这是「App 背后的 App」系列之四
在先前的文章中我曾说到,越来越多的服务会向云端迁移,并多次提醒看官培养使用账号管理器的习惯。现在就专门讲一讲账号管理器。
账号管理器的用处
日记、摘抄、随笔、资料登记(通讯录、账号管理)、事项管理等等,都属于个人信息管理(PIM)的范畴,都来自同一个基点:好记性不如烂笔头。所以,账号管理器的第一个作用是帮助我们记住用户名、密码和登记的其他信息。
账号管理器并不限于记录网络账号,基于它算法加密的安全性你可以用来存放各种重要资料,比如身份证、护照、出生证、结婚证等各种证件,又比如银行卡、会员卡、软件许可等;也不限于记录用户名、密码,在注册/申请这些账号、证件、卡片时填写的个人信息,包括这些证件、卡片的照片备份,都可以记录存放。
跟数码设备相比,人的记忆能力实在很差。如果一种东西难以找到规律和意义,难以与经验挂钩,那么人也就很难记住它。一个习惯用头脑来记住账号密码的人,会设 !_$7#3@=w%&+T* 这样的密码来为难自己吗?可能性很小,China-20171029 这种形式的可能性大得多。也就是说,迫于记忆的压力,我们会倾向于使用低强度密码。
账号管理器既然卸下了我们记忆的负担,相应的第二个作用就是,可以提高密码的强度,不用再在乎密码有多长、有没有记忆的线索。
有感于人类并不擅长设定高强度密码,账号管理器的第三个作用是提供密码生成工具,帮助随机生成高强度密码。
账号管理器的第四个作用是帮助省去手输密码的麻烦。手动输入高强度的密码是一件让人头疼的事,它比较长,不光有数字,还有大小写字母和各种符号,所以各种账号管理器都提供自动填写插件和快速查找功能。
自动填写插件快速查找功能首先是帮助复制粘贴,用以应对不支持自动填写的情况。在 iOS 上多数 App 的登录界面都不支持插件,但借助快速查找功能,仍然可以较快复制粘贴密码。在电脑上账号管理器一般会提供状态栏图标,可以在其中直接搜索复制,更方便一些。
其次是帮助快速筛选。比如说我不得不更换手机号码,会牵涉到水电划扣账号、银行卡、社保医保卡,其他还有什么记不清了,这时就可以把相关的项目都搜索出来,依此前去更改。
为了在不同的设备里达到相同的功能,账号管理器的第五个作用是“全平台”支持和数据同步。无论是 iOS、Android 还是 MacOS、Windows 都可以安装相应的客户端,在一个设备上所做的添加和更改能被快速同步到其他所有设备上。
上述五点是账号管理器必须具备的基本功能,除此之外它们还可能支持:
- 密码分析:一是密码强度分析,二是核查使用了相同密码的账号。这主要针对使用账号管理器前注册的账号。
- 风险报告:当某个账号的服务提供商爆出安全隐患时警示用户。
- 二次验证服务:有些网站或软件支持二次验证(类似 Apple ID 双重认证),启用二次验证则要求输对密码和验证码才能登陆。支持二次验证服务的账号管理器能够接收验证码。
- 定期自动更改密码:这是账号管理器 Dashlane 独有的功能,很智能、很省心,但需要服务提供商代码对接,目前支持者不多。
常见的疑虑
尽管使用账号管理器有诸多便利,但要将一些重要的资料寄托给它,大家肯定会有各种担忧。在这里我解释一些常见的疑问。
一、为什么不用自带的钥匙串(Keychain)功能
许多浏览器都自带账号存储和自动填写功能,iOS 系统自带的钥匙串功凭借先天优势,能在手机网页中实现最便捷的自动填写、密码生成和自动保存功能,而其他账号管理器因为系统的限制,在 iOS 上根本无法自动保存。在即将推出的 iOS 11 中,苹果更是打破 Safari 的限制,让钥匙串可以应用到 App 登录界面。
但即使升级到 iOS 11,系统自带的钥匙串仍存在严重的缺板:
- 没有专门的管理界面,查找和修改比较费劲。
- 只支持保存登录用户名和密码,不支持其他类型账号和附加资料。
- 每个项目只支持一个网址,导致同一账号需要分成多项存放(比如 apple.com 和 icloud.com 都是用 Apple ID 登录,却被保存为两个项目),进而给更改密码带来不便。
- 不支持数据导出导入和安全检查等功能,也不支持 Android、Windows 等其他系统,给跨平台数据同步带来巨大麻烦。
二、各家账号管理器的安全性如何
这个安全性指多方面:
-
数据库加密的强度是否足够
账号管理器通过用户的主密码计算出 256 位的密钥,再用 AES 算法加密数据库文件,没有密钥逆向解密出原数据的可能性为零,而使用穷举法寻找正确密钥所花的时间将以「亿年」为单位计算。
-
是否会有后门
账号管理器的开发者/服务商经受各种考验,如代码分析、网络传输数据分析,至今无人发现有获取主密码的行为。
如果系统不安全,设备中潜伏了恶意软件,这些恶意软件可能会在你输入主密码时截获,这不属于账号管理器自身的问题。
-
数据丢失风险
分布式文件系统使云存储丢失文件的可能性极低(应该比记在纸质本子上还低),根本无须担心数据在服务器或网盘上丢失的问题。
如果服务关闭呢?这可以参考之前国内网盘关闭的浪潮,服务商有义务给用户转移、备份数据的时间。
三、数据迁移是否被禁止
将重要资料存放在某个账号管理器,但是用了一段时间觉得另一个更好,要迁移这些资料会不会受到限制?
