作为一名网站编辑,三义在日常工作中总是需要记住大量的密码。拥有工作邮箱、各种媒体发布平台、众多交友网站会员账号、各种资讯、纸质网站付费账号的,加上为了安全,这些密码都会不时更改,同时,也需要在工作、家庭、出差专用的笔记本电脑、手机等多台设备上同步。可以想象,管理所有这些密码本身并不是一件容易的事。正因为如此,我们其实很早就关注了一些专业的“密码管理软件”,比如大名鼎鼎的LastPass,所谓免费的Bitwarden,还有一些手机或者电脑自带的密码管理功能。其实这类软件有3个共同特点,其中之一就是可以记住账号和密码,方便批量管理。比如修改了某个网站的账号密码后,这些软件会自动记住新的密码,不需要再去软件里修改。第二个是这些密码可以与生物识别特征相关联。例如,用指纹关联一批性质相同的密码。当您需要登录时,扫描指纹,软件会自动输入正确的密码,免去了“死记硬背”的麻烦。三是这类软件一般都支持多设备间自动同步密码。例如,您刚换了新手机或新电脑,只需安装相应的密码管理软件,其他设备上已有的密码会自动同步,无需手动输入再次。怎么样,是不是觉得特别方便?但是出于业内人士的直觉以及对自身工作数据重要性的考虑,我们并没有使用这类软件。其实我们主要担心的是它的跨设备同步机制会导致密码被软件运营商获取,或者至少可能会暴露在他们的服务器中,造成一定的风险。现在来看,不得不说我们的做法可以说是非常正确的,但是我们担心的原因本身是不成立的。因为这些“密码管理器”真正的安全漏洞并不在于它们的同步机制,而是在更简单、更不可思议的地方。近日,德国安全公司Exodus对市面上各种“密码管理软件”进行了深入调查。他们发现,一方面,这些密码管理软件确实会使用高度加密算法、点对点传输等安全技术,保证密码上传到服务器、在不同设备间同步时的安全;不安全的不是密码同步机制,而是这些软件本身可能存在严重的安全漏洞。主要原因是出于商业原因,这些密码管理器中的许多都集成了称为“跟踪器”的插件。以最著名的密码管理软件LastPass为例,它一口气内置了七个“追踪器”。其中四个是谷歌提供的,主要用于检测和记录软件使用中的崩溃和错误,并自动将错误报告发回给开发者进行分析和改进,而另外三个跟踪器则来自三大信息分析公司,这些跟踪器会记录用户在使用软件时的一些行为信息,如电脑或手机的型号和配置,用户是否习惯使用指纹关联密码,用户的位置信息等。显然,这些“跟踪器”收集数据是为了进行市场分析、客户调查和精准投放广告。虽然在公开声明中,我们可以看到软件公司声称“追踪器”不会收集或上传用户的密码数据,但Exodus指出,关键问题不在于追踪器的行为方式,而是它提供的内容。这些“跟踪器”市场研究公司的编程水平可能不高。也就是说,虽然密码管理软件本身可能使用了最新的加密技术,但它具有高度安全可靠的代码级别。但是,广告公司和市场调研公司的程序员水平可能没有那么高,这就导致他们编写的这些“跟踪器”插件存在太多的安全漏洞。而一旦这些“跟踪器”插件被集成到本应高度安全的软件中,即使跟踪器本身不作恶,也会为黑客的攻击敞开大门,使得本应高度安全的软件变得无处不在。两者都是漏洞和容易攻击的目标。更重要的是,密码管理软件与杀毒软件、文件加密软件一样,是一个涉及高安全技术的领域。对于这些软件公司的程序员来说,他们不可能不知道那些市场调研公司或者网络广告公司的技术水平如何,但是他们还是选择在自己的产品中集成这种有潜在问题的插件。这样的行为本身,其实就足以看出相关企业在道德和对用户利益的重视上是一种怎样的态度。也就是说,不管他们自己的代码多么安全,他们的加密功能设计得多么好,显然已经不值得我们信任了。
