盡管密碼管理器(Password Manager,,簡稱“PM”)很可靠,且絕大多數(shù)網(wǎng)絡(luò)安全專家都同意密碼管理器確實(shí)是保護(hù)密碼最安全的方法之一,。但是隨著攻擊者技術(shù)和手段的不斷迭代和更新,,以及最新安全漏洞的出現(xiàn),整個(gè)安全行業(yè)不可避免地會(huì)受到?jīng)_擊,,這其中也包括PM行業(yè),。本文將重新審視密碼管理器,為大家解答以下重要問題:密碼管理器如何保護(hù)用戶的密碼,?使用密碼管理器有什么風(fēng)險(xiǎn),?以及用戶是否應(yīng)該使用密碼管理器。
密碼管理器如何保護(hù)用戶的密碼,?
密碼管理器可以通過多種方式保護(hù)用戶的密碼,,這也是它們使用起來比較安全的原因。即便它們像其他任何事物一樣,,存在被黑客入侵的風(fēng)險(xiǎn),,但只要用戶采取必要的預(yù)防措施,這種情況發(fā)生的可能性極低,。畢竟,,攻擊者使用社會(huì)工程或網(wǎng)絡(luò)釣魚要比實(shí)際破解一個(gè)強(qiáng)密碼容易得多。
那么,,是什么讓密碼管理器如此安全,?
首先,密碼管理器通過加密來保護(hù)用戶的密碼,。AES 256位加密是軍方使用的行業(yè)標(biāo)準(zhǔn),,具有非凡的實(shí)力。破解這個(gè)密碼可能需要一生的時(shí)間,因此暴力攻擊成功的機(jī)會(huì)幾乎為零,。
其次,,密碼管理器通過使用零知識(shí)架構(gòu)(zero-knowledge architecture)來保護(hù)用戶的數(shù)據(jù)。這意味著用戶的密碼在離開設(shè)備之前已被加密,。當(dāng)它們最終出現(xiàn)在企業(yè)的服務(wù)器上時(shí),,提供商沒有工具來破譯它們。
大多數(shù)密碼管理器會(huì)要求用戶使用主密碼來訪問存儲(chǔ)庫,。如果它是安全的,,用戶可以確保其余密碼足夠安全。話雖如此,,還是建議使用雙因素身份驗(yàn)證(two-factor authentication,,簡稱“2FA”)來增強(qiáng)數(shù)據(jù)庫的安全性。此外,,使用指紋或面部掃描等生物特征認(rèn)證也是不錯(cuò)的選擇,。
最后,密碼管理器具有多項(xiàng)旨在保護(hù)用戶密碼的功能,。有些會(huì)提醒用戶定期更改密碼并評(píng)估其強(qiáng)度,;有些會(huì)掃描暗網(wǎng)以檢查用戶的登錄信息是否在線暴露;還有一些兩者兼而有之,,且具備其他額外功能,。
使用密碼管理器有什么風(fēng)險(xiǎn)?
