起疑心
昨天刷手机看见有人讨论密码管理软件靠不靠谱,心里咯噔一下。我去年图省事把八十多个网站密码全塞进LastPass了,连网银的都存了,这要是出问题不得倾家荡产?越想越睡不着,半夜三点爬起来开电脑,非得扒清楚它到底安不安全。
翻旧账
先说历史污点。去年年底那会儿有新闻说LastPass被黑过,用户保险库数据被偷了。我赶紧翻历史邮件,果然在垃圾箱里找着他们去年12月的通知函,写得轻飘飘的,什么“部分敏感字段未被访问”这种车轱辘话。气得我灌了半杯凉水才压住火——合着没明说的部分就是被摸走了呗?
动手测
第二天把能做的防护全堆上了:
- 改主密码:原本用的单词+生日组合太弱鸡,这回直接怼了20位大小写+符号混搭,写得我手抽筋
- 开两步验证:绑谷歌验证器时手滑输错三次,差点把自己锁外面急出汗
- 查密钥迭代:在设置里扒拉半天发现默认加密轮数只有1000,手动拉到10万轮(电脑风扇当场开始嚎叫)
找备胎
测试完还不放心,把网银和支付宝密码单独拎出来:
- 抄在去年买咖啡送的台历背面(特意用蓝色圆珠笔写的,跟打印体混一起像乱码)
- 把支付类密码改成一串毫无逻辑的字母+数字+emoji组合(现在每次付款都得翻手机备忘录)
玩后怕
折腾到上周二,突然收到LastPass安全警告邮件说我账户在新加坡登录。吓得我手机都没拿稳砸脚背上,龇牙咧嘴点开详情——操,原来是自己开的科学上网没关!白挨这一下疼,气得当晚多吃了两碗饭。
说人话
用这半年下来算是看明白了:工具本身还行,但关键看你怎么用。主密码要当祖宗供着,千万别用生日宠物名;两步验证死活都得开,就当给自己存折加把锁;最重要是别把所有鸡蛋塞一个筐——你把你对象生日和银行卡密码都搁一个本子上试试?
