本週，在Linux最廣泛使用的實用程式中發現了一個非常危險的漏洞。好訊息是好人發現了它，但壞訊息是，根據一些專家的說法，它可能“比心血還糟糕”（心血是一個非常壞的訊息）。對於計算機行業的幾乎每個人來說，這都是一個可怕的局面。為數不多的例外之一是AgileBits，它是一家開發密碼管理軟體1Password的公司。

每一次大規模的駭客攻擊或洩密都會帶來新聞，1密碼銷量就會上升。每一次名人**被偷走，更多的人意識到他們的資料並不像他們想象的那樣安全，並考慮可以做些什麼。AgileBits的開發人員說，當某些東西被駭客攻擊時，他們也同樣感到沮喪——但很難否認，在銷售一款推廣更好、更強密碼的應用程式時，安全漏洞的營銷力量。

隨著iOS8的推出，AgileBits決定將其價格昂貴的（按應用商店標準）17.99美元的應用程式免費，讓幾乎所有人都能接觸到它。從那時起，這個應用程式的下載量已經超過了300萬次，但1Password還遠遠不是一個家喻戶曉的詞。我們與AgileBits的Jeff Shiner和David Chartier討論了線上安全的現狀、生物識別密碼的可行性，以及如何使“密碼管理器”成為主流。

為了簡潔明瞭，本次採訪經過了精簡和編輯。

為什麼人們花了這麼長時間才意識到他們需要鎖定自己的賬戶？

傑夫：嗯，一部分只是重覆。五年前，這完全不是密碼破解。是關於這個和那個病毒。人們一直在尋找反病毒工具，但在過去幾年裡，我們註意到（駭客）不僅僅影響無關緊要的小網站。這是很重要的網站，在心血的情況下，很多很多網站。再加上過去X年隨著時間的推移，人們在網上過著自己的生活。

“我們的工作。。。是為了方便保安。”

它不再是“我上網看貓的照片”，你的整個生活，你的銀行資訊，你的個人資訊，你如何與每個人聯絡，甚至健康記錄都在那裡。這是一個認識到這種破壞幾乎可以發生在任何地方的組合，同時我有非常重要的資料，我需要保護，這使得這種組合只是更加有效。

我媽媽上週給我發了一封電子郵件，說：“我去更新iPad上的一款遊戲，它開啟了這個條款和條件頁面，希望我點選‘接受’。我想這個遊戲是想竊取我所有的資料！”這是ios8的更新。就連她現在也意識到了這樣一個事實：這些東西就在外面。我們從文化的角度來看待它——人們現在意識到線上隱私很重要，他們希望保護這一點。

大衛·沙特爾：從某種意義上說，我們一直在戰鬥的另一件事是人性。正如我們的密碼學家或“黑魔法的首席捍衛者”傑夫·戈德伯格（Jeff Goldberg）喜歡說的那樣，最方便的密碼是什麼？它是123456或者你的貓的名字。所以我們的工作，這是老生常談的，因為它在我們的口號，是使安全方便-使安全的事情方便的事情。

1Password下載量會隨著每一部大型駭客劇而激增嗎？

JS：當然。每當公眾對某個漏洞有什麼看法時，我們就會看到興趣和下載量激增，人們紛紛來到部落格上閱讀，下載應用程式。這是口碑。

心血是一個真正突出。我問過很多人在這個新聞裡受到了多大的影響？如何在20個、50個或100個站點上更改密碼？“尤其是當他們習慣於重覆使用密碼或使用密碼方案時。這就是人們知道你必須放手的地方。使用密碼管理器比使用這些瘋狂的方案更容易保持安全。

華盛頓：這也有助於Heartbleed是多年來最好的品牌安全漏洞。

那麼，每次有新駭客的訊息傳出，都會有一個尷尬的小慶祝活動嗎？

華盛頓：我不會說“慶祝”。我們最好的業務來自非常不幸的事件，這有點奇怪，但我們的做法是希望我們現在有機會與人們談論我們真正相信每個人都需要的東西。我們有分析人士跟我們談過，他們總是問，“你的人口統計是誰？”這是一個很難回答的問題，因為實際上是每個人。我們的目標不僅僅是18到34歲的**。地球上的每個人都必須接觸網際網路。我們有一個很好的機會來幫助人們，這一可怕的事件已經影響。

即使您使用1Password，您仍然會被大多數網站用來恢復帳戶的空洞安全問題所困擾。我們該怎麼辦？

華盛頓：（我們的首席密碼學家）傑夫·戈德伯格在PasswordsCon上發表演講，談到我們的建議是：不要誠實地回答安全問題。讓一個密碼管理器為您完成這項工作。建立一個名為security question#1的附加欄位，鍵入問題的名稱，然後使用我們的密碼生成器生成一些gobbledigook，然後將其儲存在您的1Password登入中。現在，我不需要記住我的安全問題。這既是教育上的挑戰，也是密碼管理器的優點——它可以減輕一些負擔。

