密码管理工具LastPass是否适合你？

 ZDNet安全频道原创翻译 转载请注明作者以及出处

我一直在主张人人都应该使用密码管理器。但是有用户回复说，它们使用起来很烦琐。到目前为止，我还无法反驳这一点。

两件事情促成了这篇文章的诞生。我在最近的一篇文章《用户拒绝安全建议是正确的么?》中引申出关于密码和安全使用成本之类的一系列问题。另一方面，我也一直在寻找一个用户可以接受的密码管理工具。这并不是正式答案，但我相信自己可能已经找到了可以帮助所有人的东西。

在线密码管理和页面过滤工具LastPass

在这里，我指的是一个叫做LastPass的应用程序。不象你平常使用的密码管理工具，它平实而简单。不仅可以支持密码管理，还支持下面列出的各项功能：

Ø 可配置的表格填写功能

Ø 数个多因子身份验证选项

Ø 计算机/浏览器同步功能

Ø 信息安全保存功能

Ø 支持移动设备的单机应用

更好地了解LastPass

这些功能都非常重要，但如果你是和我一样，将是否能够保证密码信息安全放在应用选择列表第一栏的话。就会明白我为什么会询问来自LastPass的乔·西格里斯特下面的问题。这是他的回答：

探客网：请问是什么原因促成了LastPass的开发?

西格里斯特：LastPass有四名创始人。在过去十年中，我们一起工作为一家金融服务公司的服务业务开发了一个相当大的软件。两年前，我们都准备好迎接新的挑战。LastPass就是我们根据看到的用户需求依靠积累的经验带来的成果。

我们也很幸运：如果马里兰大学每年还和宾夕法尼亚州立大学进行足球比赛的话，就会使我们很难同心协力。忠于自己母校的思想在我们这里根深蒂固。

探客网：你可以说明一下LastPass的工作原理么，特别是LastPass本地客户端是怎样和LastPass.com进行互动?

西格里斯特：在作为一个附件被安装到浏览器上后，LastPasss可以用来捕获用户名和密码。捕获的信息经过了加密处理后，就保存在本地，并发送到LastPass服务器上。连接的方式不仅限于一台计算机。

探客网：据我所知，Last　Pass是基于防爆主机技术开发的，能否请你解释一下这是什么意思以及它可以带来什么好处?

西格里斯特：LastPass利用防爆主机托管技术来保存你最机密的数据(用户名、密码、网站名称、组名称、注释、字段值、用于填写所有表单的个人资料数据等)。关于防爆主机托管的关键是只有客户端才可以访问数据，因为它是以加密的形式发送到LastPass服务器上。

问题的关键在于你在多大程度上相信LastPass。对于本地数据，你可以验证它是否已经被加密，LastPass的员工也不能从服务器上获得你的数据。对于我们来说，这也是非常重要的责任。我们没有将纯文本数据放在服务器上，它是不可能被破解的。此外，员工也是不可能盗窃和查看这些数据的。

探客网：LastPass采用的是所谓的随机哈希技术，你能解释一下它是什么，以及为什么使用它是非常重要的么?

西格里斯特：我们认为在这一环节有两个问题：

Ø 大部分网站都用纯文本方式保存密码。

Ø 大部分用户都使用相同的密码。

具有安全意识的网站采用单向散列(一个数学函数，将输入数据转换为一个不可恢复的巨大数字)来存储密码数据。这是一个良好的开端，但这种计算数据库很容易被彩虹表破解。为了避免这种危险，在进行哈希处理前，纯文本中被添加了随机数据(称为随机化)。这样处理消除了彩虹表带来的威胁。LastPass借此更进一步：

Ø 用户的登录哈希处理方式是在本地对用户名进行随机哈希处理的。

Ø 新的哈希值被发送到LastPass服务器上。

Ø 在被储存前，哈希值被再次附加一个256位随机数字进行随机化。

探客网：你曾经提到过LastPass与基于浏览器的密码管理工具相比更优秀。这是为什么?

