本周，在Linux最广泛使用的实用程序中发现了一个非常危险的漏洞。好消息是好人发现了它，但坏消息是，根据一些专家的说法，它可能“比心血还糟糕”（心血是一个非常坏的消息）。对于计算机行业的几乎每个人来说，这都是一个可怕的局面。为数不多的例外之一是AgileBits，它是一家开发密码管理软件1Password的公司。

每一次大规模的黑客攻击或泄密都会带来新闻，1密码销量就会上升。每一次名人**被偷走，更多的人意识到他们的数据并不像他们想象的那样安全，并考虑可以做些什么。AgileBits的开发人员说，当某些东西被黑客攻击时，他们也同样感到沮丧——但很难否认，在销售一款推广更好、更强密码的应用程序时，安全漏洞的营销力量。

随着iOS8的推出，AgileBits决定将其价格昂贵的（按应用商店标准）17.99美元的应用程序免费，让几乎所有人都能接触到它。从那时起，这个应用程序的下载量已经超过了300万次，但1Password还远远不是一个家喻户晓的词。我们与AgileBits的Jeff Shiner和David Chartier讨论了在线安全的现状、生物识别密码的可行性，以及如何使“密码管理器”成为主流。

为了简洁明了，本次采访经过了精简和编辑。

为什么人们花了这么长时间才意识到他们需要锁定自己的账户？

杰夫：嗯，一部分只是重复。五年前，这完全不是密码破解。是关于这个和那个病毒。人们一直在寻找反病毒工具，但在过去几年里，我们注意到（黑客）不仅仅影响无关紧要的小网站。这是很重要的网站，在心血的情况下，很多很多网站。再加上过去X年随着时间的推移，人们在网上过着自己的生活。

“我们的工作。。。是为了方便保安。”

它不再是“我上网看猫的照片”，你的整个生活，你的银行信息，你的个人信息，你如何与每个人联系，甚至健康记录都在那里。这是一个认识到这种破坏几乎可以发生在任何地方的组合，同时我有非常重要的数据，我需要保护，这使得这种组合只是更加有效。

我妈妈上周给我发了一封电子邮件，说：“我去更新iPad上的一款游戏，它打开了这个条款和条件页面，希望我点击‘接受’。我想这个游戏是想窃取我所有的数据！”这是ios8的更新。就连她现在也意识到了这样一个事实：这些东西就在外面。我们从文化的角度来看待它——人们现在意识到在线隐私很重要，他们希望保护这一点。

大卫·沙特尔：从某种意义上说，我们一直在战斗的另一件事是人性。正如我们的密码学家或“黑魔法的首席捍卫者”杰夫·戈德伯格（Jeff Goldberg）喜欢说的那样，最方便的密码是什么？它是123456或者你的猫的名字。所以我们的工作，这是老生常谈的，因为它在我们的口号，是使安全方便-使安全的事情方便的事情。

1Password下载量会随着每一部大型黑客剧而激增吗？

JS：当然。每当公众对某个漏洞有什么看法时，我们就会看到兴趣和下载量激增，人们纷纷来到博客上阅读，下载应用程序。这是口碑。

心血是一个真正突出。我问过很多人在这个新闻里受到了多大的影响？如何在20个、50个或100个站点上更改密码？“尤其是当他们习惯于重复使用密码或使用密码方案时。这就是人们知道你必须放手的地方。使用密码管理器比使用这些疯狂的方案更容易保持安全。

华盛顿：这也有助于Heartbleed是多年来最好的品牌安全漏洞。

那么，每次有新黑客的消息传出，都会有一个尴尬的小庆祝活动吗？

华盛顿：我不会说“庆祝”。我们最好的业务来自非常不幸的事件，这有点奇怪，但我们的做法是希望我们现在有机会与人们谈论我们真正相信每个人都需要的东西。我们有分析人士跟我们谈过，他们总是问，“你的人口统计是谁？”这是一个很难回答的问题，因为实际上是每个人。我们的目标不仅仅是18到34岁的**。地球上的每个人都必须接触互联网。我们有一个很好的机会来帮助人们，这一可怕的事件已经影响。

即使您使用1Password，您仍然会被大多数网站用来恢复帐户的空洞安全问题所困扰。我们该怎么办？

华盛顿：（我们的首席密码学家）杰夫·戈德伯格在PasswordsCon上发表演讲，谈到我们的建议是：不要诚实地回答安全问题。让一个密码管理器为您完成这项工作。创建一个名为security question#1的附加字段，键入问题的名称，然后使用我们的密码生成器生成一些gobbledigook，然后将其存储在您的1Password登录中。现在，我不需要记住我的安全问题。这既是教育上的挑战，也是密码管理器的优点——它可以减轻一些负担。

