信息化觀察網(wǎng)

密碼有許多問題：太短、太復(fù)雜、太常使用、太多了記不住。斯坦福大學(xué)現(xiàn)在使用數(shù)字密鑰代替登錄/密碼，以便廣大學(xué)生、員工和教授訪問大學(xué)網(wǎng)絡(luò)。IT團隊正在考慮使用無密碼解決方案，以減輕管理訪問和身份的負(fù)擔(dān)。

個人可以使用密碼管理器來兼顧安全和便利。然而，這些服務(wù)有自身的安全風(fēng)險。下面基于四位技術(shù)新聞記者各自的經(jīng)驗和分析來闡述密碼管理器的優(yōu)缺點。

密碼管理器的優(yōu)點

技術(shù)記者Rob Pegoraro先嘗試使用LastPass，隨后改用為記者們提供免費服務(wù)的1Password。他還將iCloud Keychain用于一些帳戶;至于一些不大重要的登錄，他使用谷歌內(nèi)置到Chrome和Android中的密碼管理服務(wù)。他認(rèn)為，端到端加密服務(wù)是記住許多復(fù)雜密碼的理想選擇。

他說：“與人腦或瀏覽器的自動填充功能相比，密碼管理器存儲密碼來得更可靠更安全——只需您設(shè)置好讓它記住復(fù)雜的密碼，啟用兩步驟驗證即可。最后一道防線不能通過短信來實現(xiàn)，短信很容易遭到SIM交換帳戶攻擊;每款可靠的密碼管理器都應(yīng)通過USB安全密鑰來提供該功能，這種安全密鑰無法被網(wǎng)絡(luò)釣魚攻擊偽造。”

Pegoraro的確對密碼管理器作了一個重要的補充：他并不將最重要帳戶的密碼保存在密碼管理器中。

IT咨詢公司總裁David Strom多年來一直使用LastPass來存儲數(shù)百個登錄信息。

“我不停地?fù)Q著使用Mac、Windows筆記本和iPhone，我可以從所有三種設(shè)備訪問所收集的密碼。”

Strom表示，這項服務(wù)的好處壓倒了相關(guān)的安全風(fēng)險。

他說：“由于我擁有受MFA保護的可靠的主保險庫密碼，因此我有理由相信自己很安全，比在諸網(wǎng)站之間重復(fù)使用密碼安全得多。”

密碼管理器還可以幫助志愿者技術(shù)支持。

Pegoraro說：“作為向親戚提供技術(shù)支持的主要來源，我還意識到，密碼管理器中的安全筆記功能是存儲家人最重要密碼的好地方，以防他們忘記密碼或需要帳戶方面的幫助。”

Pegoraro希望蘋果為臺式機Mac添加生物特征識別身份驗證機制，那樣他不必每次都要輸入主密碼才能解鎖1Password。

他說：“在我的Windows筆記本上使用這項Mac優(yōu)先的服務(wù)來得比較輕松真是愚蠢。”

密碼管理器的缺點

試過幾款密碼管理器并撰寫泄密文章之后，技術(shù)記者Sean Michael Kerner采用了一種技術(shù)含量低的方法來管理其密碼：紙張。

他說：“我對任何密碼管理器絕對沒有信心，這不可避免地存在風(fēng)險。紙張技術(shù)含量低，但管用。”

Kerner使用YubiKey進行多因子身份驗證。

ExtremeLabs公司的創(chuàng)始人Tom Henderson不使用密碼管理器，因為他認(rèn)為使用密碼管理器的公司是黑客的主要攻擊目標(biāo)。

Henderson說：“依靠密碼管理器會成為習(xí)慣，這帶來了危險的安全感。”

Henderson使用四個YubiKey作為密碼的輔助手段，補充道他認(rèn)識該公司的所有者和創(chuàng)始人。

他說：“可能很方便，但是所有可能的設(shè)備使用同樣的密鑰可能會帶來不便。”

管理密碼的貼士

除了使用多因子身份驗證外，Henderson建議將密碼和安全證書保存在文本文件中，并取個易于記住的名稱，比如good_recipes.txt或school_dates.txt。用戶應(yīng)經(jīng)常更新密碼，刪除該文件的舊版本。

他說：“在閃驅(qū)上拷貝一份，放到別處保管起來，那樣萬一發(fā)生不測，至少你還有密碼。”

幾位新聞記者建議每月關(guān)注一次HaveiBeenPwned，看看有效密碼是否泄露。

Strom表示，他希望LastPass與該網(wǎng)站集成起來，防止用戶使用泄露的密碼，1Password提供這項功能。

原文標(biāo)題：Extra security or extra risk? Pros and cons of password managers，作者：Veronica Combs