才 華 肖普山

(中國銀聯(lián)股份有限公司 上海 201201)

0 引 言

信息化時代，隨著互聯(lián)網(wǎng)逐漸滲透到我們生活的方方面面，不同的網(wǎng)站賬號也成為個人的一個身份指代符號，人們需要在生活工作場景中頻繁地進行授權(quán)、確認(rèn)、登錄操作，而不同形式的賬號密碼則是認(rèn)證我們身份的最直接方式。根據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)布的《中國互聯(lián)網(wǎng)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》[1]，截至2019年6月，中國網(wǎng)民規(guī)模到達8.54億人，人均每周上網(wǎng)時長為27.9小時，中國網(wǎng)站數(shù)量更是達到了518萬個，眾多的網(wǎng)站在帶來便利的同時也意味著用戶需要記憶管理的網(wǎng)絡(luò)賬戶甚是繁雜，給用戶的密碼安全帶來了嚴(yán)峻挑戰(zhàn)。早在2011年，技術(shù)論壇CSDN的安全系統(tǒng)就曾被黑客攻破，600萬用戶的賬號名、密碼及郵箱信息遭到泄露，隨后天涯、多玩網(wǎng)、人人網(wǎng)、世紀(jì)佳緣等網(wǎng)站也被曝出用戶隱私泄露問題，其中光天涯社區(qū)就涉及到了4 000萬用戶[2]。2018年8月，華住旗下酒店所有數(shù)據(jù)被網(wǎng)民在暗網(wǎng)上公開售賣，內(nèi)容包括了會員的姓名、手機、身份證、登錄密碼等注冊信息，入住登記身份信息，酒店的開房信息等，涉及到1.3億人的個人信息及開房記錄，記錄總數(shù)超過4億條[3]。而上述統(tǒng)計報告數(shù)據(jù)更指出，在2019年上半年，有13.9%的網(wǎng)民表示在上網(wǎng)過程中遭遇過賬戶或者密碼被盜、個人信息泄露等網(wǎng)絡(luò)安全問題。另一方面，很多網(wǎng)民對于密碼復(fù)雜度的認(rèn)識不足，使得設(shè)置的密碼安全強度不高。以CSDN泄露的密碼統(tǒng)計結(jié)果為例，有23萬用戶采用“123456789”為登錄密碼，同時有21萬用戶設(shè)置密碼為“12345678”，甚至占到了當(dāng)時CSDN網(wǎng)站總用戶數(shù)的2%，而由于很多用戶習(xí)慣將不同網(wǎng)站設(shè)置相同的賬號和密碼，使得黑客在竊取一個密碼后很容易進行撞庫攻擊，造成更多網(wǎng)站的密碼安全問題[4]。

鑒于賬戶密碼數(shù)量繁多、高質(zhì)量密碼難以記憶、密碼傳輸存儲不安全的諸多問題，密碼管理器被推出以用于相關(guān)密碼信息的綜合管理，通常采用將密碼加密后存儲在本地數(shù)據(jù)庫、云端服務(wù)器或者硬件設(shè)備的方式，經(jīng)由一個主密碼進行賬戶密碼信息的查詢控制，適用于移動端和PC端的多種平臺[5-7]。本文針對已有密碼管理器實現(xiàn)方案中存在的單個主密碼認(rèn)證、傳輸存儲涉及密碼內(nèi)容本身等問題，設(shè)計了用戶密碼和網(wǎng)站密碼的映射轉(zhuǎn)換關(guān)系，并采用與LastPass、1Password等商用產(chǎn)品類似的AES256與PBKDF2「哈希算法」加密技術(shù)對映射關(guān)系表進行加密，使得被加密存儲對象由用戶密碼改進為映射關(guān)系表。同時，通過綜合用戶自定義和系統(tǒng)輔助生成的方式制定網(wǎng)站密碼等級、映射關(guān)系、密碼規(guī)則，優(yōu)化密碼自定義安全等級和便捷性，提出了一種聚合密碼管理器，保留了現(xiàn)有加密模式安全性的同時，整體提高了密碼管理器的抗風(fēng)險能力，極大便利了用戶的使用體驗。

