文章

密码管理神器——Bitwarden

前言 谈起密码各位冲浪高手应该不陌生了吧,不知你又是如何记住自己的所有密码的呢。 如今各社交平台为了客户留存,还强制部分内容只有注册之后才能看,这里我们不讨论这种平台的行为,只是简单给大家介绍下一款我用了很久的可以多平台同步的密码管理软件——Bitwarden。 我的密码史 盗号 早期的互联网对于密码大家都没什么严格的要求,我在小学就能盗隔壁班的DNF号了。 小学生能记住几个数字,都是超级简单的密码,一起上网一不小心就能瞟到朋友输密码,反手就是盗用。 从小学开始以及往后的很长一段时间,我都是用脑子去记密码,为了方便省事,好多网站都是用同一个密码。 被盗号 俗话说善有善报恶有恶报,这次轮到我被人盗号了。 那时候爱打游戏,经常有输QQ账密就能免费领道具之类的盗版网站,我那时候也不懂,经常中招。 被盗之后就是QQ空间被发黄色照片。。。 安全预警 由于早期我基本都是一个密码,QQ密码泄漏之后,其他网站的安全也受到了威胁。 起因是我突然在社工库发现我常用的那个唯一的密码居然成了弱口令。 也就是说,如果我的任意一个网站账号被撞库破解了的话,我的其他所有相同密码的网站以及最重要的邮箱QQ等这类账号就有被盗用的风险。 于是我就想着开始使用浏览器自带的密码管理软件,每个网站都使用随即乱码作为密码,使用浏览器记住就行。 浏览器自带的密码管理并不安全 我一直使用chrome的浏览器的记住密码功能,可是了解到,chrome浏览器的密码是明文保存在本地硬盘里,尤其是我是使用Windows这种不是很安全的平台,这让我十分不放心。 前端时间也有Youtuber因感染了木马导致密码泄漏的案例,这让我更加重视起了密码管理的安全问题。 恰巧偶然了解到Bitwarden,于是自建vaultwarden并使用到现在。个人认为是很好的解决了我这么些年密码管理的痛点,也足够安全。 Bitwarden优点 单独开了一篇文章介绍Bitwarden的使用,以及本人自用的自建Bitwarden,可以直接使用。 https://www.qcgzxw.cn/3375.html 账号安全 强制两步验证,在新设备登录时需要确认后台设置的邮箱或者2FA验证码。这样就算你的Bitwarden密码,别人没有二步验证的密钥也是无法登录你的Bitwarden账号。 本地安全 https://help.ppgg.in/security/encryption 本地数据加密保存,可以设置生物验证或者PIN验证的方式访问本地数据。 就算你的设备感染了木马,攻击者也无法从本地文件中获取到你的密码。(就冲这点,还在使用chrome保存密码的用户可以无脑换) 服务端安全 所有的密码库数据在存储到任何地方之前都会被 Bitwarden 加密。要了解如何加密,请参阅加密。 密码库数据只能使用从您的主密码派生的密钥来解密。Bitwarden 是一种零知识的解决方案,这意味着您是唯一能够获得您的密钥并能够解密您的密码库数据的一方。 服务器仅保存加密过的数据,就算是Bitwarden数据库被人拿到,也无法解开用户的密码信息,因为Bitwarden采用了端对端加密。 多平台同步 Bitwarden在各个浏览器应用市场都有对应的扩展插件,浏览器插件是使用Bitwarden的主要方式。 对于安卓和苹果,需要下载对应客户端并设置Bitwarden为密码管理程序 浏览器自动密码填入 多种自动填入密码规则,也可以单独自定义某个特殊网站的是否自动填充。 个人推荐使用主机模式,其他具体的规则可以访问https://help.ppgg.in/auto-fill/using-uris#match-detection-options查看 随机密码生成器 银行卡、地址、甚至验证器密钥TOTP 其他密码管理方案 对于生活在Apple生态里的用户来说,可能从来就没有过密码管理的困扰。苹果是自带密码管理的,而且打通了所有平台并能完美接入safari浏览器。 而如果你向我一样,是虽然用iPhone,但并不习惯和safari浏览器而选择其他平台的电脑系统的用户,那么强烈推荐你和我一样,早日投入Bitwarden的怀抱。 Bitwarden只是众多密码管理器中的一款,他吸引我的地方就是能自己搭建免费使用。同样优秀的付费产品例如LastPass 1Password KeePass,都是大同小异。 大家不喜欢Bitwarden的,可以从以上提到的几款中选几款试用并购买使用。当然你如果有更好的密码管理方式(用脑子记不算),欢迎在评论区留言。

