口令安全系列之三——教你使用自動化工具管理口令
發布時間: 2016-01-29 17:14:55
在前兩期中,我們介紹了弱口令的前世今生和設置一個強口令的技巧,相信大家對口令安全已經有了比較深入的理解,也具備了自己設計強口令的能力,但是記憶口令畢竟是一件辛苦的事,有沒有更加簡便的方法來幫助更加方便的管理我們的口令呢?另一方面,即使我們設計了強口令,如果存儲口令的系統遭到破解也會導致我們的口令漏泄,如何降低這方面的風險呢?本期東網快訊教你借助工具提高口令安全。
一、利用口令管理軟件來管理口令
Keeppass是一款開源的口令管理軟件,通過密碼和密鑰,它能夠提供一個足夠安全的密碼存儲空間,在使用上也十分簡便,支持 Windows、Linux和 Mac 三大平臺,甚至還有移動操作系統版本,可以幫助我們有效的管理賬號口令。
Keeppass的安裝非常簡單,以windows版本為例,大家可以通過http://keepass.info/download.html進入下載頁面,點擊下圖所示的下載按鈕就可以下載windows版本的安裝包。
下載后雙擊EXE開始安裝,安裝時默認語言選擇English,按照提示完成安裝。安裝完成后到http://keepass.info/translations.html下載漢化包。
將下載好的文件解壓到 KeePass 的安裝目錄,然后啟動 KeePass,選擇 View 菜單,點擊 Change Language,在彈出的對話框中選擇 Simplified Chinese,在彈出框中點擊YES重啟KeePass就完成了全部安裝過程。
開始使用 KeePass 之前,首先需要創建密碼數據庫以保存密碼,步驟如下:
啟動 KeePass,選擇文件菜單,選擇新建選項。軟件會提示我們選擇數據庫文件保存路徑,這個文件就是存儲我們的密碼的文件。這個文件是經過十分安全的算法加密的,只要我們設置一個足夠強大的管理密碼,就可以達到很高的安全性。
選擇文件路徑之后會要求創建管理密碼,建議采用管理密碼的方式來保護,采用上一期的密碼設計技巧設計一個強大的管理密碼來保護我們的密碼文件。
密碼設置以后會要求進行數據庫配置,通常情況下我們只需要輸入數據庫名稱并采用默認配置就可以了。以后每次打開KepPass時需要輸入這個管理密碼才能訪問我們的數據庫文件。
完成數據庫配置就可以開始使用了,當你需要記錄一個賬號的時候,可以在空白處點擊添加記錄。
在彈出的輸入框中輸入標題用戶名、密碼、網址備注等信息并點擊確定就可以生成一條記錄。
當我們要輸入密碼時,打開KeePass,郵件選擇相應的記錄,點擊網址可以使用瀏覽器打開網頁,點擊“復制用戶名”、“復制密碼”等按鈕即可復制出用戶名和密碼,粘貼到網站上即可。
通過KeePass來管理口令可以有效減少口令的記憶量,只需要記住一個管理密碼即可管理所有的賬號口令。此外,KeePass的數據庫文件加密算法安全性很高,只要管理密碼的強度夠高,即使數據庫文件丟失也不用擔心密碼泄露的問題。
上述方式適用于在單臺計算機上存儲所有密碼,如果要在多臺計算機之間同步密碼庫的話,可以將數據庫文件上傳到Dropbox、Google Drive、onedrive等云平臺,在打開KeePass時點擊”文件”菜單下的打開菜單,點擊打開URL,輸入數據庫文件的網址和用戶賬號密碼,這樣多臺安裝了KeePass的計算機之間就可以同步密碼庫了。
在上述的基本功能之外,KeePass還能實現自動生成密碼、自動填寫密碼等一系列功能,大家有興趣可以自行在使用中進行嘗試。
除了KeePass以外,LastPass也是一款常用的口令管理軟件,LastPass是以瀏覽器插件的形式提供口令管理能力的,除了口令存儲記錄以外,還能實現很好的密碼自動代填功能,使用起來十分便利。但LastPass的密碼是存儲在云端由服務商進行維護的,之前曾經出現過云端被入侵導致用戶信息泄露的事件,因此建議不要將網銀等重要業務賬號存儲在LastPass中,避免數據泄露帶來的風險。
二、巧用社工庫查看密碼泄露情況
隨著互聯網安全事件頻發,許多網站都收到過攻擊導致敏感信息泄露事件的發生,如何知道我們正在使用的密碼是否已經泄露呢?一些信息安全技術人員或公司收集了互聯網上泄露的賬號密碼并提供了查詢服務,我們可以巧用這些社工庫來查詢我們的密碼是否被泄露。
通過百度搜索關鍵字“社工庫”可以找到很多社工庫相關的網站,使用方法基本類似,我們以http://www.xiumima.com/為例,打開網站后在關鍵字輸入框中輸入我們常用的賬號關鍵字,如QQ號、郵箱、手機號、用戶名等進行查詢,即可查看相關的密碼泄露情況。
以“liudh”作為關鍵詞進行查詢,可以看到大量的記錄,其中綠色圖標表示泄露賬號的網站或應用,如CSDN,小米賬號、天涯論壇等,藍色部分則為用戶賬號、郵箱和密碼信息,其中密碼字段較長的通常為經過MD5加密的密碼。
由于獲取完整密碼通常需要注冊,因此我們通常可以通過用戶名和郵箱來判斷是否是自己的賬號,再結合泄露的來源就知道我們的哪些口令已經泄露了,趕快去修改吧。
至此,口令安全系統的內容已經向大家介紹完畢,希望大家能夠通過我們的講解掌握提高口令安全的技巧,提升自己的信息安全水平。
閩公網安備 35010202001006號