1 密碼管理器的研究現(xiàn)狀

目前，密碼管理器已有較多成熟的產(chǎn)品，廣泛應(yīng)用于手機移動端、電腦PC端和U盾等硬件設(shè)備，既能通過登錄密碼的方式打開查看文檔型的密碼管理列表，也能在網(wǎng)頁瀏覽時通過插件自動捕捉Web注冊、登錄信息，實現(xiàn)賬戶名、賬號密碼的自動化記錄和填充[8-10]?；谫~戶信息的數(shù)據(jù)存儲位置，這些密碼管理器被分為在線服務(wù)器同步和本地數(shù)據(jù)庫同步，而基于身份認(rèn)證手段的不同，這些密碼管理器也被分為主密碼登錄和多重混合登錄，其中，較為突出的代表性產(chǎn)品有KeePass、Enpass、1Password、LastPass、Dashlane等[11-15]。

KeePass是一款免費、開源且兼容性強的密碼管理器，支持AES等多種加密方式，采用本地數(shù)據(jù)庫存儲的模式，同時也能夠使用Dropbox、OneDrive、Google Docs等同步工具上傳到云端，但KeePass在手機移動端使用時操作復(fù)雜，需要額外下載網(wǎng)盤App進行同步支持，而用瀏覽器訪問網(wǎng)站時，KeePass更多時候需要手動操作，無法實現(xiàn)自動填表登錄，且不支持某些銀行插件。Enpass是一款跨平臺密碼管理器軟件，支持本地離線存儲、兼容多平臺客戶端并提供主流瀏覽器的一鍵登錄擴展，通過一個主密碼登錄實現(xiàn)密碼全管理，但局限應(yīng)用于PC電腦端。類似的1Password跨平臺密碼管理器，采用本地數(shù)據(jù)庫保存數(shù)據(jù)，同時支持自定義的云端同步和瀏覽器自動填表，但不用安裝任何客戶端，只要有瀏覽器即可查看密碼，可是僅僅支持網(wǎng)站自動登錄。

LastPass、Dashlane是兩款基于服務(wù)器自動備份的密碼管理器，系統(tǒng)會強制將密碼內(nèi)容上傳，但由于云存儲仍然是一個較為脆弱的保護環(huán)境，Web端上傳服務(wù)器的密碼備份方式有被攻擊的可能，隱含了潛在的泄露風(fēng)險[16]。例如，2015年LastPass的CEO曾在官方博客中警告稱：“未知的攻擊者攻破了運行公司密碼管理服務(wù)的設(shè)備，并獲得了用戶賬號的電子郵箱地址、密碼提示信息和用于驗證的個人哈希信息、個人加密加鹽(Salt)信息”[17]。

雖然KeePass、1Password、LastPass、Dashlane等大多數(shù)成熟的密碼管理器在加密算法的應(yīng)用上都采用相似的技術(shù)流程，基本上是通過主密鑰+鹽(salt)，調(diào)用成熟的PBKDF2函數(shù)迭代上萬次循環(huán)來生成最終加密數(shù)據(jù)庫的鑰匙，并采用美國聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPS)認(rèn)證的最高密級AES256加密算法[18]來對數(shù)據(jù)庫加密，而SHA-256算法驗證信息是否被篡改[19]。但借用1Password官網(wǎng)的一句話，從密碼管理器這一產(chǎn)品設(shè)計邏輯的角度來看，“真正有區(qū)別度的是安全模式而非加密方式”[20]。上述的商業(yè)密碼管理器都采用單一主密碼為主的認(rèn)證方式，這意味著一旦主密碼泄露，用戶的所有信息就有失竊的風(fēng)險。在2015年的LastPass被攻擊事件中，官方郵件通知所有用戶都需要重新設(shè)置主密碼，因為攻擊者是可以根據(jù)非法獲得的相關(guān)信息猜出較弱的用戶主密碼[21]。而LastPass、Dashlane雖然也支持使用谷歌驗證器(Google Authenticator)進行雙因子驗證，但此時必須通過Windows或Mac客戶端軟件開啟支持雙因子驗證的功能，在移動端的雙因子登錄則需要額外安裝專門的驗證應(yīng)用程序，且保持與互聯(lián)網(wǎng)的連接[22]。

綜上，密碼管理器因為其便利性已有一定的市場應(yīng)用，但現(xiàn)有技術(shù)方案多是采用一個主密碼的方式進行登錄認(rèn)證，而這意味著一旦主密碼丟失賬戶所有密碼便被完全破解[23]。例如，從LastPass攻擊事件可以看出，即使密碼被AES算法加密，通過側(cè)面的角度仍然可猜出部分主密碼。同時，全部現(xiàn)有方案都會涉及密碼內(nèi)容本身的存儲和傳輸，存在著被攻擊破解的風(fēng)險隱患。

