YougeWath

如何去配置一套安全且便利的账号密码库,这是我的方法和想法

阅读前言

此教程为长教程,提供方法想法不是纯粹的方法,希望可以抛砖引玉,获得更安全的账户密码库保存方法。 此教程面向的是对于对账号密码存储安全性有着要求较高,或者有许多(一般来说超过20个)重要与不重要账号的密码需要进行管理的朋友。如果你极为追求便利性,本教程并不适合你

本教程将以安全性为最优先前提,以便利性为辅,给予你一套管理的方案且会推荐你账号密码管理的相关工具,同时会给出相关的我个人的见解,让你能够更放心的存储自己账号密码,提升自己的账号密码的安全性全篇约95%的内容均是本教程制作者的原创输出!转载等请见文末

第一步 分级/限制

即为限制使用场景,我们在互联网上行动,创建了许多的账号与随之而来的密码,其中包括常用的账号(例如百度,谷歌,博客),这些账号我们可能在某一次无痕浏览结束或换设备等情况后,再次登录还需要进行输入密码等操作,使用的次数较为频繁,同时还会在其他的设备上进行使用,所以我推荐你将这些账号与其的密码列入初级别或中级密码库,这里作为演示我们列入初级密码库,也就是安全系数最低的账号密码保险箱。

你需要评估你的账号密码是否可以进入这个最低级别的密码库,我大概给这个密码库设立了几条要求,如果你认为你的一部分账号密码可以适用这个密码库则可以划分进去,后续再提及本教程不赘述。

级别 特点 允许泄露后的影响 使用设备要求 备注
初级密码库 允许在不安全的平台上使用,泄露后无法被破解打开 不允许产生人身或经济危害 任何设备均可使用 随时都有可能因为本地的恶意软件或者外来的病毒的攻击而泄露了主密码
中级密码库 只允许在可信任的设备中使用,泄露后无法被破解打开 允许产生经济危害,不允许产生人身危害 笔记本电脑,安装可信软件,联网 一定情况下才可以把此级别的密码库发到其他的陌生平台,同时再次提醒不要在非信任设备之外的平台去打开此密码库!
高级密码库 只允许在极致信任的设备上使用,泄露后无法被破解打开 允许产生人身或经济危害 开源、稳定的软件和系统,断开互联网的设备 最高级别的密码库存放最重要的东西,这是必须的,当然完全可以用来存放一些无足轻重的东西,这对于对安全有着极致要求的人(例如我)来说都是一样重要的

极致信任的设备(离线设备)

不断开互联网的设备:开源的软件,稳定的系统,两者都被许多用户使用,受到知名的信息安全公司的审查或者受到一些著名隐私保护组织推荐。这些都被多年的使用积攒下的口碑,代码,可以确保他们对你和你的数据的忠诚,安全的守护你的数据,这也会为后面推荐的许多的相关软件做铺垫。

离线设备:确定断连互联网(飞行模式或者拆除联网硬件),稳定的系统(不应当会丢失密码库)

可信任的设备

例如一台安装着都是你极为信任或者开源的软件与系统,同时时时刻刻在你身边的呆着且联网的笔记本电脑,这台电脑可以进行联网,但不能安装你无法信任的软件(一些从非主流下载网站下载的软件/不是大厂或有背景保证的公司开发的软件)。

  • 请不要对这些联网同时不开源的软件过多的信任,最好的做法就是直接列为不安全
  • 使用不同级别的密码库需要根据实际需求来选择,以确保安全性和可用性之间的平衡
  • 虚拟货币这类凭证不建议存放放在密码库,它们更适合去虚拟货币专用的冷钱包

