【.com快译】密码有很多问题:太短、太复杂、使用太频繁、太多记不住。斯坦福大学现在使用数字密钥代替学生、教职员工和教授的登录名/密码来访问大学网络。IT团队正在考虑使用无密码解决方案来减轻管理访问和身份的负担。个人可以使用密码管理器来平衡安全性和便利性。但是,这些服务有其自身的安全风险。以下是根据四位科技记者的经验和分析得出的密码管理器的优缺点。密码管理器的优点科技记者RobPegoraro在改用1Password(一项为记者提供的免费服务)之前试用了LastPass。他还为某些帐户使用iCloudKeychain;对于不太重要的登录,他使用内置于Chrome和Android中的谷歌密码管理服务。他认为端到端的加密服务是记住许多复杂密码的理想选择。“密码管理器存储密码的方式比人脑或浏览器的自动填充功能更可靠、更安全——只需将其设置为记住复杂密码并启用两步验证即可,”他说。最后一道防线无法通过短信实现,易受SIM交换账户的攻击;每个可靠的密码管理器都应该通过USB安全密钥提供此功能,该密钥不能被网络钓鱼攻击伪造。”Pegoraro确实对密码管理器做了一个重要的补充:他不会在密码管理器中保留他最重要帐户的密码.IT咨询公司总裁DavidStrom多年来一直使用LastPass来存储数百个登录信息。Strom说,这项服务的好处超过了相关的安全风险。“因为我有一个可靠的受MFA保护的主保险库密码,所以我有理由相信我是安全的,比跨站点重复使用密码要安全得多,”他说.密码管理器还可以帮助志愿技术支持。“作为亲属技术支持的主要来源,我还意识到密码管理器中的SecureNotes功能是存储您的家人的好地方Ily最重要的密码,以防他们忘记密码或需要帐户方面的帮助,”Pegoraro说。Pegoraro希望Apple为台式机Mac添加生物识别身份验证,这样他就不必每次都输入主密码来解锁1Password。“在我的Windows笔记本电脑上更轻松地使用这种Mac-first服务是愚蠢的,”他说。密码管理器的缺点在尝试了多个密码管理器并撰写了泄露的文章后,技术记者SeanMichaelKerner采用了一种低技术含量的方式来管理他们的密码:纸张。“我对任何密码管理器都绝对没有信心,存在不可避免的风险。纸质技术含量低,但它确实有效,”他说。Kerner使用YubiKey进行多因素身份验证。ExtremeLabs的创始人汤姆·亨德森(TomHenderson)不使用密码管理器,因为他认为使用密码管理器的公司是黑客的主要目标。“依赖密码管理器成为习惯,并产生危险的安全感,”使用四个YubiKey作为辅助密码手段的亨德森说,并补充说他认识公司的所有者和创始人。“这可能很方便,但对所有可能的设备使用相同的密钥可能会带来不便,”他说。管理密码的技巧除了使用多因素身份验证外,亨德森还建议将密码和安全凭证保存在文本文件中,并为其指定一个易于记忆的名称,例如good_recipes.txt或school_dates.txt。用户应经常更新密码并删除该文件的旧版本。“在闪存驱动器上制作一份副本并将其保存在其他地方以便妥善保管,所以如果发生了什么事,至少你还有你的密码,”他说。几位记者建议每月关注一次HaveiBeenPwned,看看是否泄露了有效密码。Strom表示,他希望LastPass与该网站集成,以防止用户使用泄露的密码,这是1Password提供的一项功能。原标题:额外安全还是额外风险?密码管理器的优缺点,作者:VeronicaCombs