2 聚合密碼管理器的設(shè)計

針對現(xiàn)有密碼管理器將所有網(wǎng)站密碼無區(qū)別對待，統(tǒng)一加密后存儲在本地或是服務(wù)器，使用一個密碼管理器主密碼作為唯一認(rèn)證手段的問題，我們提出了一種聚合密碼管理器。通過設(shè)計用戶密碼和網(wǎng)站密碼之間的映射轉(zhuǎn)換關(guān)系，采用與LastPass、1Password等商用產(chǎn)品類似的AES256與PBKDF2加密技術(shù)對映射關(guān)系表進行加密，將加密存儲用戶密碼本身的常規(guī)模式改進為加密存儲密碼映射關(guān)系，保留了已有加密算法的安全性；而通過添加以網(wǎng)站密碼等級、映射關(guān)系、密碼規(guī)則的用戶自主分類的邏輯機制，有效避免了商用密碼管理器隨機生成的“強密碼”難以記憶、只能在服務(wù)器/本地加密存儲的弱點，也大幅度減少了用戶需設(shè)定、記憶的密碼數(shù)量，整體提高密碼管理器安全性、抗風(fēng)險能力的同時，極大便利了用戶的使用。密碼管理器的總體邏輯架構(gòu)如圖1所示。

圖1 聚合密碼管理器邏輯架構(gòu)

圖1中密碼管理器內(nèi)的用戶規(guī)則A、B、C為用戶自行設(shè)定的密碼規(guī)則；映射關(guān)系表a、b、c記錄密碼的轉(zhuǎn)換邏輯，在密碼管理器根據(jù)網(wǎng)站地址匹配到對應(yīng)的映射關(guān)系表后，將用戶密碼向符合網(wǎng)站規(guī)則的網(wǎng)站密碼轉(zhuǎn)換；用戶密碼A1、A2、B1、C1為用戶根據(jù)用戶密碼規(guī)則自定義的密碼；密碼組是多個用戶密碼的集合，同一密碼組內(nèi)用戶密碼對應(yīng)的網(wǎng)站具有相同的安全等級；網(wǎng)站規(guī)則W、X、Y、Z為網(wǎng)站規(guī)定的網(wǎng)站密碼規(guī)則；網(wǎng)站密碼W1、X1、Y1、Z1為密碼管理器經(jīng)過映射轉(zhuǎn)換過程后的密碼，即網(wǎng)站記錄存儲的用戶密碼，用于身份認(rèn)證。

密碼管理器的設(shè)計是基于用戶密碼和網(wǎng)站密碼的獨特映射關(guān)系，用戶可根據(jù)安全需求的不同將網(wǎng)站分級并設(shè)置不同的用戶規(guī)則，用戶輸入符合用戶規(guī)則的密碼時，密碼管理器會按照設(shè)定的映射關(guān)系將密碼轉(zhuǎn)換為符合目標(biāo)網(wǎng)站規(guī)則的網(wǎng)站密碼。此時，密碼管理器能通過安全等級的分類使用戶需要記憶的密碼數(shù)量減少，也規(guī)避了一個主密碼丟失即損失全部隱私的風(fēng)險；且不同于常規(guī)密碼管理器只是對密碼內(nèi)容的加密存儲，此時在服務(wù)器加密傳輸、存儲的不再是用戶密碼而是用戶密碼的轉(zhuǎn)換關(guān)系，用戶可以使用最常見的簡單密碼(例如針對CSDN泄露事件中部分人群設(shè)定的數(shù)字密碼“123456789”“123123123”)就完成高安全性能的多賬戶密碼管理，降低了單個密碼損失造成的撞庫攻擊風(fēng)險，也有效避免了商用密碼管理器隨機生成的“強密碼”難以記憶、只能在服務(wù)器/本地加密存儲的弱點。同時，聚合密碼管理器的映射關(guān)系表會采用PBKDF2-SHA256算法循環(huán)生成加密鑰匙、AES256加密算法加密的方式存儲于數(shù)據(jù)庫，保證映射關(guān)系表的安全性。

2.1 初始設(shè)置

在初始階段，用戶通過聚合密碼管理器設(shè)置多個密碼組及對應(yīng)的安全等級(例如，金融支付網(wǎng)站為高安全等級，而一般瀏覽網(wǎng)站為較低安全等級)，并為各個安全等級同步設(shè)置密碼組對應(yīng)的用戶密碼規(guī)則和映射關(guān)系表，基本流程如圖2所示。

