《TO 導讀》:隨著網路服務普及,使用者在網路上暴露個人資訊的機會也大為增加。面對系統漏洞與駭客竊取個資等問題,也使資訊安全逐漸成為用戶關注的焦點,帳戶密碼管理工具也因此需求而生。這次所介紹的密碼管理工具 Dashlane,不僅支持 iOS、Android 等多種行動與 Web 端平台,其餘「快速更新密碼」、「兩步驗證」、「資料分享」等特色功能,也是它受到企業與個人用戶青睞的原因。以下由《Mac 玩兒法》作者 Frank 第一人稱觀點描述。
在《不可兒戲的密碼管理工具》專題中我們曾經推薦過 Dashlane 這款密碼管理產品,2014 年密碼管理器市場競爭異常激烈,而經過 2015 年的沉澱,許多跟風者已悄悄的退出了市場,剩下的只是 Lastpass、1Password 和 Dashlane 這幾家笑到最後,瓜分了用戶群。不得不否認 1Password 不管是在桌面端還是移動端都是贏家,當然,這是從產品設計開發角度上講,易用性,穩定性絕對是最好的,但鮮花也不能全都給他,今天要介紹的 Dashlane 也絕非等閒之輩,從功能上看,創新步伐邁的非常大,與近 400 家網站合作的「快速更新密碼」、「兩步驗證」、「資料分享」等特色功能拉攏了不少普通使用者和商企客戶,現在我們就來好好聊一聊 Dashlane。
Dashlane 家的伺服器全部使用 Amazon AWS,使用者資料採用 AES-256 加密技術(安全解答),在用戶資料保護上比小廠安全許多,支持 Mac、PC、iOS、Android 等多個平臺,免費版可在任意一個平臺的用戶端上單機使用,如果想要資料雲同步就需要訂閱高級版(Premium)了。下面我們先從自動填寫表單(Auto-Fill)這項基本素質說起。
- 自動填寫表單(Auto-Fill)
當你在網頁留下網站帳戶註冊 / 登錄、購物聯繫表單等資訊時,Dashlane 都會跳出提示框詢問你是否保存進資料庫,不管是國外網站還是國內網站 Dashlane 的處理都很及時,當然,咱實話實說,像在 v2ex.com 我也遇到了 Auto-Fill 失靈的情況,不過大部分網站都可以搞定,除了 Auto-Fill,Dashlane 還能做自動登錄動作,但遇到有手工輸入驗證碼的網站還是會停留在上面,待用戶輸入完成即可完成登錄操作。
每次登錄還未保存進入 Dashlane 的帳戶或新註冊帳戶都會看到 Dashlane 的密碼保存工具視窗。
在填寫表單的時候你會有多種 Personal Info 可選。
現在許多網站註冊的時候,尤其是電子商務、網路行銷類網站都會要求訪問者留下一大堆資訊,表面上是嚴肅認真,但會有一些投機取巧的釣魚網站利用這個機會套取並販賣使用者個人資訊,對此我們不可不防,將計就計是個好辦法,利用 「Dashlane – WALLET」中的 Personal Info 填寫幾套個人資訊用於填寫這些表單,在不涉及偽造關鍵資訊、不危及個人資訊安全的前提下使用這些個人資訊去註冊帳戶會更安全一些。
- 密碼自動生成(Password Generator)
密碼自動生成這項功能也算是密碼管理工具的標配功能了,Dashlane 在 Safari/Chrome 外掛程式以及移動應用中配備了密碼自動生成功能,可提供最多 28 位元的密碼,可搭配數位、字母、特殊字元,並提供可拼讀式密碼生成。在 Mac/PC 用戶端這項功能只隱藏在快速更新密碼(Password Changer)模組下。
註冊的時候也會提醒你是否使用 Dashlane 的密碼生成功能。
密碼自動生成功能好處非常明顯,像我這樣熱衷於把玩各種 App、各種互聯網產品的宅男,為了避免過度使用同一套郵箱 / 密碼,會在初次接觸或使用頻率不高的產品註冊環節中使用自動生成密碼,確保各個帳戶密碼的唯一性和安全性,不至於帳戶資訊被連鍋端。