“我們的指紋和聲音非常獨特，但它們是可怕的祕密。”

展望未來，文字密碼仍將是我們的主要密碼嗎？或者我們會使用TouchID，或者更先進的生物識別技術？

在接下來的幾年裡，是的。希望在未來的某個時候會有更好的方法。但生物識別的挑戰在於，密碼必須在很多地方都能工作。我需要一個到處都能用的密碼。即使從生物識別的角度來看，主密碼也會更加安全。

華盛頓：我要從戈德伯格那裡偷這個，他喜歡生物識別技術。我們的指紋和聲音非常獨特，但它們是可怕的祕密。我可以呼吸分析儀，開啟一扇門，但當它被覆制時會發生什麼呢？我不能去換個新的聲音，或者新的指紋。這些技術有一個挑戰，至少在他們目前的設想。

有人知道你的主密碼嗎？

華盛頓：沒有。

我把我的寫在銀行的保險箱裡了。但1Password的一個有趣用途是，當我死後，我妻子能做的一件事就是去“共享家庭保險庫”，知道我的人壽保險單401k等都在那裡。她知道如何支付我所有的賬單，因為她可以登入。她掌握著所有的資訊。不僅僅是登入。您需要您的私有資料保持私有，但您需要它在需要時可用。這些天我們什麼都在網上做，我付一些賬單，我妻子付其他的。我不知道如何支付她的賬單，所以我可以去我們的共享金庫。有些是最愚蠢的事情，但在你生命中最糟糕的時刻，你不想擔心這些事情。

是啊，人們不再把所有重要的檔案都放在辦公桌的抽屜裡了，是嗎？

DC:我們的一個使用者建立了一個1Password急救包。這是一個填補空白PDF，在那裡你可以填寫你的主密碼，你可以把它給家庭成員放在一個保險箱。

我們有一位律師，他是我們的客戶之一，作為他的“遺願和遺囑套餐”的一部分，他向所有客戶免費提供一份1密碼副本。其用途遠不止登入，但登入是人們知道的起點。

“其用途遠不止登入，但登入是人們知道的起點。”

像Wired的Mat Honan這樣的人，他是透過社會工程被駭客攻擊的呢？

JS：一個密碼管理器實際上幫助了Mat，因為你想做的事情之一就是保護你所有的資料和登入。如果有人能拿走你的**，不管是社會工程還是其他什麼，只要你登陸，或者你使用的某個網站上有明文的資訊。如果這些資訊中有一部分被獲取了，那麼關鍵的是這些資訊不能在其他任何地方使用。比方說，你去一個網站，你註冊，他們有一個漏洞，他們把你的資訊保持在明文。現在有人把你的密碼用明文寫著，他們甚至對在那個網站上使用它都不感興趣，他們會在很多網站上使用它，不管是購物網站，社交網站，什麼的。資訊的再利用比最初的破壞更糟糕。

華盛頓：即使是在社會工程的情況下，你現在是外面的界限，人們駭客在一個工具。他們在竊聽控制大門的人。強密碼仍將減輕損害。如果有人進入你的電子郵件，他們可能會得到一些其他帳戶，但有這些獨特的密碼意味著他們將無法進入其他任何東西。他們將不得不開始打電話偽造身份。從駭客的角度來看，你不會坐在電話上兩天重置密碼。

如果一個密碼管理器如此重要，你是否曾擔心蘋果或谷歌會介入並建立自己的密碼管理器？iOS7中的iCloud鑰匙鏈無疑是第一步…

JS：這對我們來說是好事。蘋果有能力教育如此廣泛的使用者。他們能接觸到的人數遠遠超出我們的範圍。如果蘋果能為我們做一些核心教育，那就太棒了。然後突然間，每個人都會知道密碼管理器或身份管理器可以做什麼，為什麼他們需要它，以及他們可以從中得到什麼。我們將始終與那些誰需要一個更好的版本溢價解決方案。我們就是這麼做的。這就是我們要做的。

你希望人們關心任何事情直到它影響到他們自己嗎？例如，如果更多人的信用卡被盜，我們現在可能會使用EMV信用卡？

JS：每當我必須把名片給任何人的時候，比如我去加利福尼亞的時候，我還是很害怕。在加拿大，我不需要給任何人我的名片。當我在任何地方付錢時，就等於在加油站付錢。他們把機器帶給你，你把卡放進去，輸入密碼，自己拿著卡，把機器交給那個人，你就完成了。你從不把名片給別人。

華盛頓：這是我們技術文化中的一個問題，但我們看到一些好的跡象，表明它正在進入主流大眾。我們在CNN上看到了一些建議——這個漏洞發生了，你需要研究這些叫做密碼管理器的東西。