盡管密碼管理器(Password Manager,簡稱“PM”)很可靠,且絕大多數(shù)網(wǎng)絡(luò)安全專家都同意密碼管理器確實(shí)是保護(hù)密碼最安全的方法之一。但是隨著攻擊者技術(shù)和手段的不斷迭代和更新,以及最新安全漏洞的出現(xiàn),整個安全行業(yè)不可避免地會受到?jīng)_擊,這其中也包括PM行業(yè)。本文將重新審視密碼管理器,為大家解答以下重要問題:密碼管理器如何保護(hù)用戶的密碼?使用密碼管理器有什么風(fēng)險(xiǎn)?以及用戶是否應(yīng)該使用密碼管理器。
密碼管理器如何保護(hù)用戶的密碼?
密碼管理器可以通過多種方式保護(hù)用戶的密碼,這也是它們使用起來比較安全的原因。即便它們像其他任何事物一樣,存在被黑客入侵的風(fēng)險(xiǎn),但只要用戶采取必要的預(yù)防措施,這種情況發(fā)生的可能性極低。畢竟,攻擊者使用社會工程或網(wǎng)絡(luò)釣魚要比實(shí)際破解一個強(qiáng)密碼容易得多。
那么,是什么讓密碼管理器如此安全?
首先,密碼管理器通過加密來保護(hù)用戶的密碼。AES 256位加密是軍方使用的行業(yè)標(biāo)準(zhǔn),具有非凡的實(shí)力。破解這個密碼可能需要一生的時(shí)間,因此暴力攻擊成功的機(jī)會幾乎為零。
其次,密碼管理器通過使用零知識架構(gòu)(zero-knowledge architecture)來保護(hù)用戶的數(shù)據(jù)。這意味著用戶的密碼在離開設(shè)備之前已被加密。當(dāng)它們最終出現(xiàn)在企業(yè)的服務(wù)器上時(shí),提供商沒有工具來破譯它們。
大多數(shù)密碼管理器會要求用戶使用主密碼來訪問存儲庫。如果它是安全的,用戶可以確保其余密碼足夠安全。話雖如此,還是建議使用雙因素身份驗(yàn)證(two-factor authentication,簡稱“2FA”)來增強(qiáng)數(shù)據(jù)庫的安全性。此外,使用指紋或面部掃描等生物特征認(rèn)證也是不錯的選擇。
最后,密碼管理器具有多項(xiàng)旨在保護(hù)用戶密碼的功能。有些會提醒用戶定期更改密碼并評估其強(qiáng)度;有些會掃描暗網(wǎng)以檢查用戶的登錄信息是否在線暴露;還有一些兩者兼而有之,且具備其他額外功能。
使用密碼管理器有什么風(fēng)險(xiǎn)?