- 快速更新密碼(Password Changer)
Dashlane 從 2014 年開始逐步開發「快速更新密碼」(Password Changer)功能,截止到現在已有超過 400 家網站支援,軟體可自動探測此範圍內網站密碼的安全級別,像弱密碼,重複使用次數都可以被檢查出來,點擊「Change Now」 即可完成安全度極高的密碼更新工作,無需使用者再去網站做密碼更改操作,節省了不少時間和精力,而且還能做多選操作,連續完成所有網站密碼的更新工作。當時這項功能一經推出,給了 1Password 不少壓力,LastPass 在當年也跟進推出了類似服務。不過令人遺憾的是像 Twitter,Facebook 等一票主流網站並沒有在「Password Changer」服務的範圍內。
- 安全資訊統計面板(Security Dashboard)
在桌面用戶端上,Dashlane 會根據資料庫裡各個帳戶密碼的安全級別進行評估,然後在安全資訊統計面板(Security Dashboard)上給出你的資料庫整體得分,當然,你不用去糾結這個分數天天盯著去更新密碼,它只是一個提醒你及時更新更加安全密碼的「指示燈」,同時,在面板裡會告訴你哪些重要網站的密碼需要儘快修改,哪些網站使用了同一組密碼,哪些網站的密碼使用時間過長,點擊最右側的「Action」可快速跳轉到網站進行密碼修改。
- 個人資訊資料庫(Secure Notes)
Dashlane 不但擅長密碼管理,存儲個人資訊資料也是手到擒來,她可以存儲文字備忘錄,應用程式登錄資訊,網站資料庫,法律文檔,網路會員,Wi-Fi 資訊,軟體授權資訊等資料,另外在填寫資訊的視窗右上角還能選擇個性化顏色標籤。
- 數位錢包幫你保存個人資訊、信用卡、帳單(WALLET)
除了保存管理密碼和個人資訊資料庫,Dashlane 的數位錢包(WALLET)也非常受用戶歡迎,就如我們前面提到的,你可以在購物或參加線上問卷調查時輕鬆快捷的填寫好個人資訊(Personal Info),這不過是花費一兩秒的事,除了個人資訊之外,還支援保存網上支付資訊(儲蓄卡、信用卡、PayPal 帳戶),個人身份證(護照、駕照、社保資訊、稅務資訊等)以及帳單,提到帳單,Dashlane 對此處理的非常仔細,在西方網站消費時,結帳(Check Out)後都會自動跳轉到帳單資訊頁面(通常會為你發送一封帶有帳單資訊的郵件),此時 Dashlane 就會將帳單資訊保存起來,而且資訊抓取非常全面,購買的商品名稱,送貨位址,支付方式都會存入進來。
Personal Info
Payments,各種支付方式均可保存在此。
Receipts
- 資料分享(Sharing Center)
資料分享是高級版功能的重要組成部分,她適用於團隊成員之間快速共用密碼及 Secure Notes。在分享給對方資訊的時候可分「Limited Rights」與「Full Rights」兩種使用權限,在「Limited Rights」中對方僅有使用權限,而沒有查看密碼、修改、撤銷訪問的權利;而如果選擇「Full Rights」的話,則意味著對方既可以擁有前面所說的許可權,還可以將資料二次分享給其他用戶,甚至是對你進行資料存取權限的撤銷,所以在分享前要考慮好需求和後果。
有人會對所謂的資料分享功能的安全性產生質疑,官方的解釋是這樣的,資料分享功能使用的是公共密匙加密技術(public-key cryptography protocol),每個用戶都擁有兩個獨一無二的密匙,分別是 public key 和 private key,
當你分享密碼給其他人時,Dashlane 會用對方的 public key 為你的密碼加密,反過來也是這樣;而當你收到其他人分享過來的密碼時只能使用自己的 private key 進行解密。資料在整個過程中不會被協力廠商看到,完美保證了輸出的安全性。
