PrivaPass
密码安全要点
密码究竟是如何被盗的
大多数账户被盗其实根本不涉及破解密码。数十亿条来自历史数据泄露的邮箱与密码组合在网上被交易,攻击者只需把它们逐一拿到其他网站上去试——这种手法叫做撞库,之所以奏效,是因为人们到处都用同一个密码。脆弱或常见的密码也会很快被自动化的字典攻击和暴力破解工具攻破,而钓鱼页面则会记录你输入的一切。重复使用是最大的风险:一个网站泄露,就可能让所有共用该密码的账户暴露无遗。
什么样的密码才算真正强壮
长度比符号更重要。一个随机的16位密码短语足以抵御暴力破解长达数百年,而看似复杂的短密码"P@ssw0rd!"却能在几秒内被攻破。每个账户都应使用各自独立的密码,这样一次泄露就不会在你的各个登录之间连锁蔓延。避免使用姓名、生日和字典里的单词——任何能从你的公开生活中猜到的内容都不可取。密码生成器会产生没有人会想到去选用的高熵字符串,从而消除人为的可预测性。
为何本地保险库胜过云端
云端密码管理器会把加密后的保险库副本保存在它们的服务器上,因而成为高价值的攻击目标——而你不得不信任它们的安全措施、它们的员工以及它们的服务可用性。PrivaPass把经过AES-256-GCM加密的保险库保存在你自己浏览器的存储中,因此没有可被攻破的中央服务器,没有可被钓鱼的账户,也没有会过期的订阅。你的主密码永远不会离开你的设备,泄露检查采用k-anonymity,因此即便是一次查询也不会泄露任何信息。
什么是 PrivaPass?
PrivaPass是一款免费的浏览器端密码管理器,使用AES-256-GCM加密技术生成、存储和管理您的所有密码——这与银行和政府机构所依赖的加密标准相同。内置生成器可创建密码学意义上的强随机密码,长度(64位以上)以及大写字母、小写字母、数字和特殊符号均可自定义,让您再也不必自己绞尽脑汁去想一个又弱又容易重复使用的密码。人们用它为每个账户设置独一无二的密码,把银行、邮箱和社交媒体的登录信息统一收纳在一个主密码之下,查看某个密码是否出现在已知的数据泄露中,以及在笔记本电脑和手机之间携带一份加密备份。整个密码库都保存在浏览器的IndexedDB中,并在写入磁盘之前就已加密——即使在做泄露检查时,也没有任何数据被发送到服务器。无需安装、无需注册、无需订阅。由于所有加密运算都是在浏览器中以JavaScript运行,页面加载完成的那一刻起,PrivaPass即可完全离线工作,生成的密码和密码库绝不会离开您的设备。
如何使用 PrivaPass
- 1
1. 生成密码
使用内置的强密码生成器快速创建高强度随机密码,支持自定义密码长度、是否包含大写字母、数字和特殊符号等选项,生成真正难以破解的密码。
- 2
2. 保存到密码库
将生成的密码和账户信息安全存储在加密密码库中,整个密码库由您设置的主密码进行AES-256-GCM加密保护,只有知道主密码的您才能解密访问。
- 3
3. 导出与备份
定期使用导出功能将加密密码库下载为备份文件,以便在设备之间迁移密码数据,或在浏览器数据意外清除时恢复您的密码库。
为什么 PrivaPass 是安全的?
云端密码管理器会把您密码库的加密副本保存在它们自己的服务器上,这本身就成了高价值的攻击目标——而您不得不信任它们的安全措施、它们的员工以及它们的正常运行时间。PrivaPass采取了相反的做法:它在您的浏览器中使用AES-256-GCM生成并加密一切,密码库绝不会离开您的设备。没有可供攻击的中央服务器,没有可被钓鱼的账户,也没有会到期的订阅。主密码不会被保存在任何地方——既不在服务器上,也不会在内存中停留超过解密密码库所需的那一瞬间——因此从设计上就无法找回,这同时也意味着除了您之外没有任何人能打开它。由于一切都完全在客户端处理,您无需仅凭信任:在生成密码或保存条目时打开浏览器的DevTools网络(Network)标签页,您会看到从未发出过任何上传请求。要获得更直观的证明,可在页面加载后关闭Wi-Fi——生成、保存、搜索和导出依然照常工作,因为本就没有任何东西需要发往服务器。唯一会联网的功能是可选的泄露检查,而它也采用k-匿名(k-anonymity)方式,只发送密码哈希值的前5个字符,因此在查询过程中您的密码也不会被泄露。