作为一名网站编辑,三一菌在日常工作中总是需要记住很多密码,包括我们自己的网站背景管理页面、工作电子邮件、各种媒体分销平台、许多朋友站会员账户、各种信息和论文网站付费账户,加上安全,所有这些密码将不时修改,但也需要在单位、家庭、商务笔记本电脑和手机等设备同步。可以想象,管理所有这些密码本身并不容易。
因此,我们很早就关注过一些专业“密码管理软件”,比如名鼎鼎的LastPass、号称免费的Bitwarden,以及一些手机或中的一些密码管理功能。
事实上,这类软件有三个共同的特点,一是记住账户和密码,便于批量管理。例如,在修改网站的账户密码后,这些软件会自动记住新密码,而无需再次修改软件。
第二,这些密码可以与生物识别特征联系起来。例如,使用指纹连接一批具有相同性质的密码。当需要登录时扫描指纹时,软件会自动输入正确的密码,以避免“死记硬背”的麻烦。
第三,此类软件通常支持在多个设备之间自动同步密码。例如,如果您刚刚更改了新手机或新电脑,您只需安装相应的密码管理软件,其他设备上现有的密码将自动同步,无需再次手动输入。
怎么样,你觉得特别方便吗?然而,由于业内人士的直觉和对自己工作数据的重要性,我们并没有使用此类软件。事实上,我们主要担心的是,其跨设备同步机制将导致软件运营商获得密码,或者至少可能暴露在其服务器中,从而导致一定的风险。
现在,我们不得不说,我们的做法可以说是非常正确的,但我们担心的原因本身并没有成立。因为这些“密码管理软件”真正的安全漏洞不是同步机制,而是发生在更简单、更难以置信的地方。
最近,德国安全公司Exodus市面上多款“密码管理软件”进行了深入的调查。他们发现,一方面,这些密码管理软件确实使用高加密算法和点对点传输,以确保密码上传到服务器和不同设备之间的安全;但另一方面,真正不安全的不是密码同步机制,而是软件本身可能存在严重的安全漏洞。
为什么要这么说?主要原因是出于商业利益的考虑,很多这样的密码管理软件会被集成为“跟踪器”插件。最著名的密码管理软件LastPass例如,一口气内置了七个“跟踪器”。四个是由Google它主要用于检测和记录软件使用中的崩溃和错误,并自动将错误报告传回开发人员进行分析和改进,而其他三个跟踪器来自三家信息分析企业。这些跟踪器将记录用户在使用软件时的一些行为信息,如计算机或手机的型号、配置、用户是否习惯使用指纹来关联密码以及用户的位置信息。
显然,这些“跟踪器”收集数据的目的是进行市场分析、客户调查和准确的广告。虽然在公开声明中,我们可以看到软件公司声称“跟踪器”用户的密码数据不会密码数据,但Exodus关键问题不在于跟踪器的行为,而在于提供这些“跟踪器”编程水平可能不高。
换句话说,尽管密码管理软件本身可能使用最新的加密技术,但它具有高度安全可靠的代码水平。然而,广告公司和市场调查公司的程序员水平可能没有那么高,这导致了他们写的“跟踪器”插件中有太多的安全漏洞。一旦软件本身应该是高度安全的集成,这些软件就会集成“跟踪器”即使跟踪器本身并不邪恶,插件也会为黑客攻击打开一扇方便的门,使原本应该高度安全的软件成为充满漏洞和容易攻击的目标。
更为重要的是,密码管理软件与杀毒软件和文件加密软件一样,都属于涉及到高度安全技术的领域,对于这些软件公司的程序员来说,他们不可能不知道那些市场调查公司或互联网广告公司的技术水平是怎样的,但他们还是选择在产品中集成了这类可能有问题的插件。这样的行为本身,实际上就足以看出相关企业在道德规范以及对用户利益的重视上,到底抱有怎样的态度。换而言之,即便它们自身的代码再安全、加密功能设计得再好,显然也不再值得受到我们的信任了。