迁移资料的确可能会遇到一些麻烦,但至少是不需要手抄迁移的。为了争夺用户,账号管理器都会支持导入某些对手的数据库,也都支持将数据库导出为 CSV 格式。
最坏的情况只是不得不借助 CSV 格式迁移数据库,可能会丢失原数据库的一些格式规范,或者是字段名和值的混乱,需要做一遍检查。
选择适合自己的账号管理器
广受认可的账号管理器有 Keepass / 1Password / LastPass / Dashlane / Enpass 等,其中前三个处于第一梯队。
-
Keepass
Keepass 是开源免费项目,官方只有 Windows 客户端,在 Android、iOS 和 MacOS 上的软件都是第三方开发者自行开发。总体来说功能相对简单,对用户要求高一些。
在 Android 上,Keepass2Android 的表现比较出色,但在 iOS 上,相关 App 的表现都很糟糕。
-
1Password
1Password 在 MacOS、iOS 上的表现优于其他各家,在 Windows 上的表现略逊于 LastPass,在 Android 上表现较差。
1Password 主要支持 iCloud 同步,如果要顾及 Windows 或 Android,则只有 Dropbox 可选,这对不少人来说是难题。
1Password 的另一个缺点是价格比较高,按订阅制个人每个月约为 18 元,家庭每月约 30 元。按传统买断制的话,Android 端目前好像是免费;iOS 端也可以免费使用,内购解锁一些附加功能需要 68 元;MacOS 和 Windows 端单独购买大概需要 320 元,捆绑购买大概要 480 元。
iOS 端不内购也已经包括密码生成和填写、多设备同步、Touch ID 锁定等基本功能。
-
LastPass
在 Windows 和 Android 端表现优于其他各家,在 iOS 和 MacOS 也不算差,在平台支持上没有明显缺板。LastPass 的数据库存放在服务器上,客户端均为 WebApp,若论不足,主要是界面不够美观、离线使用不便。
LastPass 实行订阅制,但各平台均可免费使用,没有常用功能的影响。订阅用户的优势主要在于:
- 可以建立和维护家庭共享文件夹,放置共用账号;
- 可以有更多附件存储空间。
可以说 LastPass 对免费用户是很厚道的。
-
其他
- Enpass 的功能中规中矩,自动填写能力略逊,胜在价格便宜。电脑端一概免费,手机端 68 元时常限免。
- Dashlane 是新贵,有独家的定期自动更改密码功能,据说在国外占有率攀升得很快。缺点是在国内水土不服,自动填写功能时常失效;订阅费比谁都高,免费用户连同步数据都不行。
相比之下,LastPass 无疑是最好的选择。
LastPass 的使用
在使用方法上各个账号管理器大同小异,这里以 LastPass 为例,其他账号管理器可依此类推。
首先应该在电脑上前往 LastPass 的主页 https://www.lastpass.com/ 创建账号、安装浏览器插件。
正如「LastPass」这个名字表达的意思,LastPass 账号的密码大概是用户需要用脑记住的最后一个密码(至少是少数之一),所以应该尽量让这个密码的强度高点。把数字、大小写字母和符号都用上,不要使用日期、单词和全拼之类带含义的拼写。密码框右侧给了一个随机样本,可以在此基础上加以改造,并强记下来。
一、浏览器插件
在安装完插件之后,浏览器工具栏上会添加一个显示为 ···| 的按钮,通过这个按钮能调用 LastPass 的所有功能,如搜索和管理账号、密码生成器等等。
此外我们会看到,在网页填写栏的右侧多了一些小图标,点这些图标就能帮助我们自动填写和生成密码。
在我们注册或登录账号时,如果 LastPass 检测到账号数据库并没有存储该账号,则会弹出提示保存。
基于插件自动保存的特性,通过电脑浏览器注册账号能省去许多手动录入的工作。
二、账号管理页面
当然,插件并不总是那么智能,有些时候插件无法自动保存填写的资料(比如注册账号时有分页向导),这时候只能先将填写的资料都复制粘贴到一个临时的地方,在登录时让 LastPass 先自动保存用户名和密码,其他的资料在编辑时添加进去。
要管理账号数据库,点击 ···| 按钮,在弹出菜单中选择「打开我的保险库(Open my Vault)」。
如果菜单显示为英文,请点「Preferences > 高级 > 语言」,选择「Chinese (Simplified)」。
