密码管理器(“PM”)是可靠的,绝大多数网络安全专家都认为它们确实是保护密码的最安全方法之一。但是,随着攻击者技术和手段的不断迭代更新,以及最新安全漏洞的不断涌现,整个安全行业都不可避免地受到冲击,包括PM行业。本文重新审视密码管理器以回答重要问题:密码管理器如何保护用户密码?使用密码管理器有哪些风险?以及用户是否应该使用密码管理器。密码管理器如何保护用户的密码?密码管理器可以通过多种方式保护您的密码,这就是使用它们相对安全的原因。尽管它们像其他任何东西一样有被黑客攻击的风险,但只要用户采取必要的预防措施,这种情况发生的可能性就非常低。毕竟,攻击者使用社会工程或网络钓鱼比实际破解强密码要容易得多。那么,是什么让密码管理器如此安全?首先,密码管理器通过加密来保护用户的密码。军方使用的行业标准AES256位加密非常强大。破解此密码可能需要一生,因此暴力攻击成功的可能性几乎为零。其次,密码管理器通过使用零知识体系结构来保护用户数据。这意味着用户的密码在离开设备之前已加密。当它们最终出现在企业的服务器上时,提供商没有工具来破译它们。大多数密码管理器将要求用户使用主密码来访问存储库。如果它是安全的,用户可以确保密码的其余部分足够安全。话虽如此,还是建议使用双因素认证(简称“2FA”)来增强数据库的安全性。此外,使用指纹或面部扫描等生物识别身份验证也是一个不错的选择。最后,密码管理器有几个旨在保护用户密码的功能。有的提醒用户定期修改密码,给强度打分;一些扫描暗网以检查用户的登录信息是否已在线暴露;有些两者兼而有之,还有其他额外功能。使用密码管理器有哪些风险?没有人能保证100%的在线安全。即使是使用可靠密码管理器的用户也应该意识到某些风险:将所有敏感数据放在一个地方就像“把所有鸡蛋放在一个篮子里”,而这个“篮子”可能还包含信用卡详细信息和安全票.如果发生数据泄露,阻止所有支付选项和更改所有帐户的密码可能会花费大量时间,足以让攻击者造成严重破坏。备份并不总是可行的。在服务器出现故障的情况下,用户唯一的希望在于提供者,期望他们已经制作了备份副本;如果用户在单个设备上使存储库处于离线状态,则此风险会成倍增加。同样,将您自己的备份保存在未受保护的磁盘驱动器或保护不力的云服务上也无济于事。并非所有设备都足够安全。利用同一漏洞的黑客可以在一次攻击中获取用户的所有登录信息。如果用户设备感染了恶意软件,密码管理器也可能遭到黑客攻击。在这种情况下,用户输入的主密码会被记录下来,从而使网络犯罪分子能够完全访问存储的数据。这就是密码管理器用户应该首先投资保护他们所有设备的原因,以降低风险。不使用生物认证。生物特征认证是增加额外安全层的好方法。如果用户将密码管理器配置为请求指纹或面部扫描,那么有人侵入存储库的可能性就会变得非常小。此外,触摸指纹扫描仪比输入主密码容易得多。糟糕的密码管理器。如果密码管理器的加密较弱、提供的功能很少并且用户反馈不佳,则不应再使用它。忘记主密码。在用户是唯一知道主密码且密码管理器没有重置功能的情况下,可能需要单独恢复每个登录。或者,可以将主密码(或提示)存储在物理安全的地方,例如保险箱。尽管存在上述所有问题,一个好的密码管理器仍然极难破解。AES-256位加密、“零知识”技术的使用以及使用双因素身份验证的可能性使密码管理器成为比目前更安全、更方便的选择。在安全性方面,对用户来说最重要的是主密码,因为必须创建一个才能访问所有其他密码。因此,请确保它是至少12个字符长、包含各种符号且随机且无法猜测的强密码组合。哪种类型的密码管理器更安全?目前,主要有三种密码管理器,各有优缺点。基于浏览器的密码管理器优点:非常易于使用且免费缺点:没有跨浏览器同步,并非所有密码都生成,很少测量密码长度。如果我们将安全性归结为加密和双因素身份验证,那么基于浏览器的密码管理器非常安全。但事实上,基于浏览器的密码管理器并不是很安全。首先,对于外行来说,基于浏览器的密码管理器在特定浏览器上运行。如果用户从Safari迁移到Chrome或Firefox,他们可能会遇到导出和导入问题。此外,用户无法跨不同浏览器同步存储库。所有这些通常会导致用户将密码存储在不安全的位置。其次,并非所有基于浏览器的密码管理器都有密码生成器。如果没有,用户将不得不手动创建它们。最后,浏览器密码管理器无法检测到弱密码或重复使用的密码。如果用户想知道他们的登录信息是否暴露在暗网上,他们必须使用单独的工具手动检查。基于云的密码管理器的优点:非常方便,随时随地轻松访问,云备份,依赖互联网;缺点:第三方服务器存储用户数据,不能保证用户存储库的安全。基于云的密码管理器比基于浏览器的密码管理器更安全,因为它们具有更多的安全增强功能。首先,大多数基于云的密码管理器都提供用户存储库的备份,允许用户在服务器出现问题时恢复最新版本的数据库。其次,基于云的密码管理器让用户不仅可以存储密码,还可以存储安全的票证和信用卡详细信息,因此用户可以确保所有敏感信息的安全。同样,基于云的密码管理器会检测重复使用的密码和弱密码,生成强密码,并检查用户帐户是否遭到破坏。它还允许用户轻松地跨服务共享存储库条目。最后,基于云的密码管理器适用于各种浏览器和操作系统。