密码管理及常用安全管理软件—LastPass篇

一、最初的也是最好的?LastPass的使用指南。

先PO上LastPass的官方网站

大家可以去下载页面下载最新版本的LastPass客户端,客户端覆盖比较全面,居然还有海豚浏览器专版……具体来讲,可以支持WIN/MAC/LINUX/IOS/ANDROID/WP甚至是Surface RT,目前了解到的密码管理软件里,应该是支持范围最广的了。

咳咳,开始进入正题,LastPass算是业界比较知名的密码管理方案了,所以我用的也最早。因为他家的win的客户端,安装后会自动扫描你安装的浏览器并给这些浏览器安装上LastPass的插件。插件的功能真是丰富多彩呀~不过如果大家有固定的浏览器且有洁癖,建议直接浏览器的store里搜索也是可以的,市面上的浏览器基本都支持。

先来个官方的使用说明:

浅谈日常密码管理及常用安全管理软件—LastPass篇

浅谈日常密码管理及常用安全管理软件—LastPass篇

浅谈日常密码管理及常用安全管理软件—LastPass篇

插件“实物图”,以下都是在火狐下的操作,Chrome一样:

浅谈日常密码管理及常用安全管理软件—LastPass篇

最左边的图标就是LastPass的火狐插件按钮了,上面的数字表示匹配的网站的账号个数,如果开启了谷歌验证器,则每次选择登陆时还要输入一次谷歌验证器上的密码(可以选择30天内记住密码),如果开启了指纹,只要刷一次指纹就行啦(我现在的方案),通常情况下,要输入LastPass的登陆密码(这就是LastPass的由来,只要记住这最后一个密码即可)。

如果已经存储了密码,登陆框上应该会有标记(如下图用户名框和密码框的右侧,请记住那个*!!):

浅谈日常密码管理及常用安全管理软件—LastPass篇

点击后就可以选择要登陆的账号了,因为我懒得打码,就不上传图片了。

而当你要注册一个网站的时候,输入你常用的用户名,然后在密码框右边就会出现一个类似刷新的图标:

浅谈日常密码管理及常用安全管理软件—LastPass篇

点击它,就会生成一个随机密码,密码位数随你掌控!

浅谈日常密码管理及常用安全管理软件—LastPass篇

点击使用后,密码就存储在LastPass的服务器上了!好用吧!!有人说了,密码存储在服务器上安全吗?LastPass说,他们的密码存储都是在本地进行加密后上传,不是明文存储在服务器上的(也就是说不是把你输入的密码直接存储在服务器上,比如你的密码是abc,它服务器上可能存储的是adgfdagauo88u9adf)。而且大家的担心也不是杞人忧天,LastPass经常被黑客攻击(废话,这几乎是黑客最有价值的攻击对象了!),比如:

近日,LastPass公司发布公告称,公司旗下在线密码管理服务遭未知黑客攻击,并强调目前用户密码库中的数据并无任何被盗迹象,但LastPass用户的邮箱信息、密码提示、及身份验证的hashes信息均存在被盗用风险,目前影响范围尚未确定。

LastPass官方表示,由于他们加密技术的“多重防护”,其复杂程度难以快速被破解,足以保护大多数用户的信息安全。同时,他们也正着手于采取进一步的措施来提高数据的安全性。

为防万一,官方还建议LastPass用户尽快重置密码。除非已开启多重身份验证,否则用户通过新设备、新IP登录账号都需多一道验证邮箱程序。

最后,Lastpass官方还称,用户密码库中的信息并未泄露,用户并不需要重置保存于LastPass库中的密码。

而据LastPass用户表示,他们也受到了来自lastpass官方提醒用户重置密码的邮件,如下图:

浅谈日常密码管理及常用安全管理软件—LastPass篇

注: LastPass是目前使用率最高的在线密码管理器之一,且这些服务是免费的。2011年,LastPass也曾遭遇黑客攻击,而后对安全方面的问题愈发重视。

但是,至少用它这么多年,没有遇到过密码被盗的问题,反而是国内某些网站(CSDN我没有在说你),标榜技术,结果密码居然明文存储!!!我这一密流瞬间各种被盗!!!所以,不管怎样,相对于相信国内这些货色,我还是倾向于利用LastPass这样的,要丢大不了全球一起丢呗(开玩笑的)。至于网站的安全性,可以看看证书:

浅谈日常密码管理及常用安全管理软件—LastPass篇

可以隐隐约约看到证书机构是Globalsign,好吧我只知道Verisign。网上这么说的:

GlobalSign is a WebTrust-certified certificate authority (CAs) and provider of Identity Services.