在数据库管理页面左侧,「站点」存放网站、App 的账号登录项目;「安全笔记」存放证件、卡片等其他类型的账号;「表单填写」存放预设的支付卡片和寄送地址,以便购物时可以自动填写,这个在国内用处不大。
点「站点」,找到要补登信息的账号。当鼠标指到项目上,会自动显示相应选项,点扳手图标编辑站点信息。
在弹出的编辑框左下方再点扳手图标,就可以添加注册时要求填写的项目了。
三、安全挑战
在「···| > 更多选项」或数据库管理页面左侧,可以看到「安全挑战」功能。选择安全挑战,LastPass 将扫描账号数据库,生成安全性报告。
- 标示各账号所用密码的强度;
- 列出使用了相同密码的账号;
- 列出可能受到危害的账号;
- 列出密码过于脆弱的账号;
- 列出过长时间没有更改密码的账号。
这时可以根据安全报告的指示,前往网站或 App 更改密码。
四、账户设置
在数据库管理页面左侧的下方可以点开账户设置框。
-
通用
在「通用」选项卡里主要可以更改 LastPass 账号的密码、选择界面显示语言,以及绑定手机恢复号码。
-
多重验证选项
可以启用或禁用各种二次验证服务。
-
信任的设备
如果 LastPass 账号开启了二次验证,在登录时可以选择“信任”一个设备。在经信任的设备上登录时,不会被要求进行二次验证。 信任的有效期为 30 天,过期后设备会重新要求信任。
-
移动设备
这里用于允许和禁止手机、平板访问 LastPass 账户。当新的手机、平板设备登录 LastPass 时,LastPass 会向注册邮箱发送验证邮件,在邮件里点击了允许之后才能成功登录。
成功登录过 LastPass 账户的手机、平板设备会被列出在「移动设备」的列表中,并且访问权限显示为「允许」,如果将之调整为「禁止」,则该设备再也无法登录此账号。
-
等效域名
在编辑站点信息时可以看到,LastPass 存储的每个站点账号只支持一个网址,但有时服务商的网站/域名并不只有一个,这时需要用等效域名使同一个账号能自动填充到不同的网站上。
LastPass 已经内置了许多知名网站的等效域名,用户可以参照这些范例自行创建。
五、更多选项
在 ···| 菜单或数据库管理页面左侧点「更多选项 > 高级」,可以看到导入、导出的功能。
在导入页面上可以看到,LastPass 支持的导入类型极其丰富。原本使用系统自带钥匙串的用户可以选择从 Safari Password Manager 将数据导入到 LastPass;导入主流浏览器(如 IE、FireFox、Chrome、Opera 等)和其他账号管理器(Keepass、1Password、Dashlane 等)的数据库都不在话下。
六、在移动端使用 LastPass
-
安装、登录 LastPass
在电脑上完成注册和相关配置之后,接着在手机上安装 LastPass,如果要使用两步验证,则还要再安装 Authenticator。
初次登录 LastPass 需要邮件验证或两步验证,成功登录后可以启用指纹,省得时常要输入它的高强度密码,苦不堪言。
启用 Touch ID不过每次重启手机,LastPass 都会重新要求输入密码登录,然后才能使用指纹,以防时间一长用户把密码忘掉。
-
使用插件
打开 Safari 并调出分享面板,在最后一行图标上左划找到「更多」,打开 LastPass 的开关并移到靠前的位置。
启用插件之后点这个按钮就可以选择要填写的账号信息。
自动填写虽然在手机上 LastPass 不能自动提示保存,但在注册或登录新账号时同样可以用插件添加。
在插件界面点右上角的三点图标出现侧边栏,选择「Add New Password」添加账号。
在插件中添加账号如果是在网站上注册新账号,也可以在插件里先添加,再让它自动填写到网页上。
手机、平板上的插件的确远不如电脑上的强大,建议使用电脑注册和登录新账号。
-
登录 App 账号
在 Android 上 LastPass 有悬浮按钮可以自动填写 App 的登录信息,实现跟网页同样的体验,但在 iOS 上就比较糟糕。
iOS 的多数 App 在登录账号时不支持任何插件,此时在 iPhone 上只能用应用切换器先切换到 LastPass 复制密码,再切换到要登录的 App 粘贴,别无他法。
如果通知中心有 App 启动插件,将 LastPass 添加到插件里能稍微减轻切换之苦(见《提高打开 App 的效率》),还好用户并不需要天天登录 App 的账号。
iPad 借助分屏模式能免去来回切换,但依然需要手动查找和复制粘贴。