第二步 联络/分割

如果你想要制作极致安全,简单的密码库,可以直接直接从文章前的目录跳到 #第三步 建立

如果你想要组合一套既安全又便利的密码库,请继续按照从上到下的顺序继续阅读。

我们需要对三个或者二个级别密码库中的账号的所属权进行联络/分割

1,联络 明确的上下级关系

把最贵重的权限锁进最安全的保险箱中,最廉价的权限放在触手可得的地方

举一个例子

​如果我们的中级的密码库遭到入侵,其中包含的XX账号密码泄露,我们XX账号的使用权就落入了他人手中,而他人却因为XX账号存在辅助邮箱而无法更改密码,无法篡改所属权,这时我们意识到了XX账号被盗,可以使用处于高级密码库的辅助邮箱直接更改谷歌账号的密码,夺回使用权

如果XX账号的密保邮箱处于与谷歌账号同一个密码库。例子中的攻击者就同时获得了此XX账号的所有权限,利用密保邮箱+XX账号密码夺取了所属权,这个账号就再也不属于你了。所以有中级,高级密码库的需要对其中的账号进行尽可能多的关联,提升找回的可能性。

再举一个同类的例子,以解答疑惑。

以下是对文本进行整理后的结果,加入了合理的分隔,让句子更加清晰明了:

一个没有设置二步验证的QQ账号,它的账号与密码处于低级别的密码库。当低级别密码库遭到入侵后,攻击者可以直接登上你的QQ账号。但是,QQ是以账号绑定的手机号为最高权限的,因此攻击者只能暂时性地使用此账号,无法更改绑定的手机号。这是因为手机号背后的验证码攻击者无法获得。手机卡通常装在你随身携带的手机上,安全等级很高,攻击者一般无法获取你的手机。不过,也有可能手机中了攻击者的病毒或被盗窃,验证码被提取的情况很少见。因此,对于安全性极致要求的朋友,本教程推荐尽可能不使用手机验证码这类的验证方式。

本例子中的手机验证码与上文一例子中的密保邮箱的意义相同。不过,本教程更推荐使用密保邮箱,将会在第三步详细解释。

所以你需要将能真正拥有这个账号的凭证(例如 Dropbox 的恢复代码,密保邮箱的账号密码)存放在更高一级别或者存放在高级密码库,把最重的权限锁进最安全的保险箱中。

错误示范:密保邮箱存放在中级密码库,密保邮箱保护的账号的密码存放在高级密码库。当这在情况下中级密码库被入侵,在高级密码库相对应账号就同时受到入侵,高级密码库的解开条件再高都无用了,主位不可颠倒。

2,分割 明确的领域区分

你可以不需要进行账号间的联络,但防止出现上面举例的错误示范,一定要进行账号关系的分割,这将大大提升你的账号的安全性,管理使用上的效率!

你的账号应当存在大概的二到三个领域(例如经济,社交,游戏),我们可以创建三个毫无关联的底层的邮箱,这里简称ABC。这三个邮箱之间不能存在互相的制约关系,例如A邮箱可以靠B邮箱找回,这是不被允许的,我们要划分好领域,把所有属于这个领域的账号全部联络到此领域的邮箱,这些领域的账号都可以用此邮箱进行找回,都可以依靠此邮箱验证你的身份。请你把之前随意绑定形成的混沌关系给分割,做成有序的电路,接到各自的“电表”。这样你可以更可观的梳理你的账号密码的情况。

在账号凭证方面这样做,你也可以在其他方面这样做,例如各个领域的联系邮箱区分开来,家事家办,公事公办,这与许多人建立两个微信账号,工作和家庭朋友进行分割有异曲同工之妙!

第三步 建立

1,需要准备的东西

必备的通用工具

这些是必备的,难以有其它可选择的工具,如果有替代品需要你的补充。

  • 耐心,学习是艰苦的

  • 一台可信任的电脑,对性能完全没有要求(不要拿20年前的电脑了,至少是近15年内的电脑设备了)

  • 密保邮箱 可以通过该电子邮件地址接收验证邮件,重置密码或进行其他安全操作。

密保邮箱需要有多种的登录方式/保护措施,例如双因素身份验证,可以看看微软的这篇解释,下文也会推荐密保邮箱

  • KeepassXC 自由开源的密码管理器,功能多,简单方便。支持 Windows,Linux,macOS 多端 去官网下载,根据电脑系统下载对应的版本
  • Keepass2Android 可在安卓上使用的开源的密码管理器,可以使用云端同步,方便简单。如果惧怕云端可以使用离线版本
  • AuthPass 可在 iPhone 上使用的开源密码管理器(本教程暂未体验此软件,此条希望有朋友可以补充体验情况