这意味着用户不必考虑如何安全地从数据库中复制和粘贴某些内容。基于桌面的密码管理器优点:最安全的选择,不需要互联网连接缺点:无法从其他设备访问、复杂的密码共享、手动备份。与其他两种类型相比,基于桌面的密码管理器可能是最安全的,但它们的工作情况完全取决于用户。此类密码管理器将用户数据本地存储在设备上。该设备不必连接到互联网,因此攻击者入侵它的可能性几乎为零。最有可能(现实可能仍然很低)的入侵场景是用户无意中安装了键盘记录器并输入了主密码。然而,这种情况也可以通过使用生物认证来避免。显然,这样的设置有其缺点,这源于基于桌面的密码管理器的本质。首先,用户必须注意定期备份。否则,一旦用户设备出现无法修复的故障,用户库就基本报废了。更重要的是,用户将无法从其他设备获取密码,也不容易共享密码。密码管理器被黑真实案例2015年,LastPass检测到其服务器被入侵,黑客通过入侵获得了用户邮箱地址、密码提醒等信息。不过,这起事件并没有造成任何已知的损害,因为即使用户使用了弱主密码并被攻击者破解,他们仍然需要通过电子邮件验证访问;2016年,白帽黑客和安全专家报告了大量安全漏洞,影响了包括LastPass、Dashlane、1Password和Keeper在内的密码管理器。在大多数情况下,攻击者仍然需要使用网络钓鱼来诱骗用户泄露一些数据;2017年,LastPass报告其浏览器插件存在严重漏洞,并要求订阅者不要使用它。但是,不到24小时就修复了;2019年在Dashlane、LastPass、1Password、KeePass的代码中发现严重漏洞。但是,该漏洞仅适用于Windows10用户,并且只有在安装了恶意软件的情况下才能被利用。这一次,用户也没有遭受任何已知的伤害。正如您在上面看到的,针对这些密码管理器的黑客攻击都没有那么严重。大多数时候,被黑客攻击不会导致用户的所有密码落入坏人之手。然而,即使是最安全的密码管理器也可能存在容易被忽视的严重缺陷。我们都知道,在使用密码管理器时,用户密码是在本地加密的。密码管理器无法破译用户数据,因为它们执行“零知识”策略。因此,如果黑客闯入用户的存储库,他们看到的只是加密信息。攻击者几乎不可能通过窃取、使用恶意软件或记录击键来侵入用户的物理设备。即使使用这些方法,它们仍然需要用户的主密码。如果用户使用指纹或面部ID等生物识别数据进行身份验证,他们成功的机会就会变得更低。如果攻击者在用户设备上安装恶意软件,最好的办法是重新安装操作系统并更改存储库中的所有密码,并在可能的情况下启用双因素身份验证。这样,当身份验证应用程序收到异常请求时,用户会注意到。2022年最佳密码管理器以下是一些更安全的密码管理器,它们在多个评论网站上获得了高分:NordPass作为市场上的凭证管理器之一,NordPass是一个非常宝贵的工具,尤其是对于那些想要对于那些可以轻松管理所有密码的人。除了使用下一代XChaCha20加密外,NordPass还利用云存储,将用户的所有密码存储在云中,以确保它们永远不会丢失。此外,它还提供双因素身份验证、生物识别身份验证(允许用户使用他们的面部或指纹而不是主密码登录)、密码生成器、数据泄露扫描仪和其他功能,以确保用户在线安全。KeeperKeeper可能是此列表中最安全的密码管理器。这都归功于它的“零知识”基础设施、强大的AES256位加密和许多其他安全功能。至于身份验证,它将提供生物识别、第三方身份验证器、Keepers签名KeeperDNA和许多其他选项。Keeper保护密码和其他数据的能力也是毋庸置疑的——有用于文件共享的自毁式KeeperChat,以及用于在暗网上搜索被盗密码的BreachWatch。为了防止用户行为危及自身安全,安全审计还检查所有用户密码的强度并建议适当的更改。RoboForm作为最古老的密码管理器之一,RoboForm主要专注于服务企业,而这反过来又需要最高级别的安全性。RoboForm致力于确保用户的密码始终健康和安全-报告用户的凭证强度和带有可变变量的密码生成器。此外,它还有一个自托管选项,这意味着数据仅存储在用户的设备上,而不存储在外部服务器上。但是,如果用户希望同步多个设备,也是可以的。用户需要密码管理器吗?是的,用户应该使用密码管理器。它允许用户跟踪他们的密码而不必记住它们。一些密码保险库还可以一键生成和更改密码,以及安全地存储其他类型的数据(例如信用卡信息)。密码管理器还允许用户更安全地与家人和朋友共享数据。这比在电子邮件或一些未加密的信使中写下用户登录详细信息要好得多。当然,用户一定要选择值得信赖的密码管理器。用户可以通过查看密码管理器背后的业务来决定使用哪一个;那些信誉良好的人不太可能安装有问题的应用程序或浏览器插件。然而,完美的密码管理器并不是万灵药,归根结底,保护您最有价值的信息需要的不仅仅是密码管理器。用户还应使用可靠的防病毒软件来防止恶意软件感染设备。同时,保持软件更新很重要,仔细检查您安装的应用程序和扩展程序也很重要。参考链接:https://cybernews.com/best-password-managers/are-password-managers-safe/