“我们的指纹和声音非常独特，但它们是可怕的秘密。”

展望未来，文本密码仍将是我们的主要密码吗？或者我们会使用TouchID，或者更先进的生物识别技术？

在接下来的几年里，是的。希望在未来的某个时候会有更好的方法。但生物识别的挑战在于，密码必须在很多地方都能工作。我需要一个到处都能用的密码。即使从生物识别的角度来看，主密码也会更加安全。

华盛顿：我要从戈德伯格那里偷这个，他喜欢生物识别技术。我们的指纹和声音非常独特，但它们是可怕的秘密。我可以呼吸分析仪，打开一扇门，但当它被复制时会发生什么呢？我不能去换个新的声音，或者新的指纹。这些技术有一个挑战，至少在他们目前的设想。

有人知道你的主密码吗？

华盛顿：没有。

我把我的写在银行的保险箱里了。但1Password的一个有趣用途是，当我死后，我妻子能做的一件事就是去“共享家庭保险库”，知道我的人寿保险单401k等都在那里。她知道如何支付我所有的账单，因为她可以登录。她掌握着所有的信息。不仅仅是登录。您需要您的私有数据保持私有，但您需要它在需要时可用。这些天我们什么都在网上做，我付一些账单，我妻子付其他的。我不知道如何支付她的账单，所以我可以去我们的共享金库。有些是最愚蠢的事情，但在你生命中最糟糕的时刻，你不想担心这些事情。

是啊，人们不再把所有重要的文件都放在办公桌的抽屉里了，是吗？

DC:我们的一个用户创建了一个1Password急救包。这是一个填补空白PDF，在那里你可以填写你的主密码，你可以把它给家庭成员放在一个保险箱。

我们有一位律师，他是我们的客户之一，作为他的“遗愿和遗嘱套餐”的一部分，他向所有客户免费提供一份1密码副本。其用途远不止登录，但登录是人们知道的起点。

“其用途远不止登录，但登录是人们知道的起点。”

像Wired的Mat Honan这样的人，他是通过社会工程被黑客攻击的呢？

JS：一个密码管理器实际上帮助了Mat，因为你想做的事情之一就是保护你所有的数据和登录。如果有人能拿走你的**，不管是社会工程还是其他什么，只要你登陆，或者你使用的某个网站上有明文的信息。如果这些信息中有一部分被获取了，那么关键的是这些信息不能在其他任何地方使用。比方说，你去一个网站，你注册，他们有一个漏洞，他们把你的信息保持在明文。现在有人把你的密码用明文写着，他们甚至对在那个网站上使用它都不感兴趣，他们会在很多网站上使用它，不管是购物网站，社交网站，什么的。信息的再利用比最初的破坏更糟糕。

华盛顿：即使是在社会工程的情况下，你现在是外面的界限，人们黑客在一个工具。他们在窃听控制大门的人。强密码仍将减轻损害。如果有人进入你的电子邮件，他们可能会得到一些其他帐户，但有这些独特的密码意味着他们将无法进入其他任何东西。他们将不得不开始打电话伪造身份。从黑客的角度来看，你不会坐在电话上两天重置密码。

如果一个密码管理器如此重要，你是否曾担心苹果或谷歌会介入并建立自己的密码管理器？iOS7中的iCloud钥匙链无疑是第一步…

JS：这对我们来说是好事。苹果有能力教育如此广泛的用户。他们能接触到的人数远远超出我们的范围。如果苹果能为我们做一些核心教育，那就太棒了。然后突然间，每个人都会知道密码管理器或身份管理器可以做什么，为什么他们需要它，以及他们可以从中得到什么。我们将始终与那些谁需要一个更好的版本溢价解决方案。我们就是这么做的。这就是我们要做的。

你希望人们关心任何事情直到它影响到他们自己吗？例如，如果更多人的信用卡被盗，我们现在可能会使用EMV信用卡？

JS：每当我必须把名片给任何人的时候，比如我去加利福尼亚的时候，我还是很害怕。在加拿大，我不需要给任何人我的名片。当我在任何地方付钱时，就等于在加油站付钱。他们把机器带给你，你把卡放进去，输入密码，自己拿着卡，把机器交给那个人，你就完成了。你从不把名片给别人。

华盛顿：这是我们技术文化中的一个问题，但我们看到一些好的迹象，表明它正在进入主流大众。我们在CNN上看到了一些建议——这个漏洞发生了，你需要研究这些叫做密码管理器的东西。