  • Dropbox / 坚果云 / Google Drive 等相关支持 WedDav 的可信任网盘

用于在各个设备同步密码库,存储密码库的网盘应当要以稳定性为优先,不会丢失文件是首要的,安全性排在第二,本教程较为推荐 Google,Dropbox 这类服务器不在国内的大公司背景的网盘,知名度高且可靠,如果你无法使用前面的网盘,我推荐使用坚果云,国内支持 WedDav 的网盘我只知道这一家。

  • 一个或多个装载 Tails os 的U盘

Tails os 是一种便携式操作系统,可以防止监视和审查,出入系统的所有流量都会被强制走 Tor,内置可靠的开源软件,自带 KeepassXC ,装载在U盘上可以随身携带,在陌生的电脑中也能安全使用。

这是本教程中的重中之重,原因在于我们可以把 Tails os 当作一个随身携带且安全的密码库,Tails os 制作很方便,根据 官方提供的教程 即可解决,我们只需要一台可信任的电脑,一只大小合适的U盘就可以安装 Tails os了。

Tails os 的官方安装教程非常完备,如果你需要这方面的帮助除了通过其 reddit 论坛,也可以向我寻求帮助。

每当我们需要查询账号密码时,可以插入U盘,通过高级启动(Windows11系统需要点击高级启动)进入一个完全与主系统隔离的空间,里面的所有软件,包括系统都是开源透明可信任的,内置了 KeepasssXC,Tor 浏览器 等实用的软件,同时如果你想要访问互联网,系统会强制所有流量通过 Tor,大大降低了隐私被泄露的风险,相关 Tails os 的特别使用要点会在下文提及。

​(支持 HMAC-SHA1 质询响应硬件密钥,还有其他品种例如 Onlykey,这里用的是 Yubikey 5,在购买时请注意此硬件密钥是否支持这个协议,否则会无法设置。Yubikey 也是教程中的要点,它可以带来更多的便利性与安全性,如果你对信息安全有着极致要求,这类硬件密钥 一定是你的不二选择,许多的大型互联网公司的内部很早就在推广这个家伙了

​Yubikey 可以与许多网站的登录环境结合,多数作双层验证中的第二道的密钥,在本教程中是用于协助提升高级密码库的安全性,在解开高级密码库时,我们需要把这个硬件密钥插入对应电脑设备中,再结合密钥文件或者密码库的密码就能安全,快捷的解开密码库了。同时你也可以用做A级密码库的验证手段之一,像在手机中解开时使用 Yubikey 5 NFC ,利用手机背的 NFC 验证,然后把你的 Yubikey 挂到钥匙扣中。

需要注意的是 Yubikey 这类硬件密钥应当成对的购买与设置:许多网站的双重验证中的硬件密钥可以设置多个,防止出现遗失一个账号丢失的尴尬情况,本教程推荐随身携带一个,家里储备一个,以防出现不测。 购买:首先推荐你在其 官网 购买,或者通过淘宝闲鱼寻找代购购买。

额外的工具推荐

这些是不必备的,有多种类似的工具,只是推荐,我认为它们可以增加安全性,也是我个人在使用的。

  • Protonmail 来自瑞士的电子邮箱,宣言其备份服务器位于瑞士地下 1,000 米花岗岩下的前 K7 军事掩体中。同时我认为其有相当的法律层面上的优势,适合作为放置在高级密码库的底层邮箱,用这个邮箱链接各个日常的邮箱极为适合,验证手段齐全,有 TOTP,硬件密钥,双密码多种登录的验证方式,安全系数高,是多数人的首选。(可以开通付费套餐,12个月不上线会删除账户)

