作为一位网站编辑,三易菌在日常工作中总是需要记住很多很多的密码,有我们自己网站后台管理页面的,有工作邮箱的,有各种各样媒体分发平台的,还有许多友站的会员账号,以及各种资讯和论文网站的付费账号,再加上为了安全,所有这些密码都会不定期进行修改,同时还需要在单位、家中,以及出差专用的笔记本电脑和手机等多台设备上进行同步。可以想见,管理所有的这些密码,本身就不是一件容易的事情。
正因如此,我们其实很早就关注过一些专业的“密码管理软件”,例如大名鼎鼎的LastPass、号称免费的Bitwarden,以及某些手机或者电脑中自带的密码管理功能。
事实上这类软件有三个共同的特征,其一就是可以记住账号和密码并进行便利的批量管理。例如修改了某个网站的账户密码后,这些软件就会自动记住新密码,不需要再专门到软件中再次修改一遍。
二是可以将这些密码与生物识别特征挂钩。比如用一个指纹关联一批性质相同的密码,需要登录的时候扫一下指纹,软件就会自动输入正确的密码,从而避免了“死记硬背”的麻烦。
三就是此类软件普遍支持在多个设备间自动对密码进行同步。比如刚换了一台新手机或新电脑,那么只需要安装上相应的密码管理软件,其他设备上已有的密码就会被自动同步过来,不需要再次手动输入一遍。
怎么样,是不是觉得特别方便?然而出于业内人士的直觉和对自身工作资料重要性的考量,我们并未使用这类软件。事实上,我们主要担心的是其跨设备同步机制会导致密码被软件运营方所取得,或者至少是可能暴露在它们的服务器中,从而导致一定风险。
如今看来,不得不说我们的做法可以说是非常正确,但我们所担心的理由本身却并未成立。因为这些“密码管理软件”真正的安全漏洞还不在于其同步机制,而是发生在更简单、同时也更加令人难以置信的地方。
近日,德国安全公司Exodus对市面上多款“密码管理软件”进行了深入调查。他们发现,一方面这些密码管理软件确实会使用高度加密算法和点对点传输等安全技术,来确保密码在上传到服务器以及在不同设备之间同步时的安全性;但从另一方面来说,真正不安全的其实并非密码同步机制,而在于这些软件本身就可能存在严重的安全漏洞。
为什么会这么说呢,主要的原因在于,许多此类密码管理软件出于商业利益的考量,会集成名为“跟踪器”的插件。以最为知名的密码管理软件LastPass为例,其一口气内置了七个“跟踪器”。其中四个是由Google提供,主要用于侦测和记录软件使用中发生的崩溃和错误等现象,并自动将错误报告传回开发者以供进行分析改进,而另外三个跟踪器则分别来自三家信息分析企业,这些跟踪器会记录用户在使用软件时的一些行为信息,比如电脑或手机的型号、配置、用户是否习惯使用指纹来关联密码,以及用户所处的位置信息等。
很显然,这些“跟踪器”收集数据的目的是为了进行市场分析,客户调查,以及用于精准地投放广告。虽然在公开声明中,我们可以看到软件公司声称“跟踪器”并不会收集或上传用户的密码数据,但Exodus方面指出,关键的问题并不在于跟踪器的行为是怎样的,而在于提供这些“跟踪器”的市场调查公司可能并不具备很高的编程水平。
也就是说,虽然密码管理软件本身可能用上了最新的加密技术,拥有高度安全可靠的代码水平。但广告公司和市场调查公司的程序员水平或许并没有这么高,这就导致他们所写出的这些“跟踪器”插件里,安全漏洞可就太多了。而一旦本身理应是高度安全的软件集成了这些“跟踪器”插件,就算跟踪器本身不作恶,但其也会为黑客的攻击大开方便之门,使得原本应该高度安全的软件变成了到处都是漏洞和易被攻击的靶子。
更为重要的是,密码管理软件与杀毒软件和文件加密软件一样,都属于涉及到高度安全技术的领域,对于这些软件公司的程序员来说,他们不可能不知道那些市场调查公司或互联网广告公司的技术水平是怎样的,但他们还是选择在产品中集成了这类可能有问题的插件。这样的行为本身,实际上就足以看出相关企业在道德规范以及对用户利益的重视上,到底抱有怎样的态度。换而言之,即便它们自身的代码再安全、加密功能设计得再好,显然也不再值得受到我们的信任了。