圖2 聚合密碼管理器設(shè)置階段流程

用戶密碼規(guī)則為用戶自行設(shè)定的用戶密碼形式規(guī)范，通常采用用戶熟悉常用和方便記憶的組合(如用戶常用“A123456”，設(shè)置規(guī)則為7位字母數(shù)字的組合)，幫助用戶對密碼組內(nèi)容進行記憶和對安全等級的區(qū)分。

所述映射關(guān)系表包含了根據(jù)常用的數(shù)字、大寫字母、小寫字母、符號(以下統(tǒng)稱字符)四種密碼形式統(tǒng)一設(shè)計編碼成的四個字符轉(zhuǎn)換函數(shù)FS(x)、FD(x)、FX(x)、FF(x)，能將用戶輸入密碼逐位轉(zhuǎn)換為符合網(wǎng)站規(guī)則的密碼，其中，F(xiàn)S可以將任何字符轉(zhuǎn)換成隨機數(shù)字，F(xiàn)D可以將任何字符轉(zhuǎn)換成隨機大寫字母，F(xiàn)X可以將任何字符轉(zhuǎn)換成隨機小寫字母，F(xiàn)F可以將任何字符轉(zhuǎn)換成隨機符號。為了進一步保證安全性，映射關(guān)系表中除了記錄轉(zhuǎn)換步驟之外，用戶還可額外自定義增加用于混淆的轉(zhuǎn)換步驟信息。例如，在原本4位密碼轉(zhuǎn)換關(guān)系“0-D”“1- 4”“9-B”“4- 6”“5-M”的基礎(chǔ)上，用戶自定義額外混淆的“8-H”“0-T”轉(zhuǎn)換規(guī)則等。使得密碼在通過映射表轉(zhuǎn)換后的密碼信息只能正向推導(dǎo)，無法反向破解。

除此之外，映射關(guān)系表也包含密碼位數(shù)的補位和字符的排列，聚合密碼管理器會判斷用戶密碼長度是否符合網(wǎng)站密碼規(guī)則，如果不一致，則使用補位字符進行補充(例如，對于缺位用k、y、p補位)，或者進行刪位處理(對于過長的密碼刪除某幾位或者刪除里面的特定數(shù)字和字母)。同時，由于現(xiàn)在網(wǎng)站的密碼位數(shù)規(guī)則多采用浮動位數(shù)和字符組合，聚合密碼管理器會針對網(wǎng)站要求選擇映射關(guān)系，確定合適的密碼長度和多種字符進行排列組合，使得轉(zhuǎn)換后的密碼達到網(wǎng)站定義的最高安全級。以金融支付高安全等級為例，中國銀聯(lián)“云閃付”要求密碼為6～16位數(shù)字、字母和字符的組合，工商銀行“手機銀行App”要求密碼為8～30位的數(shù)字、字母、#號等分隔符的混合形式，“支付寶”要求密碼為6～20位字母、數(shù)字、符號組合，密碼管理器綜合后選擇生成密碼具有14位以上的密碼長度且同時包含數(shù)字、大小寫字母、分隔符號三種字符形式。

總的來說，上述用戶密碼規(guī)則和映射關(guān)系表內(nèi)的字符轉(zhuǎn)換函數(shù)、密碼位數(shù)補位、密碼字符組合均采用用戶自主設(shè)置和系統(tǒng)按照規(guī)則隨機自動生成的雙軌模式，同時滿足安全性和便利性的需求。特別地，用戶規(guī)則、映射關(guān)系表等所有信息都是先經(jīng)過AES算法加密后才進行存儲，結(jié)合了現(xiàn)有主流技術(shù)方案提高系統(tǒng)整體安全性。