  • Tunato 来自德国的电子邮箱,用户量较少,付费套餐相对 Protonmail 更便宜,只需要付费一次账号永久存在,本教程更推荐 Protonmail 。(从没付费的账户6个月不上线会删除账户)

2,建立初,中级密码库

在你最常用的系统上打开 KeepassXC 可以根据 这篇官方的教程(内含的其他教程可以解决很多问题)创建一个只有主密码加固的密码库,解开时需要使用一个主密码。

注意:接下来所有建立的密码库的主密码都需要超过15位,英文大小写混合,不然没有安全性!你的密码库将会被轻易的暴力破解,同时请在设置主密码时不要设置已经在其他任何平台使用过的密码,请额外想一个!

在建立好初级密码库后,你可以把初级密码库的文件(.kdbx 结尾的这个文件上传至云端,同时在手机或者其他设备上支持 Keepass 进行云同步,这是 Keepass2Android 教程,较为简单所以不细讲,本教程推荐使用 Dropbox 进行低级密码库之间的同步。

3,建立高级密码库

在 Tails os 上通过内置的 KeepassXC 同样根据官方的教程创建密码库,但有额外的要求。

  • 解密时间调整到5秒

提高破译难度,增加每次输入密码的试错成本,缺点是每次添加账户密码时的任何修改都会停顿五秒。但作为高级密码库无需在意这一点。

  • 开启并设置质询响应

利用硬件密钥提升安全性,需要用上文提及的Yubikey 或者其它的硬件密钥。说人话即为添加一道“实体”钥匙,没有这个硬件密钥同样也打不开密码库,你需要好好保管这个小东西,在遇到特别的危机情况时,你可以快捷的损坏这个硬件密钥,让攻击者永远无法打开你的密码库。(当然你也打不开了)

  • 添加密钥文件

添加一个电子的钥匙,这个密钥文件也如钥匙一般,但你可以把自己的一张生活照当成钥匙,也可以把自己的一篇文章当成钥匙,前提是这把被当成钥匙的文件不会让人以为这是解开某个非常重要的密码库的密钥文件即可,这个操作你需要在 Tails os 里做,大概率会把目标密钥文件从电脑的本地磁盘中转移过来,你可能会遇到无法转移的情况,试着在刚打开系统时的界面设置一个管理用户的密码,这样就可以打开电脑的本地磁盘以转移密钥文件和密码库了。

第四步 收尾/讨论

收尾工作

  • 妥善保管密码库,密钥文件,硬件密钥

这些东西都是可以多次复制的,你可以把这些东西放在各个地方,例如塞入SD卡,丢进饮料瓶,找个没人的地方埋进去,这是一个非常好保存密码的主意,你可以发散你的思维去保存这些东西,但不要被人或监控等监控发现。

  • 谨防社会工程学的敲诈,别把密码库的配置说给不信任者

你的密码库,密钥文件等的位置是大忌,说出来就等于提升你的个人安全风险,哪里有把自己的资产多少,在哪里告诉别人的。

  • 与时俱进

多问问,多 Google,多去 Reddit 相关内容的论坛上逛逛有啥关于信息安全的讯息,例如最近 Lastpass 这个密码管理器泄露多次用户数据,名声扫地,一些憨憨企业的账户密码泄露的话也记得去改改,自己防住了企业没防住。

讨论交流

如果你存在一些相关疑问,或者一些点子,文章的漏洞和建议欢迎你向我提出,不胜感激!

也可以 博客评论区(回复响应较慢)

转载问题

参考文献

Thoughts? Leave a comment

Comments
  1. yougewathSep 3, 2023:

    2023 9 3 文章协议更新

  2. 徐嘉珮 — Sep 11, 2023:

    tldr:Tutanota匿名注册麻烦

    我个人不太建议用Tutanota,因为大概在2020年时我还可以用Tor注册它,之后它应该是限制了注册,可能需要用一个没有注册过Tutanota的IP才能注册成功,可能有些机房的IP也被限制了,比如OVH的。我个人7月的时候用了一个小众机房的IP注册成功。 但是Proton目前还没有这个限制,注册还是挺轻松的。