尽管密码管理器(Password Manager,简称“PM)非常可靠,绝大多数网络安全专家同意密码管理器确实是保护密码最安全的方法之一。然而,随着攻击者技术和手段的不断迭代和更新,以及最新的安全漏洞,整个安全行业将不可避免地受到影响,包括PM行业。本文将重新审视密码管理器,回答以下重要问题:如何保护用户的密码?使用密码管理器的风险是什么?用户是否应该使用密码管理器。
密码管理器如何保护用户的密码?
密码管理器可以通过多种方式保护用户的密码,这就是为什么它们使用更安全的原因。即使它们有被黑客入侵的风险,就像其他任何东西一样,只要用户采取必要的预防措施,这种情况的可能性就很低。毕竟,攻击者使用社会工程或在线钓鱼比实际破解强密码要容易得多。
那是什么让密码管理器如此安全呢?
首先,密码管理器通过加密来保护用户的密码。AES 256加密是军方使用的行业标准,实力非凡。破解这个密码可能需要一辈子,所以暴力攻击成功的机会几乎为零。
其次,密码管理器通过使用零知识架构(zero-knowledge architecture)保护用户数据。这意味着用户的密码在离开设备之前已经加密。当它们最终出现在企业的服务器上时,供应商没有工具来破译它们。
大多数密码管理器要求用户使用主密码访问存储库。如果安全,用户可以确保其他密码足够安全。尽管如此,建议使用双因素身份验证(two-factor authentication,简称“2FA)提高数据库的安全性。另外,使用指纹或面部扫描等生物特征认证也是不错的选择。
最后,密码管理器具有多种保护用户密码的功能。有的会提醒用户定期更改密码,评估其强度;有的会扫描暗网,检查用户登录信息是否在线暴露;有的两者兼而有之,还有其他额外的功能。
使用密码管理器有什么风险?
没有人能保证100%的在线安全。即使用户使用可靠的密码管理器,他们也应该了解一些风险:
- 所有敏感数据都集中在一个地方,就像把鸡蛋放在一个篮子里,这个篮子也可能包含信用卡详细信息和安全账单。如果发生数据泄露,阻断所有支付选项并更改所有账户密码可能需要很多时间,这足以对攻击者造成重大损害。
- 备份并不总是可行的。如果服务器出现故障,用户将唯一的希望寄托在供应商身上,并期望他们制作备份副本;如果用户在设备上保持存储库离线,风险将成倍增加。同样,在未受保护的磁盘驱动器或未受保护的云服务中保存备份也是无用的。
- 并非所有有的设备都足够安全。黑客可以利用相同的漏洞在攻击中获取用户的所有登录信息。如果用户设备感染了恶意软件,密码管理器也可能是黑色的。在这种情况下,用户输入主密码将被记录下来,以便网络犯罪分子获得完全访问存储数据的权限。这就是为什么密码管理器用户应该首先投资于保护他们所有的设备,以降低风险。
- 不使用生物特征认证。生物识别身份验证是增加额外安全保护层的好方法。如果用户将密码管理器配置为请求指纹或面部扫描,入侵存储库的机会将变得非常渺茫。此外,触摸指纹扫描仪比输入主密码容易得多。
- 糟糕的密码管理器。如果密码管理器加密功能弱,提供的功能少,用户反馈差,再使用。
- 忘记主密码。当用户是唯一知道主密码的人,密码管理器没有重置功能时,可能需要逐个恢复每个登录。或者,主密码(或提示)可以存储在物理安全的地方,如保险箱。
尽管存在上述所有问题,但一个好的密码管理器仍然很难突破。AES-256使用位加密、零知识技术和使用双因素身份验证的可能性使密码管理器成为比目前更安全、更方便的选择。在安全方面,对用户来说最重要的是主密码,因为在访问所有其他密码之前,必须创建一个主密码。因此,请确保它是一个强大的密码组合,必须包含至少12个字符长度,包含各种符号,没有规则无法猜测。
哪种密码管理器更安全?