誰也沒有辦法保證100%的在線安全。即使用戶使用可靠的密碼管理器,也應(yīng)該了解其存在的某些風(fēng)險(xiǎn):
•所有敏感數(shù)據(jù)集中在一處,這就好比“將雞蛋放在一個籃子里”,而且,這個“籃子”里還可能包含信用卡詳細(xì)信息以及安全票據(jù)。如果發(fā)生數(shù)據(jù)泄露,可能需要耗費(fèi)大量時(shí)間來阻斷所有支付選項(xiàng),并更改所有賬戶的密碼,而這些時(shí)間足夠攻擊者造成重大破壞。
•備份并非總是可行。如果服務(wù)器出現(xiàn)故障,用戶將唯一的希望寄托在提供商身上,期待他們已經(jīng)制作了備份副本;如果用戶將存儲庫在一臺設(shè)備上保持離線狀態(tài),這種風(fēng)險(xiǎn)會成倍增加。同樣地,將自己的備份保存在未受保護(hù)的磁盤驅(qū)動器或保護(hù)不佳的云服務(wù)上也無濟(jì)于事。
•并非所有設(shè)備都足夠安全。黑客利用相同的漏洞便能在一次攻擊中獲取用戶的所有登錄信息。如果用戶設(shè)備感染了惡意軟件,密碼管理器也可能會被黑。在這種情況下,用戶輸入主密碼會被記錄下來,從而使網(wǎng)絡(luò)犯罪分子獲得對存儲數(shù)據(jù)的完全訪問權(quán)限。這就是密碼管理器用戶應(yīng)該首先投資保護(hù)他們所有的設(shè)備以降低風(fēng)險(xiǎn)的原因所在。
•不使用生物特征認(rèn)證。生物識別身份驗(yàn)證是增加額外安全防護(hù)層的好方法。如果用戶將密碼管理器配置為請求指紋或面部掃描,那么有人侵入存儲庫的機(jī)會就會變得非常渺茫。而且,觸摸指紋掃描儀也比輸入主密碼容易得多。
•糟糕的密碼管理器。如果一款密碼管理器具有較弱的加密功能,提供的功能很少,并且用戶反饋很差的話,就不應(yīng)該再使用它。
•忘記主密碼。在用戶是唯一知道主密碼的人,同時(shí)密碼管理器沒有重置功能的情況下,可能需要逐個恢復(fù)每個登錄。或者,可以將主密碼(或提示)存儲在某個物理上安全的地方,例如保險(xiǎn)箱。
盡管存在上述所有問題,但一款好的密碼管理器仍然極難攻破。AES-256位加密、“零知識”技術(shù)的使用,以及使用雙因素身份驗(yàn)證的可能性,使密碼管理器成為比目前更安全、更方便的選擇。在安全方面,對用戶而言最重要的是主密碼,因?yàn)楸仨殑?chuàng)建一個主密碼才能訪問所有其他密碼。因此,請務(wù)必確保它是一個強(qiáng)大的密碼組合,必須包含至少12個字符長度,包含各種符號,并且沒有規(guī)律無法猜測。
哪種類型的密碼管理器更安全?
目前,有三種主要的密碼管理器類型,它們各有優(yōu)缺點(diǎn)。
基于瀏覽器的密碼管理器
優(yōu)點(diǎn):非常易于使用且免費(fèi);
缺點(diǎn):沒有跨瀏覽器同步、并非所有都能生成密碼、很少測量密碼長度。
如果我們將安全性歸結(jié)為加密和雙因素身份驗(yàn)證,那么基于瀏覽器的密碼管理器是非常安全的。但其實(shí)基于瀏覽器的密碼管理器安全性不高。
首先,對于新手來說,基于瀏覽器的密碼管理器在一個特定的瀏覽器上運(yùn)行。如果用戶從Safari遷移至Chrome或Firefox,可能會遇到導(dǎo)出和導(dǎo)入問題。此外,用戶無法在不同的瀏覽器上同步存儲庫。所有這些通常會使用戶將密碼存儲在不安全的位置。
其次,并非所有基于瀏覽器的密碼管理器都有密碼生成器。如果沒有,用戶將不得不手動創(chuàng)建它們。最后,瀏覽器密碼管理器無法檢測到弱密碼或重復(fù)使用的密碼。如果用戶想要知道登錄信息是否暴露在暗網(wǎng)上,必須在單獨(dú)的工具上手動檢查。
基于云的密碼管理器
優(yōu)點(diǎn):非常方便、從任何地方都能輕松訪問、云備份、依賴互聯(lián)網(wǎng);