- 兩步驗證(Two-Factor Authentication)
Dashlane 支援使用兩步驗證技術(Two-Factor Authentication)來加強新設備接入帳戶以及使用者登錄帳戶時的安全性, Dashlane 的兩步驗證只能從桌面端 App 上開啟,在 iOS、Android App 上是無法操作的,開啟兩步驗證後當再次授權新設備的時候,之前的郵件驗證方式和離線登錄都會自動關閉。
使用兩步驗證登錄 Dashlane 需要你在移動端安裝專門的兩步驗證應用程式,像 Authy、 Google Authenticator、FreeOTP 都是不錯的選擇,如果身邊沒有移動設備,可以使用 WinAuth 這樣的 PC 軟體。
在「Preference – Security」裡可以找到兩步驗證的開關,開啟前需要你輸入 Master Password 獲取許可權,選擇狀態為 On 後還需要設置許多東西。
首先要選擇開啟兩步驗證的用途,一個是為帳戶授權新設備時,一個是用來登錄 Dashlane。選擇好後,打開你已準備好的 兩步驗證應用程式,我們這裡以 Authy 做示範,打開 Authy,按要求填入你的手機號,然後 App 會給你的手機發一個包含驗證碼的短信,輸入驗證碼進入操作主頁,點擊底部的「+」按鈕添加新的兩步驗證帳戶,就像 Dashlane 給出的提示一樣,你可以用 Authy 掃描 Dashlane 彈出的二維碼進行添加,也可以手動二維碼上方一連串的字元完成帳戶添加。
在 Autry 添加完 Dashlane 帳戶後,App 會每隔 30 秒生成一個 6 位元數字,將其填入上圖的最底部即可。
Dashlane 選擇啟動後的設置第一步
在此授權 Authy 提供兩步驗證服務
不要著急,耐心點兒,還有下一步,Dashlane 會讓你設置兩種資料備份方案,一種是填入備用手機號,如果你丟失了手機或者手機無法正常使用,伺服器會向你的備用號碼發送一串字元允許你關閉兩步驗證,如果在此設置備用號碼,你是不能再次修改的,所以在輸入後一定要確認好哦。之後想重啟兩步驗證,你只能使用新的手機號碼來註冊。
設置備份手機號碼
每個 Backup Code 只需用一次。
另一個資料備份方案是保存 N 串 back-up codes,每串 back-up code 只能使用一次,可以用來替代兩步驗證的 6 位元數位幫你登入帳戶。
光是具備使用兩步驗證 App 來登錄帳戶還不夠,你還有更高科技的安全登錄解決方案。Dashlane 支援使用電子權杖 YubiKey 配合兩步驗證登錄,YubiKey 支援密碼安全聯盟(FIDO Alliance,由 PayPal、聯想等公司聯合建立的)最新的 「Universal 2nd Factor」(簡稱 U2F)開放認證協定,連 Chrome 都開始支持它了。
為 Dashlane 添加 YubiKey 很簡單,也是在兩步驗證的開關介面,在其下方「U2F Security Key」點擊「Add」 ,然後為 Security Key 輸入一個名字,此時插入 YubiKey,按一下中間的綠色按鈕,幾秒鐘後完成添加操作。
- 數據的導入和匯出
Dashlane 擁有完備的資料導入匯出功能,她支援導入 Safari、Chrome、Firefox 等瀏覽器的 Keychains,也可以將 1Password、LastPass、Roboform 的密碼庫資料導入進來,下面我們以 1Password 做示範,看看她是如何操作的:
打開 1Password,在「檔 – 匯出」中選擇「所有專案」,然後輸入 Master Password(也就是主密碼),在匯出檔保存視窗內為檔起名字,默認選擇 .1pif 格式進行保存。