2.2 賬號注冊

在注冊階段，用戶首先按照網(wǎng)站界面提示，通過手機掃描網(wǎng)站界面二維碼或者瀏覽器插件自動讀取的方式，獲取網(wǎng)站的密碼規(guī)則、網(wǎng)站地址、當(dāng)前時間、用戶唯一ID等信息，其中用戶唯一ID是用戶的賬號用戶名ID，由目標(biāo)網(wǎng)站系統(tǒng)自動生成，也可通過用戶自主設(shè)定。其次，密碼管理器提示用戶選擇該網(wǎng)站對應(yīng)的安全等級(如購物網(wǎng)站設(shè)置為“中安全”)，并根據(jù)安全等級匹配密碼組及對應(yīng)的用戶密碼規(guī)則(如6位數(shù)字加大寫字母)，同時密碼管理器會記錄網(wǎng)站地址與密碼組、映射關(guān)系表的對應(yīng)聯(lián)系。然后，用戶按照用戶密碼規(guī)則自行設(shè)定密碼(如“A123456”)，由密碼管理器根據(jù)初始設(shè)置時生成的密碼映射關(guān)系完成用戶密碼向符合網(wǎng)站規(guī)則的網(wǎng)站密碼的轉(zhuǎn)換(包括綜合網(wǎng)站規(guī)則自動選擇密碼位數(shù)、字符組成和字符轉(zhuǎn)換函數(shù))，并依據(jù)網(wǎng)站地址向網(wǎng)站發(fā)送用戶唯一ID、當(dāng)前時間、網(wǎng)站密碼等信息。最后，目標(biāo)網(wǎng)站存儲相關(guān)信息完成賬號注冊，密碼管理器將網(wǎng)站地址與密碼組等級、映射關(guān)系表、用戶密碼規(guī)則進行對應(yīng)綁定。以用戶訪問京東商城為例，用戶自主設(shè)定網(wǎng)站為“中安全”等級并匹配相應(yīng)的用戶密碼規(guī)則和映射關(guān)系表，密碼管理器將用戶密碼“A123456”轉(zhuǎn)換生成網(wǎng)站密碼“agkdDWON-#2078”后，與用戶唯一ID、當(dāng)前時間等信息打包發(fā)送到目標(biāo)網(wǎng)站完成注冊，整體流程如圖3所示。

圖3 聚合密碼管理器注冊階段流程

2.3 登錄使用

在使用階段，用戶按照網(wǎng)站界面的提示通過密碼管理器掃描二維碼或者直接瀏覽器插件讀取的方式，獲得該網(wǎng)站地址、當(dāng)前時間、用戶唯一ID等信息，此時，密碼管理器根據(jù)網(wǎng)站地址匹配用戶設(shè)定的密碼組等級(如“低安全”)，獲取用戶密碼規(guī)則后提示用戶輸入用戶密碼(如6位數(shù)字)。然后密碼管理器根據(jù)對應(yīng)的映射關(guān)系表，將輸入的用戶密碼轉(zhuǎn)換成符合網(wǎng)站規(guī)則的網(wǎng)站密碼，并根據(jù)網(wǎng)站地址向網(wǎng)站發(fā)送用戶唯一ID、當(dāng)前時間、網(wǎng)站密碼等信息，網(wǎng)站與自身存儲的用戶數(shù)據(jù)比對后即可完成登錄。以用戶訪問京東商城為例，用戶掃描網(wǎng)站二維碼，由網(wǎng)站地址匹配到“中安全”等級并獲得用戶密碼規(guī)則和映射關(guān)系表，在用戶按提示輸入密碼“A123456”后，密碼管理器將用戶密碼轉(zhuǎn)換生成網(wǎng)站密碼“agkdDWON-#2078”，與用戶唯一ID、當(dāng)前時間等信息打包發(fā)送到目標(biāo)網(wǎng)站完成登錄，整體流程如圖4所示。

圖4 聚合密碼管理器登錄階段流程

3 討 論

本文通過將用戶密碼分類后向網(wǎng)站密碼的轉(zhuǎn)換，把現(xiàn)有常規(guī)的加密算法加密存儲密碼的方式轉(zhuǎn)變?yōu)榧用芩惴用艽鎯γ艽a映射轉(zhuǎn)換關(guān)系，摒棄了單一主密碼管理所有密碼信息的模式，而使用PBKDF2-SHA256算法生成加密鑰匙、AES256算法加密映射關(guān)系表的方式保留了與現(xiàn)有產(chǎn)品相同的AES加密算法高安全性[24]。同時，通過綜合用戶自定義和系統(tǒng)輔助生成的方式來制定網(wǎng)站密碼等級、映射關(guān)系、密碼規(guī)則，優(yōu)化密碼管理器的運行邏輯，整體對密碼管理工具相關(guān)產(chǎn)品的實現(xiàn)方案提出了改進與探索。聚合密碼管理器的具體實施如圖5所示。