文章

避免破解悲剧:这样设置的密码好记且无法破解

近日,知名社交应用Instagram遭黑客攻击,歌手兼演员赛琳娜·戈麦斯因账号被盗导致大量与前男友贾斯汀·比伯的私照流出,好在处理及时才稳住了局面。   当然,因账号被盗而导致的明星不雅照外泄,也不是什么新鲜事。足可见,密码对账号安全的重要性。那么,如何设置一个兼顾安全和易用性的密码呢? 实际上,此次泄露事件很可能是因为Instagram存在一个极为严重的漏洞所致。 除了傻脸娜,被盗账号的名人还包括了艾玛·沃特森、艾米莉亚·克拉克、扎克·埃夫隆、莱昂纳多·迪卡普里奥、查宁·塔图姆,哈里·斯泰尔斯、埃莉·古尔丁、维多利亚·贝克汉姆、碧昂斯、Lady Gaga、蕾哈娜、泰勒·斯威夫特、凯蒂·佩里、阿黛尔、史诺普·道格、布兰妮·斯皮尔斯,弗洛伊德·梅威瑟、齐达内、内马尔、大卫·贝克汉姆、小罗纳尔多。 其实,每当互联网发生了重大的安全漏洞,我们都要思考一个问题,就是在你所有账号的服务方打了补丁后立刻修改账号密码。 当然,定期更换密码是个良好的安全习惯,但是换多了总有记混记错甚至不知道该设置什么的情况发生。 全世界,约有8%的用户知晓和使用某种密码系统,来生成和保管一些独特的、随机的无法破解的密码,因此他们从来不会重复使用某个密码;而剩下那92%的用户,始终找不到一个行之有效的办法,人人都想打造一个独一无二的密码,但结果却是你的密码或许早就存在与某些黑客的密码词典里。 什么样的密码不可破解呢? 一个是要够长,越长越难破解;还有就是排除字段,例如名字、地点,一切有可能出现在词典中的字词;最后,就是将大小写、数字与拼写,随机的混合起来。安全系数是提高了,但是毫无关联的密码,如何记忆成了问题。 因此,一个完美的密码需要兼顾安全性与可用性。 尽管随机密码安全系数很高,但使用过程中存在的最大问题是--难以记记忆。你大可坐在电脑前,胡乱的在键盘上打出一排字符,破译者难以破解,但问题是你记得住吗? 下面要说的这四种方法,希望能够帮助各位创建一个无法破解的密码。 Bruce Schineier方法 2008年提出的一种密码思路,即找一个句子(可以是任何一句话),将句子中的每一个单词找出来,缩略为一个字母,然后通过独特的方式组合成为一段密码,最后一句话生成一个密码。 例如,W?ow?imp::ohth3r→Where oh where is my pear? Oh, there Electrum钱包法 知晓比特币的朋友大概都知道钱包的“密码”地址是怎样形成的。Electrum是一个比特币钱包服务,能够为用户的比特币钱包地址,通过哈希机制转换为一个12个单词组成的助记码。 例如,下面这幅图片。 PAO法 其实,是卡耐基梅隆大学计算机科学家建议使用的一种名为‘人-动作-物品’(即Person-Action-Object,PAO)的密码助记方法,来创建和记忆高安全性的密码。 大致方法就是,找一个有趣的地方的一张照片、找一个你熟悉的人或名人的照片、想象这个人在这个地方做的一件事,例如傻脸娜在家做饭(selena gomez cook at home),形成sgcoho这样一个随机的6位密码,当然你可以创建不同长度的密码。 发音和肌肉记忆法 随便找一个密码生成器,生成至少20个至少10位长的密码,当然要包括数字和字母,反复看并找到一些和单词类似的发音结构,找到那些勉强能够发音出来的密码,而且能够大概写成短句的,例如drEnaba5Et→doctor enaba 5 E.T.,又或是BragUtheB5→brag you the V5。 其实,不管最后你决定使用哪种方法,都要挨个将你注册过的网站和服务的密码进行替换。在这个过程中,你会慢慢熟悉新密码,既随机又能通过反复敲打键盘而记住。 记住!永远不要重复使用一个密码。 别问我怎么知道的

教程

Vultr忘记密码找回及重置方式

  vultr密码重置 CentOS 6 ‎单击右上角的 [查看控制台] 访问控制台,然后单击发送 CTRL + ALT + DEL 按钮。或者,您也可以单击 [重新启动] 以重新启动服务器。‎ ‎您将看到 GRUB 引导提示,告诉您按任意键 — — 你只有几秒钟,按任意键停止自动引导过程。(如果你错过了此提示,您将需要再次重新启动 VM)‎ ‎在 GRUB 提示符下,键入"a"将追加到启动命令。‎ ‎添加文本"单"并按 enter 键。‎ ‎系统将启动,你将看到的根提示。键入"password"来更改 root 密码,然后再次重新启动。‎ CentOS 7 单击右上角的 [查看控制台] 访问控制台,然后单击发送 CTRL + ALT + DEL 按钮。或者,您也可以单击 [RESTART] 以重新启动服务器。 尽快启动过程开始后,按 ESC 键把 GRUB 引导提示符。您可能需要从控制面板关闭系统,然后回达到 GRUB 引导提示符。 您将看到 GRUB 引导提示-按"e"键编辑第一个启动选项。(如果看不到 GRUB 提示符,您可能需要按任何键说出来之前机器启动) 查找内核行 ("linux16"开头),将更改为。rorw init=/sysroot/bin/sh 按 CTRL-X 或 F10 启动单用户模式。 访问系统的命令:。chroot /sysroot 运行以更改 root 密码。passwd 重新启动系统:。reboot -f 其他系统 官方说明文档:https://www.vultr.com/docs/boot-into-single-user-mode-reset-root-password   vultr(其他服务器)密码找回 工具下载: 操作步骤: 以Xshell5为例         操作步骤很简单,但是不要妄想用这软件去查看QQ密码之类的,没用(亲测)。   PS:vultr的恢复快照功能会改变当前服务器密码为快照服务器密码(听得懂就听,听不懂就当没看到。。。)