然後回到 Dashlane,在「File – Import」功能表裡選擇 1Password,按照提示選擇保存好的 .1pif 檔,並非「1Password.1pif」這個目錄。正常的話,軟體會顯示密碼項清單,你可以全選或者任意選擇密碼項進行導入,如果有重複項,Dashlane 還會辨別出來並告知你已存在此密碼項。
導入前的提示框
.1pif 文件
導入密碼前的確認清單
Dashlane 的資料匯出功能就很簡單了,但不支援在 iOS/Android 上使用,打開「File – Export」選擇「Dashlane secure archive」即可將資料庫保存為 .dash 格式檔。
或者你也可以將資料匯出成 Excel、Numbers 等程式可讀取的 .csv 文檔,但這樣安全性無法保證,在獲取資訊後建議您儘快清除這類檔。
- Dashlane 在 iPhone 上的表現
Dashlane 在 iPhone 上的 App 設計非常巧妙,對於表單的 Auto-Fill,自動登錄,支付方式自動填寫等常見操作處理的都恰到好處,而且支援 3D Touch 以及 Spotlight 搜索。
你可以在 Spotlight 介面直接輸入密碼項名稱的關鍵字進行搜索,按一下條目會跳入 Dashlane App 查看密碼資訊。
3D Touch 功能表略顯單調,僅有新建密碼項,密碼項搜索兩個 Action,基本夠用。對於資料庫中的密碼項也可以利用按壓操作和向上滑動手勢觸發一個包含「拷貝登錄名稱」、「拷貝密碼」、「跳入對應網站」的菜單。
在使用 Dashlane 的 Auto-Fill 功能前你需要在 Safari 中的 Action Extension 功能表裡打開 Dashlane,如果你對 Dashlane 使用較頻繁,最好將 Action 挪到前 4 位,這樣不用滑動每次都能出現在首屏中。
對於註冊、登錄的 Auto-Fill,Dashlane 的操作準確度近乎完美,直接在 Action Extension 裡選擇 Dashlane Action 即可自動對表單進行填寫,如果你的 Dashlane 帳戶裡對當前網站存有多個帳戶資訊,Dashlane 會很聰明的詢問你選擇哪個帳戶,或者是當你在已註冊有帳戶的網站再次選擇註冊,Dashlane 也會問你當前的網站你已經有了一個帳戶,還要再創建一個新帳戶嗎?另外在註冊環節,設計密碼的時候,她還會為你推薦是否使用 Password Generator 來生成高安全性的密碼。
如果在移動網頁涉及到購物輸入支付方式等場景,Dashlane 的優勢就更加突顯了,她可以以迅雷不及掩耳之勢幫你填寫好信用卡的卡號,安全碼,有效期,姓名等資訊,當然,對於諸如電話號碼、家庭住址、郵編,工作單位等 Personal Info 就更不在話下了。
- 結語
總的來說,Dashlane 無論是從安全性、功能範圍和易用性上都可稱得上是業內領先,對於需求不太旺盛的普通線民,Dashlane 在桌面用戶端、移動 App 提供的密碼管理、密碼自動生成、密碼自動填寫等功能絕對是足夠用,如果你想要多平臺同步使用密碼,密碼資料備份和更高級別的售後服務速度,也可以訂閱高級版(Premium),Premium 的年費價格是 29.99 美元,訂閱 3 年是 64.99 美元,訂閱 5 年也只有 99.99 美元,這樣的價格比其他同類產品相比有很大優勢,具體我就不在這說了。
(本文獲《Mac玩儿法》授權刊登轉載,圖片來源:ditatompel CC Licensed,未經授權請勿轉載。)
- 延伸閱讀:
去咖啡店還敢要密碼嗎?免費 WiFi 用 20 分鐘就能駭完你一生
公司花了大把預算維護資安系統,卻沒發現最大的漏洞就在員工的密碼管理心態
2015 年超蠢密碼排行出爐:放棄治療 12345,但是_____竟然也在榜上