(a) 常用密碼管理器

(b) 聚合密碼管理器圖5 密碼管理器實施對比圖

圖5(a)為常用密碼管理器的運行模式，采用AES256加密算法對用戶的輸入密碼進行加密并存儲，通過一個統(tǒng)一的主密碼實現(xiàn)所有密碼管理。而圖5(b)聚合密碼管理器通過用戶自定義網(wǎng)站等級、映射關(guān)系和密碼規(guī)則(普通網(wǎng)站A、“a-B，b-C，c-D…”的映射關(guān)系、字符數(shù)字字母組合)，將用戶的任意輸入密碼(即使是簡單的數(shù)字密碼)通過轉(zhuǎn)換關(guān)系生成為復(fù)雜合規(guī)的網(wǎng)站密碼，由密碼多層映射隔離增加了安全性并優(yōu)化了用戶的使用便利性；而此時通過AES256加密算法加密并存儲的是網(wǎng)站A對應(yīng)的密碼映射關(guān)系，保留了與常用密碼管理器方案相同的加密算法安全性，且即使加密算法被攻破，也只是對映射關(guān)系的損失，不會觸及用戶自定義的密碼內(nèi)容。

綜上所述，本方案的優(yōu)勢在于：1) 從密碼管理器加密安全的角度，將現(xiàn)有的、直接將用戶密碼存儲的方式轉(zhuǎn)變?yōu)榇鎯用芎蟮挠成潢P(guān)系表，即使數(shù)據(jù)庫遭受攻擊也不會泄露用戶的實際密碼，優(yōu)化了管理器的安全模式；而通過PBKDF2-SHA256算法生成加密鑰匙、AES256算法加密存儲映射關(guān)系表的方式，充分保留了AES算法的高安全性；同時映射轉(zhuǎn)換規(guī)則的應(yīng)用使得用戶可以將用戶密碼設(shè)定為最常見的簡單密碼(例如CSDN泄露事件中表現(xiàn)出的數(shù)字密碼“123456789”、“123123123”)，降低了撞庫攻擊和隨機試驗破解的風(fēng)險，也有效避免了商用密碼管理器隨機生成的“強密碼”難以記憶、只能本地/服務(wù)器加密存儲的弱點。值得注意的是，為保證映射關(guān)系表的安全性，加密算法采用的是目前最成熟可靠、加密等級極高的AES256[25]算法加PBKDF2-SHA256的方式，并且也可根據(jù)加密技術(shù)的發(fā)展不斷迭代更新，不限于當(dāng)前AES算法的方式。2) 從用戶密碼數(shù)量管理的角度，將用戶密碼與對應(yīng)網(wǎng)站進行自定義安全等級分類，針對不同等級梯度優(yōu)化各級密碼安全性，可以為同一個密碼組即具有相同安全等級的網(wǎng)站設(shè)置相同的用戶密碼(或是將網(wǎng)站名和編號反映在映射轉(zhuǎn)換關(guān)系中，由一個用戶密碼分別生成同一安全級別下的多個不同密碼)，既不是將整個密碼管理器的安全防護寄托于唯一的主密碼，也極大減少了用戶需要設(shè)置和記憶的密碼數(shù)量(以“高、中、低”三個安全等級為例，用戶只需通過簡單的添加或者更換一到兩位字符來區(qū)分設(shè)置3個用戶密碼)，提高了用戶操作效率和靈活性。3) 從密碼轉(zhuǎn)換規(guī)則的角度，使得用戶能夠自主管理密碼組，包括私人設(shè)定相關(guān)用戶規(guī)則和映射關(guān)系表，將用戶自定義方式和系統(tǒng)綜合生成規(guī)則有機結(jié)合，進一步提高密碼轉(zhuǎn)換管理的安全性。

4 結(jié) 語

信息時代互聯(lián)網(wǎng)網(wǎng)站數(shù)量的爆炸式增長帶來了賬號隱私數(shù)據(jù)龐雜、難以管理的問題，而常見密碼管理工具主密碼單一引發(fā)了大家對于安全性的擔(dān)憂。本文所述聚合密碼管理器通過將目標(biāo)網(wǎng)站分類和設(shè)定安全等級來進行網(wǎng)站密碼的統(tǒng)一管理，基于用戶自定義和系統(tǒng)綜合輔助以生成用戶密碼到網(wǎng)站密碼的映射關(guān)系表并進行AES算法加密存儲的方式，在不降低安全等級的前提下提高用戶操作效率和靈活性，改變了傳統(tǒng)的登錄機制在本地或是云端服務(wù)器存儲密碼信息來進行網(wǎng)絡(luò)身份驗證的方式，有效避免了被攻擊導(dǎo)致用戶賬號密碼泄露的風(fēng)險。