目前密码管理器有三种主要类型,各有优缺点。
基于浏览器的密码管理器
- 优点:使用方便,免费;
- 缺点:没有跨浏览器同步,并非所有密码都能生成,密码长度很少测量。
如果我们将安全因于加密和双因素身份验证,则基于浏览器的密码管理器非常安全。但基于浏览器的密码管理器并不安全。
首先,对于新手来说,基于浏览器的密码管理器在特定的浏览器上运行。如果用户来自Safari迁移至Chrome或Firefox,导出和导入可能会出现问题。此外,用户无法在不同的浏览器上同步存储库。所有这些通常使用户在不安全的位置存储密码。
其次,并不是所有基于浏览器的密码管理器都有密码生成器。如果没有,用户将不得不手动创建它们。最后,浏览器密码管理器无法检测到弱密码或重复使用的密码。如果用户想知道登录信息是否暴露在暗网上,他们必须手动检查单独的工具。
基于云的密码管理器
- 优点:非常方便、从任何地方都能轻松访问、云备份、依赖互联网;
- 缺点:第三方服务器存储用户数据,不能保证用户存储库的安全。
基于云的密码管理器比基于浏览器的密码管理器更安全,因为它们具有增强安全性的功能。
首先,大多数基于云的密码管理器将为用户的存储库提供备份,如果服务器出现问题,用户可以恢复数据库的最新版本。
其次,基于云的密码管理器不仅允许用户存储密码,还允许用户存储安全账单和信用卡细节,以保护所有敏感信息。
第三,基于云的密码管理器将检测重复使用的密码和弱密码,生成强密码,并检查用户的账户是否泄露。它还允许用户轻松地跨服务共享存储项目。
最后,基于云的密码管理器适用于各种浏览器和操作系统。这意味着用户不必考虑如何从数据库中安全地复制和粘贴某些内容。
基于桌面的密码管理器
- 优点:最安全的选择,不需要连接互联网;
- 缺点:无法访问其他设备,共享复杂密码,手动备份。
与其他两种类型相比,基于桌面的密码管理器可能是最安全的,但具体效果完全取决于用户。
该密码管理器将用户数据存储在本地设备上。该设备不需要连接到互联网上,因此攻击者入侵它的可能性几乎为零。最有可能的入侵场景仍然很低)的入侵场景是用户无意中安装了键盘记录器并输入了主密码。然而,这种情况也可以通过使用生物特征认证来避免。
显然,这种设置有其缺点,这源于基于桌面的密码管理器质量。对于新手来说,用户必须注意定期备份。否则,一旦用户设备出现无法修复的故障,用户存储库基本报废。更重要的是,用户无法从其他设备获取密码,也不容易共享。
密码管理器被黑的实际案例
2015年,LastPass黑客检测到其服务器的入侵,并获得了用户的电子邮件地址和密码提醒。然而,这并没有造成任何已知的损坏,因为即使用户使用弱密码,攻击者破解它,他们仍然需要通过电子邮件验证访问权限;
2016白帽黑客和安全专家报告了大量的安全漏洞,包括受影响的密码管理器LastPass、Dashlane、1Password和Keeper。在大多数情况下,攻击者仍然需要使用在线钓鱼来吸引用户泄露一些数据;
2017年,LastPass它报告了浏览器插件中的一个严重漏洞,并要求订阅者不要使用它。但在不到24小时的时间内修复;
2019年,在Dashlane、LastPass、1Password、KeePass在代码中发现了严重的漏洞。但这个漏洞只适用于Windows 10用户只能在安装恶意软件时使用。这一次,用户没有遭受任何已知的伤害。
如上所述,对这些密码管理器的黑客攻击并不那么严重。在大多数情况下,被黑客入侵并不会导致用户的所有密码落入坏人手中。然而,即使是最安全的密码管理器也可能存在严重的漏洞,容易被忽视。
众所周知,使用密码管理器后,用户密码是本地加密的。密码管理员零知识策略,密码管理员无法破译用户数据。因此,如果黑客闯入用户存储库,他们只看到加密信息。
攻击者不太可能通过窃取、使用恶意软件或记录键入侵用户的物理设备。即使使用了这些手段,他们仍然需要用户的主密码。如果用户使用指纹或面部ID验证生物特征数据时,成功的几率会降低。
如果攻击者在用户设备上安装了恶意软件,最好的方法是重新安装操作系统,更改存储库中的所有密码,并尽可能使用双因素身份验证。这样,用户就会注意到身份验证应用程序何时会收到异常请求。
2022年优秀密码管理器
以下是在多个评论网站上获得高分的更安全的密码管理器:
NordPass
作为市场上的凭证管理器之一,NordPass这是一个非常有价值的工具,尤其是那些想要一个简单的方法来管理所有密码的人。除了使用下一代XChaCha20加密外,NordPass还使用云存储将用户的所有密码存储在云中,以免丢失密码。此外,它还提供双因素身份验证、生物特征身份验证(允许用户使用面部或指纹而不是主密码登录)、密码生成器、数据泄露扫描仪等功能,以确保用户在线安全。
Keeper
Keeper可能是这个列表中最安全的密码管理器。这一切都归功于其零知识基础设施和强大的基础设施AES 256位加密和许多其他安全功能。至于身份验证,它将提供生物识别、第三方身份验证器Keepers签名KeeperDNA等许多选择。
Keeper在保护密码和其他数据方面的功能也毫无疑问—文件共享的自毁 KeeperChat,以及在暗网上搜索被盗密码Breach Watch。为防止用户行为损害自身安全,安全审查还将检查用户的所有密码强度,并建议进行适当的更改。
RoboForm
作为最古老的密码管理器之一,RoboForm专注于为企业提供服务,这反过来又需要最高水平的安全。RoboForm致力于确保用户密码始终保持健康和安全——报告用户的凭证强度和具有可变量的密码生成器。此外,它还有一个自托管选项,这意味着数据只存储在用户的设备上,而不是外部服务器上。然而,如果用户想同步多个设备也是可行的。
用户需要密码管理器吗?
是的,用户应该使用密码管理器。它允许用户在不记住它们的情况下跟踪密码。一些密码库还可以一键生成和更改密码,并安全存储其他类型的数据(如信用卡信息)。密码管理器还允许用户更安全地与家人和朋友共享数据。这比在电子邮件或一些未加密的通信软件中写下用户登录的详细信息要好得多。
当然,用户必须选择值得信赖的密码管理器。用户可以通过调查密码管理器背后的企业来决定使用哪一个。安装可疑应用程序或浏览器插件的可能性要小得多。然而,无论密码管理器有多完美,它都不是一种灵丹妙药。归根结底,保护最有价值的信息不仅需要密码管理器。用户还应使用可靠的防病毒软件来防止恶意软件感染设备。同时,保持软件更新也很重要,就像仔细检查要安装的应用程序和扩展程序一样重要。
参考链接:https://cybernews.com/best-password-managers/are-password-managers-safe/