不知道里面放的是什么，甚至没有打开它的钥匙。

在我们越来越多的个人信息通过密码保护的方式存储到云端的年代，除了杀毒软件以外，我们还需要额外的防护。使用密码管理器就是下一步要采取的措施。

Dashlane恰如你希望拥有的那种记忆力，它记录的不光是密码，还有信用卡卡号及用户名，当你在诸多不同设备上需要这些信息的时候就可以把它们填进去。Dashlane还有一个用处很大的记分卡，可以评估你现有密码的可靠性并敦促你加以改进。

Alex Nabaum for The Wall Street Journal

Dashlane在任何一台单一设备上都可以免费使用；缴纳30美元（约合人民币187元）的年费就可以让Dashlane应用软件自动同步你在各个设备上的数据，你可以免费试用这项高级服务30天。

安装Dashlane是一种乐趣。Dashlane应用会吞噬掉你在网页浏览器中没有加密的密码，并在你输入新密码时记住它们。所有这一切都得到一个主密码的保护，主密码在你的电脑或移动设备上的数据库中进行了加密。每次你启动电脑或打开Dashlane应用的时候，你必须用那个主密码登录进入该应用。（你可以让它更频繁地询问你的密码，比如当你的设备太长时间没有操作的时候。）

Dashlane在网页浏览器上使用的是一个插件，适用的浏览器包括Chrome、火狐(Firefox)、IE（Internet Explorer）和苹果Safari。当你登录一个网站的时候，Dashlane是知道的，它会在登录框中放入一个小图标（一只奔跑的黑斑羚），以便让你知道它能够输入你的用户名和密码——甚至你的信用卡卡号。如果你令其这么做，Dashlane甚至会自动按下“登录”键。Dashlane的这种功能不是在每一个网站都能奏效，但比起其它大多数应用来效果好多了。

在这一过程中，Dashlane还会尽力提高你的安全保障。当你在修改密码或开启一个新账户时，它会建议设置一个甚至可以迷惑一台超级计算机的强效密码。它那五彩缤纷的安全记分卡会得意洋洋地奚落你，让你更换易被破解或重复的密码。

密码管理器真正有用的地方是让你的密码可以在各种设备上——电脑、手机和平板电脑——得到更新。（我排除了谷歌(Google) Chrome浏览器中内置的密码管理器和苹果(Apple)的iCloud，因为两者都不能更新我所有的设备上的密码。）

Dashlane在安卓系统(Android)的手机和平板上的工作方式大致相同，会自动在应用软件中输入你的密码，不过在默认的Chrome浏览器上还无法运作。（该公司说它正在解决这个问题。）

在iPhone和iPad上，Dashlane应用允许你将所有的登录名和密码复制、粘贴到浏览器，但碍于苹果公司的编程规则，它不能替你填写这些信息。（同样的问题还困扰着除PasswordBox以外的大多数密码管理器，PasswordBox已经找到一个办法在移动Safari浏览器上自动登录一些大的网站。）

如果你与家人共用一台电脑，Dashlane不用让你设置配置文件就可以记住多个登录名。该公司说，它即将推出一款家庭-团队版本的新管理器，让那些共用亚马逊(Amazon)或网飞(Netflix)等账户的人之间可以更容易地同步密码。

在幕后，Dashlane采取了几项重要措施保证你的数据安全。它永远不会在互联网上发送你的主密码，在通过其服务器将密码与你的其它设备同步之前，它使用一种名为AES-256的高级加密技术来保护你的个人数据。Dashlane和侵入公司系统的黑客（或者政府机构）如果不知道你的主密码，都无法获取你的数据。这种设置甚至让Dashlane避过了最近的Heartbleed安全漏洞一劫。

但如果你实在希望你的密码不出现在互联网上，Dashlane也会给你那样的选择，不过你需要在设备之间手动同步密码。（离线同步做得最好的密码管理器是1Password。）

好了，要是有人设法获取了你的主密码怎么办呢？假如有人在你的电脑上安装了一款键盘记录恶意软件，这种事情很可能发生——这对你也是一个很好的提醒，你应该运行杀毒软件，将那样的攻击拒之门外。

不过，即便发生了那种事，另外还有一层安全保护措施：如果不先输入一个直接发送到你手机或电子邮件的随机验证码，Dashlane是不会让人在一台新设备上给密码解锁的。

这种两步验证身份的重要手段只有Dashlane和LastPass才提供，而PasswordBox说它正在做这项工作。1Password的一名发言人说，这种附加的身份验证对于1Password的设计来说没有多大用处，1Password里没有你的中央数据库。但我认为假如有人试图进入你的地盘时，这种验证可以帮你了解状况。

那么，你为何应该信任Dashlane这家有两年历史、两百万客户的初创企业呢？
因为Dashlane赚钱的唯一途径是卖安全。如果你认为一年30美元的费用有所不值，Dashlane允许以你或别的密码管理器可以读取的方式输出你的密码数据库。

你甚至可以用老式的手段把数据库打印在纸上。虽然那听起来有点疯狂，但它还是比一遍又一遍地使用相同的密码更加安全。

Geoffrey A. Fowler