誰也沒有辦法保證100%的在線安全,。即使用戶使用可靠的密碼管理器,,也應(yīng)該了解其存在的某些風(fēng)險(xiǎn):
? 所有敏感數(shù)據(jù)集中在一處,這就好比“將雞蛋放在一個(gè)籃子里”,,而且,,這個(gè)“籃子”里還可能包含信用卡詳細(xì)信息以及安全票據(jù)。如果發(fā)生數(shù)據(jù)泄露,,可能需要耗費(fèi)大量時(shí)間來阻斷所有支付選項(xiàng),,并更改所有賬戶的密碼,而這些時(shí)間足夠攻擊者造成重大破壞,。
? 備份并非總是可行,。如果服務(wù)器出現(xiàn)故障,用戶將唯一的希望寄托在提供商身上,,期待他們已經(jīng)制作了備份副本,;如果用戶將存儲(chǔ)庫在一臺(tái)設(shè)備上保持離線狀態(tài),這種風(fēng)險(xiǎn)會(huì)成倍增加,。同樣地,,將自己的備份保存在未受保護(hù)的磁盤驅(qū)動(dòng)器或保護(hù)不佳的云服務(wù)上也無濟(jì)于事,。
? 并非所有設(shè)備都足夠安全。黑客利用相同的漏洞便能在一次攻擊中獲取用戶的所有登錄信息,。如果用戶設(shè)備感染了惡意軟件,,密碼管理器也可能會(huì)被黑。在這種情況下,,用戶輸入主密碼會(huì)被記錄下來,,從而使網(wǎng)絡(luò)犯罪分子獲得對(duì)存儲(chǔ)數(shù)據(jù)的完全訪問權(quán)限。這就是密碼管理器用戶應(yīng)該首先投資保護(hù)他們所有的設(shè)備以降低風(fēng)險(xiǎn)的原因所在,。
? 不使用生物特征認(rèn)證,。生物識(shí)別身份驗(yàn)證是增加額外安全防護(hù)層的好方法。如果用戶將密碼管理器配置為請(qǐng)求指紋或面部掃描,,那么有人侵入存儲(chǔ)庫的機(jī)會(huì)就會(huì)變得非常渺茫,。而且,觸摸指紋掃描儀也比輸入主密碼容易得多,。
? 糟糕的密碼管理器,。如果一款密碼管理器具有較弱的加密功能,提供的功能很少,,并且用戶反饋很差的話,,就不應(yīng)該再使用它。
? 忘記主密碼,。在用戶是唯一知道主密碼的人,同時(shí)密碼管理器沒有重置功能的情況下,,可能需要逐個(gè)恢復(fù)每個(gè)登錄,。或者,,可以將主密碼(或提示)存儲(chǔ)在某個(gè)物理上安全的地方,,例如保險(xiǎn)箱。
盡管存在上述所有問題,,但一款好的密碼管理器仍然極難攻破,。AES-256位加密、“零知識(shí)”技術(shù)的使用,,以及使用雙因素身份驗(yàn)證的可能性,,使密碼管理器成為比目前更安全、更方便的選擇,。在安全方面,,對(duì)用戶而言最重要的是主密碼,因?yàn)楸仨殑?chuàng)建一個(gè)主密碼才能訪問所有其他密碼,。因此,,請(qǐng)務(wù)必確保它是一個(gè)強(qiáng)大的密碼組合,必須包含至少12個(gè)字符長度,包含各種符號(hào),,并且沒有規(guī)律無法猜測,。
如果我們將安全性歸結(jié)為加密和雙因素身份驗(yàn)證,那么基于瀏覽器的密碼管理器是非常安全的,。但其實(shí)基于瀏覽器的密碼管理器安全性不高,。
首先,對(duì)于新手來說,,基于瀏覽器的密碼管理器在一個(gè)特定的瀏覽器上運(yùn)行,。如果用戶從Safari遷移至Chrome或Firefox,可能會(huì)遇到導(dǎo)出和導(dǎo)入問題,。此外,,用戶無法在不同的瀏覽器上同步存儲(chǔ)庫。所有這些通常會(huì)使用戶將密碼存儲(chǔ)在不安全的位置,。
其次,,并非所有基于瀏覽器的密碼管理器都有密碼生成器。如果沒有,,用戶將不得不手動(dòng)創(chuàng)建它們,。最后,瀏覽器密碼管理器無法檢測到弱密碼或重復(fù)使用的密碼,。如果用戶想要知道登錄信息是否暴露在暗網(wǎng)上,,必須在單獨(dú)的工具上手動(dòng)檢查。
與基于瀏覽器的密碼管理器相比,,基于云的密碼管理器更安全,,因?yàn)樗鼈兙哂懈嘣鰪?qiáng)安全性的功能。
首先,,大多數(shù)基于云的密碼管理器都會(huì)為用戶的存儲(chǔ)庫提供備份,,如果服務(wù)器出現(xiàn)問題,用戶可以恢復(fù)數(shù)據(jù)庫的最新版本,。
