口令安全系列之三——教你使用自动化工具管理口令

发布时间： 2016-01-29 17:14:55  

分享到：

在前两期中，我们介绍了弱口令的前世今生和设置一个强口令的技巧，相信大家对口令安全已经有了比较深入的理解，也具备了自己设计强口令的能力，但是记忆口令毕竟是一件辛苦的事，有没有更加简便的方法来帮助更加方便的管理我们的口令呢？另一方面，即使我们设计了强口令，如果存储口令的系统遭到破解也会导致我们的口令漏泄，如何降低这方面的风险呢？本期东网快讯教你借助工具提高口令安全。

一、利用口令管理软件来管理口令

Keeppass是一款开源的口令管理软件，通过密码和密钥，它能够提供一个足够安全的密码存储空间，在使用上也十分简便，支持 Windows、Linux和 Mac 三大平台,甚至还有移动操作系统版本，可以帮助我们有效的管理账号口令。

Keeppass的安装非常简单，以windows版本为例，大家可以通过http://keepass.info/download.html进入下载页面，点击下图所示的下载按钮就可以下载windows版本的安装包。

下载后双击EXE开始安装，安装时默认语言选择English，按照提示完成安装。安装完成后到http://keepass.info/translations.html下载汉化包。

将下载好的文件解压到 KeePass 的安装目录，然后启动 KeePass，选择 View 菜单，点击 Change Language，在弹出的对话框中选择 Simplified Chinese，在弹出框中点击YES重启KeePass就完成了全部安装过程。

开始使用 KeePass 之前，首先需要创建密码数据库以保存密码，步骤如下：

启动 KeePass，选择文件菜单，选择新建选项。软件会提示我们选择数据库文件保存路径，这个文件就是存储我们的密码的文件。这个文件是经过十分安全的算法加密的，只要我们设置一个足够强大的管理密码，就可以达到很高的安全性。

选择文件路径之后会要求创建管理密码，建议采用管理密码的方式来保护，采用上一期的密码设计技巧设计一个强大的管理密码来保护我们的密码文件。

密码设置以后会要求进行数据库配置，通常情况下我们只需要输入数据库名称并采用默认配置就可以了。以后每次打开KepPass时需要输入这个管理密码才能访问我们的数据库文件。

完成数据库配置就可以开始使用了，当你需要记录一个账号的时候，可以在空白处点击添加记录。

在弹出的输入框中输入标题用户名、密码、网址备注等信息并点击确定就可以生成一条记录。

当我们要输入密码时，打开KeePass，邮件选择相应的记录，点击网址可以使用浏览器打开网页，点击“复制用户名”、“复制密码”等按钮即可复制出用户名和密码，粘贴到网站上即可。

通过KeePass来管理口令可以有效减少口令的记忆量，只需要记住一个管理密码即可管理所有的账号口令。此外，KeePass的数据库文件加密算法安全性很高，只要管理密码的强度够高，即使数据库文件丢失也不用担心密码泄露的问题。

上述方式适用于在单台计算机上存储所有密码，如果要在多台计算机之间同步密码库的话，可以将数据库文件上传到Dropbox、Google Drive、onedrive等云平台，在打开KeePass时点击”文件”菜单下的打开菜单，点击打开URL，输入数据库文件的网址和用户账号密码，这样多台安装了KeePass的计算机之间就可以同步密码库了。

在上述的基本功能之外，KeePass还能实现自动生成密码、自动填写密码等一系列功能，大家有兴趣可以自行在使用中进行尝试。

除了KeePass以外，LastPass也是一款常用的口令管理软件，LastPass是以浏览器插件的形式提供口令管理能力的，除了口令存储记录以外，还能实现很好的密码自动代填功能，使用起来十分便利。但LastPass的密码是存储在云端由服务商进行维护的，之前曾经出现过云端被入侵导致用户信息泄露的事件，因此建议不要将网银等重要业务账号存储在LastPass中，避免数据泄露带来的风险。

二、巧用社工库查看密码泄露情况

随着互联网安全事件频发，许多网站都收到过攻击导致敏感信息泄露事件的发生，如何知道我们正在使用的密码是否已经泄露呢？一些信息安全技术人员或公司收集了互联网上泄露的账号密码并提供了查询服务，我们可以巧用这些社工库来查询我们的密码是否被泄露。

通过百度搜索关键字“社工库”可以找到很多社工库相关的网站，使用方法基本类似，我们以http://www.xiumima.com/为例，打开网站后在关键字输入框中输入我们常用的账号关键字，如QQ号、邮箱、手机号、用户名等进行查询，即可查看相关的密码泄露情况。

以“liudh”作为关键词进行查询，可以看到大量的记录，其中绿色图标表示泄露账号的网站或应用，如CSDN，小米账号、天涯论坛等，蓝色部分则为用户账号、邮箱和密码信息，其中密码字段较长的通常为经过MD5加密的密码。

由于获取完整密码通常需要注册，因此我们通常可以通过用户名和邮箱来判断是否是自己的账号，再结合泄露的来源就知道我们的哪些口令已经泄露了，赶快去修改吧。

至此，口令安全系统的内容已经向大家介绍完毕，希望大家能够通过我们的讲解掌握提高口令安全的技巧，提升自己的信息安全水平。