Founded in Belgium in 1996[1][3] the company offers a diverse range of Identity service solutions.

嗯,比利时的,成立比较早,应该放心吧,反正Chrome告诉我安全~LP的密码按照其我查询了下是保存一份在本地,上传一份到服务器,中间的同步环节无需我们关心。

另外如刚才所说,LassPass有丰富的移动端,但是移动端是要收费的(至少IOS是需要的),不过在收费前会给一段足够长的时间给你试用。目前LP的高级版收费标准是2美元一个月,另外还有一个家庭版,收费是4美元一个月,功能的话可以5个人一起用,而且密码可以互相分享(那啥,反正我觉得男人女人分享密码肯定会成为灾难的)。如果图方便省心其实可以接受,现在2美元一个外卖都吃不上呢。对其移动端我试用过的结果就是,较为易用,尤其是使用自带浏览器的话,但是不论是安卓还是IOS,我对密码软件的使用率都不高……当然,现在的密码软件该有的指纹识别也是少不了的。在我使用移动端的时候(大概四年前),LP的安卓版和IOS版都只能支持在应用内对密码进行增删改查,外加内置浏览器直接登录。那个时候用下来的感觉就是,为了登录一个app应用或网站,我必须打开LP应用,搜索条目,复制密码,然后回到网站或应用,输入用户名,粘贴密码,登录。整个过程极度繁琐。但是最新消息(来自IT之家):

在Android Oreo中,谷歌引入了Autofill自动填充功能,支持在登录页面自动填充登录信息,用户在输入用户名之后就可以显示自动保存的密码,用户在登录时更加方便。

知名跨平台密码管理软件LastPass在今日更新了LastPass Password Manage v4.4.1749,Android Oreo用户在下载后打开应用,软件将弹出窗口提示自动填充功能可用,你可以用来管理你的多种登录密码。

用户可以在系统设置-自动填充当中选择使用Oreo的自动填充功能,还是使用Android的无障碍服务。

简单来说,就是以后可以像PC端根据域名或应用自动填充了!易用性爆表!因为我个人没有奥利奥可以吃,所以希望哪位大神可以试用后告诉我,到底具体体验如何?

此外,IOS端的自动填充可能和各家的实现方法差不多。首先安装LP应用,然后在应用底部的选项卡上选择“安全”,选择LastPass extension。这个扩展其实就是浏览器上或其他应用里选择分享图标时弹出来的扩展了。接下来点击弹出的对话框“Enable extension”来启用扩展。

浅谈日常密码管理及常用安全管理软件—LastPass篇

接下来就按照屏幕提示操作,将lastpass添加到浏览器的默认扩展清单里即可。

那么总结下LastPass的优缺点。

优点:

  1. 支持的平台多,移动端到PC端都有,PC端的软件尤其好,很多其他软件无法识别的复杂JS登录框都可以正常识别。
  2. 支持表单和其他个性化信息的填写,也就是说,注册到登录,可以一键式解决。
  3. 各平台连通性好,不存在数据冗余的问题。
  4. 支持多种二次验证。包括自家的验证和许多第三方验证软件、密码表、USB密钥和指纹。
  5. 使用简单,上手容易,有网络的地方就可以访问使用。

缺点:

  1. 不支持本地存储,一切密码都在服务器上。一是担心密码泄露(可能性低),二是担心服务器崩溃数据丢失(只要它家服务器有备份就没问题,最多损失一两天内新增的密码)。另外可以定期备份导出来预防悲剧发生。
  2. 依托网络,如果没有网络就无法使用。

适合人群:

  1. 懒得折腾,主要以PC端密码管理为主的人——比如,大部分手机上安装的应用密码都能记住,或者采取复杂密码+简单密码进行管理(手机上大厂App采用复杂密码,小厂App采用简单密码),而经常在PC端进行网站注册,又担心密码泄露导致连锁反应。讲了这么复杂,举个栗子。如果你平时google啊,微信啊,点评啊密码你都能记住,但是在电脑上突然想注册小草了,又担心密码被偷走,这时候用Lastpass自动生成密码就很爽啦。
  2. 经常在非自己设备上访问登录各类网站的人。
  3. 时刻保持网络在线的用户。