其次,,基于云的密碼管理器不僅允許用戶存儲(chǔ)密碼,還允許用戶存儲(chǔ)安全票據(jù)和信用卡詳細(xì)信息,,這樣用戶就可以保護(hù)所有敏感信息,。
再次,基于云的密碼管理器會(huì)檢測重復(fù)使用的密碼和弱密碼,,生成強(qiáng)密碼,,并檢查用戶的賬戶是否存在泄露,它還允許用戶輕松地跨服務(wù)共享存儲(chǔ)庫條目,。
最后,,基于云的密碼管理器適用于多種瀏覽器和操作系統(tǒng),。這就意味著用戶不必考慮如何安全地從數(shù)據(jù)庫中復(fù)制和粘貼某些內(nèi)容。
與其他兩種類型相比,,基于桌面的密碼管理器可能是最安全的,,但具體效果完全取決于用戶。
這種密碼管理器會(huì)將用戶數(shù)據(jù)存儲(chǔ)在本地設(shè)備上,。該設(shè)備不必連接到互聯(lián)網(wǎng),,因此攻擊者入侵它的可能性幾乎為零。最有可能(現(xiàn)實(shí)可能仍然很低)的入侵場景是用戶無意中安裝了鍵盤記錄器并輸入了主密碼,。然而,,這種情況也可以通過使用生物特征認(rèn)證來避免。
顯然,,這樣的設(shè)置有其缺點(diǎn),,這源于基于桌面的密碼管理器的本質(zhì)。對(duì)于新手來說,,用戶必須注意定期備份,。否則一旦用戶設(shè)備出現(xiàn)無法修復(fù)的故障,用戶存儲(chǔ)庫也基本報(bào)廢,。更重要的是,,用戶將無法從其他設(shè)備獲取密碼,而且共享它們也不容易,。
密碼管理器被黑的實(shí)際案例
2015年,,LastPass檢測到對(duì)其服務(wù)器的入侵行為,黑客獲取了用戶的電子郵件地址和密碼提醒等信息,。不過,,此事并未導(dǎo)致任何已知的損害,因?yàn)榧词褂脩羰褂昧巳踔髅艽a并且攻擊者破解了它,,他們?nèi)匀恍枰ㄟ^電子郵件驗(yàn)證訪問權(quán)限;
2016年,,白帽黑客和安全專家報(bào)告了大量安全漏洞,,受影響的密碼管理器包括LastPass、Dashlane,、1Password和Keeper,。在大多數(shù)情況下,攻擊者仍然需要使用網(wǎng)絡(luò)釣魚來誘騙用戶泄露一些數(shù)據(jù),;
2017年,,LastPass報(bào)告了其瀏覽器插件中的一個(gè)嚴(yán)重漏洞,并要求訂閱者不要使用它,。不過,,它在不到24小時(shí)的時(shí)間內(nèi)就完成了修復(fù),;
2019年,在Dashlane,、LastPass,、1Password、KeePass的代碼中發(fā)現(xiàn)了嚴(yán)重漏洞,。不過,,該漏洞僅適用于Windows 10用戶,且僅在安裝惡意軟件的情況下才能被利用,。這一次,,用戶也沒有遭受任何已知的傷害。
如上所見,,針對(duì)這些密碼管理器的黑客攻擊都沒有那么嚴(yán)重,。大多數(shù)情況下,被黑客入侵并不會(huì)導(dǎo)致用戶所有密碼落入壞人之手,。然而,,即使是最安全的密碼管理器,也可能存在容易忽視的嚴(yán)重漏洞,。
我們都知道,,使用密碼管理器后,用戶密碼是本地加密的,。密碼管理員無法破譯用戶數(shù)據(jù),,因?yàn)樗鼈儗?shí)施“零知識(shí)”策略。因此,,如果黑客闖入用戶的存儲(chǔ)庫,,看到的也只是加密信息。
攻擊者通過竊取,、使用惡意軟件或記錄擊鍵來侵入用戶物理設(shè)備的可能性很小,。即使采用了這些手段,他們?nèi)匀恍枰脩舻闹髅艽a,。如果用戶使用指紋或面部ID等生物特征數(shù)據(jù)進(jìn)行驗(yàn)證,,其成功的機(jī)會(huì)將變得更低。
如果攻擊者在用戶設(shè)備上安裝了惡意軟件,,最好的辦法是重新安裝操作系統(tǒng)并更改存儲(chǔ)庫中的所有密碼,,并盡可能啟用雙因素身份驗(yàn)證。這樣一來,,用戶會(huì)注意到身份驗(yàn)證應(yīng)用程序何時(shí)收到異常請(qǐng)求,。
獲取 NordPass,現(xiàn)在可享受 71% 的折扣和 1 個(gè)月免費(fèi),!