西格里斯特：对于内置的密码管理工具来说，最大的风险在于恶意软件可以直接从里面窃取密码。如果你不相信这是可能的话，可以利用我们提供的Windows安装程序进行尝试，看看它能不能找到存储的密码。如果LastPass可以找到密码，就意味着恶意应用也可以。在安装过程中，LastPass可以发现所有的密码，并且会清除计算机上的所有痕迹。

对于拥有多台计算机的用户来说，还有一个另外的优点。使用LastPass后，你不用担心需要在每台计算机上都重新输入密码数据。你只要在其它计算机上安装这个插件就可以直接登录了。

探客网：我曾经读过你为使用公共计算机用户制定的特殊规则。能否请你介绍一下已经采取了什么样的安全措施?

西格里斯特：公共计算机可能属于一种敌对的环境。因此，我们提供了可以降低风险的措施：

Ø 一次性密码：允许你将密码列表打印出来，并在每一次登录时使用。

Ø 屏幕虚拟键盘：可用于防范信息记录器。

Ø 多因子身份验证选项：如果密码被破解还是有另外一个因子为你提供保护。

探客网：LastPass采用了超过两种的多因子身份验证模式。这里面都包括了哪些?

西格里斯特：目前我们已经提供了三种模式，其它的将在近期推出：

Ø 网格：这是我们免费提供的，可以允许你打印出260格的坐标系统。LastPass将要求你输入四个坐标值，证明你是真正的主人。

Ø 安全微控制器Sesame：这项功能将包含在LastPass白金版中，可以容许你将USB微型驱动器变成第二项因子。

Ø 随机密码输入器Yubikey：这是一种USB键盘，在激活时可以输出一个一次性密码。LastPass可以在Yubico的服务器对密码进行验证。你必须单独购买该设备，并配合LastPass白金版使用。

探客网：我注意到你提及了LastPass白金版。请问使用付费版本的优势是什么?

西格里斯特：对于大多数人来说，它的主要优势是可以提供基于移动电话的应用工具。我们现在已经可以为iPhone/iPod　Touch、安致、黑莓、Windows　Mobile、信比安以及奔迈webOS提供支持。此外，多因子认证选项是LastPass白金版的组成部分。我们将关闭所有广告，并优先为白金用户提供支持。

探客网：还有一种LastPass企业版本，它有什么不同，可以为企业提供什么帮助?

西格里斯特：LastPass企业版包含了白金版中的所有功能。并且，加强了对业务有帮助的相关功能，这包括了范围更大的控制、记录和分享：

Ø 你可以设置帐户分享(就象"角色")功能，他们就会实现自动接纳你的用户。

Ø 当你对共享帐户进行了修改，可以将信息直接推送给用户实现自动接受。

Ø 团队成员共享不断变化的帐户密码让工作变得更方便。

Ø 记录日志可以让你了解谁在使用哪个帐户，对于多人共享一个帐户这种情况还提供了更多的审核功能。

Ø 如果员工离开公司，你还可以直接禁用并删除帐户。

Ø 对于活动目录域来说，还可以实现自动配置登录帐户的功能。

探客网：人们都非常关心自己个人信息的安全性，尤其是在涉及到密码的时间。LastPass如何保证只有用户才能访问自己的数据?

西格里斯特：数据在本地利用我们不知道的密钥进行加密处理是问题的关键，也是让我们都不知道的最重要保障。我们用来进行加密的是高级加密标准(AES)，任何人都可以来对工作情况进行验证。

LastPass也利用分层安全技术来降低风险。举例来说，我们利用SSL来进行数据传输，尽管数据已经被加密处理过。我们还在尝试自动限制虚假登录，并站在了多因子技术的最前线。

有用的官方网站

我发现LastPass网站很有帮助。很多视频可以让你了解LastPass是怎样进行工作的。他们还提供了一个安装和配置指南。为了消除所有顾虑，我建议你首先阅读他们提供的隐私声明。

最后的思考

LastPass有一些竞争对手，但我没有发现任何其他密码管理/表单填写工具可以自动在计算机间同步，并提供几种关于多因子认证的选择。LastPass目前正在开发一些有趣的功能：同步LastPass和书签/收藏夹、Windows登录替换和生物多因子认证。