纸质密码管理器:简单高效的个人密码管理方案

本文介绍了一种简单易用的纸质密码管理器(PPM)方案,通过将密码分为“独特部分”和“密钥”两部分,既保证了密码的唯一性,又降低了记忆负担,适合技术不熟练的用户安全管理多个账户密码。

纸质密码管理器

Michael Allen //

每年假期期间,我总会与至少一位朋友或家人讨论为每个网站或服务使用独特密码的重要性。通常是在他们收到手机、相机或其他“智能”设备作为圣诞礼物,并请我帮忙设置时发生。最近一次是朋友告诉我他的eBay账户被黑客入侵,他问我如何防止这种情况再次发生。

我告诉他,攻击者很可能从另一个网站的数据泄露中找到了他的密码,然后用这个密码登录了他的eBay账户。接着我向他介绍了HaveIBeenPwned.com——一个追踪数据泄露的在线服务,用户可查询自己的数据是否被泄露。我们搜索了他的邮箱地址,果然他的密码在四次不同的泄露事件中被盗。当我问他是否在所有账户使用相同密码时,他给出了肯定的回答。

HaveIBeenPwned网站显示我朋友的数据在四次不同泄露中被发现

他突然意识到为每个服务使用独特密码的重要性。是的,像eBay、PayPal和银行这样的网站通常有很强的安全性,但其他网站可能并不安全。当攻击者从不安全的网站窃取你的密码后,他们可以轻松地用这个密码登录你使用相同密码的其他所有网站。

但如何记住这么多密码呢?

专家通常推荐使用密码管理器来跟踪一个人在不同网站创建账户时积累的所有密码。密码管理器通常是一个应用程序(用于智能手机或电脑)或网站,旨在以安全的方式(通常是在加密数据库中)存储用户的所有密码。登录密码管理器后,用户可以存储和检索他们在其他网站上使用的密码。这样,用户无需记住许多不同的密码,只需记住一个密码——解锁密码管理器的密码。然后密码管理器负责记住所有其他密码。

谷歌安全博客将使用密码管理器列为安全专家推荐的五大实践之一

基于计算机或智能手机的密码管理器(以下简称“电子密码管理器”)的问题在于,它们需要一定程度的熟悉度和专业知识才能日常使用。对于BHIS博客的常客来说,使用电子密码管理器可能几乎不费吹灰之力。但对于可能不精通设备所有功能的普通技术用户来说,电子密码管理器往往难以学习且过于繁琐,无法定期使用。

我工作之外的大多数家人和朋友都属于第二类。尤其是年长的家人,每次我来访时仍会请我复制粘贴文件或将照片从手机移到电脑;因此,对他们来说,推荐电子密码管理器并不合理。

密码管理器面临的威胁

对许多人来说,记录个人账户的独特密码,将密码写在纸上似乎是一个相当好的解决方案。它解决了每个账户使用不同密码的问题。但如果密码列表带出家外,很可能会丢失或被窃。

即使密码列表从未离开家,它仍可能面临风险。我惊讶地经常听到朋友、护理人员、孩子甚至父母进行欺诈性购买甚至直接从信任他们的人的账户中偷钱的故事。理想的解决方案还需要在落入不受信任的第三方手中时保持密码安全。

经过一番思考,我想出了现在称之为纸质密码管理器的方法。

纸质密码管理器

纸质密码管理器(PPM)是一个简单的解决方案,允许几乎任何人跟踪多个独特密码,无论他们对计算机的熟练程度如何。

当然,它并不完美。用户仍然需要学习这个系统;而且像任何系统一样,它并非绝对安全。纸质密码管理器的目的是提供一个“足够好”的解决方案,以便如果用户的一个账户被入侵,所有其他账户仍保持安全。如果纸质密码管理器本身因丢失或被窃而落入不知道密钥的攻击者手中,登录凭据不会立即被知晓——使用户有时间在攻击者访问其账户之前更改密码。

下表说明了纸质密码管理器与其他密码管理策略的相对强度。

常见密码管理策略的韧性比较

如您所见,纸质密码管理器比一些其他常见的低技术密码管理解决方案更安全。虽然它不如电子密码管理器安全,但它足够简单,其使用的基本说明只需几句话就能总结。

简而言之,该过程可描述如下:

纸质密码管理器只是用户账户和密码的手写列表,但有一个例外——用户不为每个账户写下整个密码,而只写下前半部分(我们称之为“独特部分”)。密码的后半部分(称为“密钥”)对每个账户都相同,且不写下来。相反,密钥由用户记忆。要键入存储在纸质密码管理器中的任何账户的密码,用户只需键入该账户的独特部分,后跟密钥。换句话说:账户密码 = 独特部分 + 密钥

这赋予纸质密码管理器以下特性:

  • 用户只需记住一个密码——密钥——即可保持PPM中所有密码的安全。
  • 由于PPM存储在纸上而非计算机上,攻击者必须物理访问PPM才能入侵其包含的所有账户。
  • 入侵一个账户完整密码(独特部分 + 密钥)的攻击者无法在没有访问PPM的情况下推导出任何其他完整密码。
  • 如果攻击者得知PPM中存储的多个完整密码,他们可能能够识别密钥,但仍无法在没有访问PPM的情况下推导出任何其他密码。

制作和使用纸质密码管理器的详细说明包含在以下部分。

使用纸质密码管理器的详细说明

说明中使用的术语:

为保持文章清晰,我为经常提及的事物创造了以下术语。

  • 纸质密码管理器(PPM)——写有用户所有账户详细信息的物理纸质介质。
  • 密钥——用户记忆的PPM秘密密码。密钥不得写在PPM的任何地方。
  • 独特部分——独特部分是每个账户密码中写在PPM的部分。独特部分和密钥一起构成给定账户的密码。

材料:

要制作自己的纸质密码管理器,您需要:

  • 钢笔或铅笔

根据您计划存放纸质密码管理器的位置(例如书桌、口袋、钱包等),您可以选择便签本、折叠纸或一组小索引卡。任何有足够空间记录所有登录凭据的物品都可以。

步骤1 – 选择您的密钥

收集材料后,创建纸质密码管理器的第一步是选择其密钥。密钥是一个必须记忆的密码——不要写在PPM的任何地方。如果您愿意,可以写在其他地方,我将在备份PPM的部分详细讨论。选择密钥时,我建议至少包含一个大写字母、一个小写字母和一个数字。密钥长度至少应为8-12个字符。

我不建议在密钥中包含任何特殊字符,因为不幸的是,并非所有网站都允许在密码中使用所有特殊字符。您的密钥将是您创建的每个密码的一部分,因此如果您选择的密钥因网站不允许使用特殊字符而在某个网站上不被允许,您必须为该网站制定例外,这可能会令人困惑。(我建议尽可能在独特部分中包含特殊字符,稍后会讨论。)

同样,我推荐8-12字符长的密钥是因为并非所有网站都允许长密码。更长的密钥总是更好;只需注意,如果您有更长的密钥,可能需要对不允许长密码的网站选择较短的独特部分。

以下是我编造的一些示例密钥及每个密钥的详细信息。不要将任何这些密钥用于您自己的PPM!编造您自己的密钥以保持完全秘密。

示例密钥

  • 6PackOfCola – 11字符,3大写,7小写,1数字
  • XmasTr33 – 8字符,2大写,4小写,2数字
  • BillAndTed19 – 12字符,3大写,7小写,2数字

步骤2 – 在PPM中存储账户

选择密钥后,您就可以开始在PPM中记录账户详细信息了。记录信息的方式完全由您决定。至少,每个条目可能包括:

  • 网站名称或URL(例如Amazon、Google.com)
  • 与账户关联的邮箱地址
  • 用于登录账户的用户名(如果与邮箱地址不同)
  • 账户密码的独特部分

您可能还想包括与账户关联的电话号码或注册时提供的其他信息,以后可能需要。但是,不要在PPM中包含安全问题的答案。我将在文章后面讨论如何安全存储这些信息。

以下是我的PPM中Amazon条目的示例:

网站:Amazon.com
邮箱地址:michael@example.com
独特部分:______________

如果您正在按照这些说明操作,请继续在PPM中填写您的一个账户的所有信息。您还无法填写独特部分——您将在下一步中完成。

步骤3 – 生成独特部分

上一步中要填写的最后一条信息是独特部分。每个账户应有自己的独特部分,因为这是使每个账户密码独特的原因。

要生成独特部分,创建另一个至少8字符长(更长更好)的密码,并至少包含每种字符类型——大写字母、小写字母、数字和特殊字符。如果您访问的网站不允许特殊字符,可以创建仅使用字母和数字的独特部分;但为了最大安全性,尽可能包含特殊字符。此外,请记住空格通常被视为特殊字符,并且易于包含在独特部分的单词之间。

以下是我创建独特部分后PPM中Amazon条目的示例:

网站:Amazon.com
邮箱地址:michael@example.com
独特部分:8 Fluffy Clouds

提示: 您可能注意到我在密钥和独特部分示例中使用单词而不是 scrambling 一堆字母。我选择随机单词而不是单个随机字母,因为单词在输入密码时更容易阅读和键入。从我的PPM中复制“8 Fluffy Clouds”比复制“8 uyflFf uldCso”容易得多,尽管它们长度相同且包含所有相同字符。由于您的所有密码长度至少为16字符(独特部分至少8字符,密钥至少8字符),如果包含随机单词而不是随机字母,您的密码将非常强大。而且它们键入起来会容易得多!

步骤4 – 从PPM检索密码

从PPM条目中检索密码非常容易。当您在网站上输入密码登录时,首先键入PPM中写的账户独特部分,然后键入您记忆的密钥。

例如,如果我登录账户的独特部分是“8 Fluffy Clouds”,我的密钥是“6PackOfCola”,那么我的账户密码将是:“8 Fluffy Clouds6PackOfCola”。

独特部分和密钥一起为我的账户提供了一个不同于所有其他密码的密码。该密码长26字符,包含所有四种字符类型,使攻击者极难猜测。

登录Amazon时组合独特部分和密钥的示例

备份和灾难恢复

由于纸质密码管理器存在于纸上,只需用复印机或多功能打印机复制即可轻松创建备份。备份密钥时,应单独写下密钥并存储在远离PPM的安全位置,例如保险箱。

PPM的备份计划可能如下所示:

  • 纸质密码管理器 – 主副本
    • 放在口袋中日常使用
  • 纸质密码管理器 – 备份副本
    • 每三个月用复印机创建备份
    • 备份副本存放在家中的防火盒中以便轻松访问
    • 创建新备份时粉碎或以其他方式安全处理旧备份副本
  • 密钥
    • 密钥的书面副本存储在保险箱中
    • 如果密钥可能需要由家庭成员使用,可能还包括使用PPM的说明
  • 安全问题的答案
    • 安全问题的答案存储在保险箱中

由于安全问题的答案可用于重置账户密码,它们不应存储在PPM中或与PPM一起存储。相反,安全问题的答案应存储在单独的位置,例如存储PPM密钥的保险箱。

其他提示

使用PPM时考虑以下其他提示:

  • 在用户名或独特部分中的数字下划线,以免与字母混淆。这样您就不会将0和5等数字与O和S等字母混淆。
  • 同样,您也可以选择用键盘上不存在的字符或符号标记独特部分中的空格,例如:8_Fluffy_Clouds
  • 选择易于阅读和键入的密钥和独特部分。例如,包含几个随机选择的单词的密码通常比每个字母随机选择的密码更容易阅读和键入。
  • 为账户选择独特部分时不要遵循任何顺序或模式。如果您Amazon账户的独特部分是“Red2001!”,Gmail账户的独特部分是“Blue2019@”,入侵这些密码的攻击者可能会开始合理猜测其他账户的独特部分可能是什么。
  • 为了额外安全,考虑为高安全性网站(如银行账户)创建单独的PPM。如果您决定这样做,每个PPM应有自己独特的密钥。

付诸实践

我希望您觉得这篇文章有价值,并且对您或您认识的人来说,它使保护在线账户变得不那么令人生畏。像任何新技能一样,将纸质密码管理器融入您的日常可能需要一些练习。为了更容易记住其工作原理,我创建了一个一页参考表,您可以从以下链接下载并可选择打印。

下载纸质密码管理器参考表

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次