作為市場上的憑證管理器之一,,NordPass是一款非常寶貴的工具,,尤其是對(duì)于那些想要一種簡單方法來管理所有密碼的人來說更是如此。除了使用下一代XChaCha20加密外,,NordPass還利用云存儲(chǔ),,將用戶的所有密碼存儲(chǔ)在云中,這樣就不會(huì)丟失密碼了,。此外,,它還提供雙因素身份驗(yàn)證、生物特征身份驗(yàn)證(允許用戶使用面部或指紋而非主密碼登錄),、密碼生成器,、數(shù)據(jù)泄露掃描儀以及其他功能,可以確保用戶在線安全,。
Keeper可能是此榜單中最安全的密碼管理器,。這一切都?xì)w功于其“零知識(shí)”基礎(chǔ)設(shè)施、強(qiáng)大的AES 256位加密以及眾多其他安全功能,。至于身份驗(yàn)證,,它將提供生物識(shí)別、第三方身份驗(yàn)證器,、Keepers簽名KeeperDNA等諸多選擇,。
Keeper在保護(hù)密碼和其他數(shù)據(jù)方面的功能同樣不容置疑——有用于文件共享的自毀 KeeperChat,以及在暗網(wǎng)上搜索被盜密碼的Breach Watch,。為了防止用戶行為損害其自身安全,,安全審核還會(huì)檢查用戶所有的密碼強(qiáng)度并建議做適當(dāng)?shù)母摹?/p>
作為最古老的密碼管理器之一,RoboForm主要專注于為企業(yè)提供服務(wù),,這反過來又需要最高級(jí)別的安全性,。RoboForm致力于確保用戶的密碼始終保持健康和安全——報(bào)告用戶的憑據(jù)強(qiáng)度和具有可變變量的密碼生成器。此外,,它還有自托管選項(xiàng),,這意味著數(shù)據(jù)僅存儲(chǔ)于用戶的設(shè)備上,而非外部服務(wù)器中,。但是,,如果用戶希望同步多個(gè)設(shè)備,也是可行的,。
用戶需要密碼管理器嗎,?
是的,,用戶應(yīng)該使用密碼管理器,。它允許用戶跟蹤自己的密碼,而無需記住它們,。一些密碼庫還可以一鍵生成和更改密碼,,以及安全地存儲(chǔ)其他類型的數(shù)據(jù)(如信用卡信息),。密碼管理器還可以讓用戶與家人和朋友更安全地共享數(shù)據(jù)。這比在電子郵件或一些未加密的通訊軟件中寫下用戶登錄的詳細(xì)信息要好得多,。
當(dāng)然,,用戶必須選擇值得信任的密碼管理器。用戶可以通過考察密碼管理器背后的企業(yè)來決定使用哪一個(gè),,那些信譽(yù)良好的企業(yè)安裝可疑應(yīng)用程序或?yàn)g覽器插件的可能性要小得多,。不過,再完美的密碼管理器也并非“靈丹妙藥”,,歸根結(jié)底,,保護(hù)最有價(jià)值的信息需要的不僅僅是密碼管理器。用戶還應(yīng)該使用可靠的防病毒軟件來阻止惡意軟件感染設(shè)備,。同時(shí),,保持軟件更新也很重要,如同需要仔細(xì)檢查要安裝的應(yīng)用程序和擴(kuò)展程序一樣重要,。