缺點(diǎn):第三方服務(wù)器存儲用戶的數(shù)據(jù)、無法確保用戶的存儲庫安全。
與基于瀏覽器的密碼管理器相比,基于云的密碼管理器更安全,因?yàn)樗鼈兙哂懈嘣鰪?qiáng)安全性的功能。
首先,大多數(shù)基于云的密碼管理器都會為用戶的存儲庫提供備份,如果服務(wù)器出現(xiàn)問題,用戶可以恢復(fù)數(shù)據(jù)庫的最新版本。
其次,基于云的密碼管理器不僅允許用戶存儲密碼,還允許用戶存儲安全票據(jù)和信用卡詳細(xì)信息,這樣用戶就可以保護(hù)所有敏感信息。
再次,基于云的密碼管理器會檢測重復(fù)使用的密碼和弱密碼,生成強(qiáng)密碼,并檢查用戶的賬戶是否存在泄露,它還允許用戶輕松地跨服務(wù)共享存儲庫條目。
最后,基于云的密碼管理器適用于多種瀏覽器和操作系統(tǒng)。這就意味著用戶不必考慮如何安全地從數(shù)據(jù)庫中復(fù)制和粘貼某些內(nèi)容。
基于桌面的密碼管理器
優(yōu)點(diǎn):最安全的選擇、不需要連接互聯(lián)網(wǎng);
缺點(diǎn):無法從其他設(shè)備訪問、復(fù)雜的密碼共享、手動備份。
與其他兩種類型相比,基于桌面的密碼管理器可能是最安全的,但具體效果完全取決于用戶。
這種密碼管理器會將用戶數(shù)據(jù)存儲在本地設(shè)備上。該設(shè)備不必連接到互聯(lián)網(wǎng),因此攻擊者入侵它的可能性幾乎為零。最有可能(現(xiàn)實(shí)可能仍然很低)的入侵場景是用戶無意中安裝了鍵盤記錄器并輸入了主密碼。然而,這種情況也可以通過使用生物特征認(rèn)證來避免。
顯然,這樣的設(shè)置有其缺點(diǎn),這源于基于桌面的密碼管理器的本質(zhì)。對于新手來說,用戶必須注意定期備份。否則一旦用戶設(shè)備出現(xiàn)無法修復(fù)的故障,用戶存儲庫也基本報(bào)廢。更重要的是,用戶將無法從其他設(shè)備獲取密碼,而且共享它們也不容易。
密碼管理器被黑的實(shí)際案例
2015年,LastPass檢測到對其服務(wù)器的入侵行為,黑客獲取了用戶的電子郵件地址和密碼提醒等信息。不過,此事并未導(dǎo)致任何已知的損害,因?yàn)榧词褂脩羰褂昧巳踔髅艽a并且攻擊者破解了它,他們?nèi)匀恍枰ㄟ^電子郵件驗(yàn)證訪問權(quán)限;
2016年,白帽黑客和安全專家報(bào)告了大量安全漏洞,受影響的密碼管理器包括LastPass、Dashlane、1Password和Keeper。在大多數(shù)情況下,攻擊者仍然需要使用網(wǎng)絡(luò)釣魚來誘騙用戶泄露一些數(shù)據(jù);
2017年,LastPass報(bào)告了其瀏覽器插件中的一個嚴(yán)重漏洞,并要求訂閱者不要使用它。不過,它在不到24小時(shí)的時(shí)間內(nèi)就完成了修復(fù);
2019年,在Dashlane、LastPass、1Password、KeePass的代碼中發(fā)現(xiàn)了嚴(yán)重漏洞。不過,該漏洞僅適用于Windows 10用戶,且僅在安裝惡意軟件的情況下才能被利用。這一次,用戶也沒有遭受任何已知的傷害。
如上所見,針對這些密碼管理器的黑客攻擊都沒有那么嚴(yán)重。大多數(shù)情況下,被黑客入侵并不會導(dǎo)致用戶所有密碼落入壞人之手。然而,即使是最安全的密碼管理器,也可能存在容易忽視的嚴(yán)重漏洞。
我們都知道,使用密碼管理器后,用戶密碼是本地加密的。密碼管理員無法破譯用戶數(shù)據(jù),因?yàn)樗鼈儗?shí)施“零知識”策略。因此,如果黑客闖入用戶的存儲庫,看到的也只是加密信息。
攻擊者通過竊取、使用惡意軟件或記錄擊鍵來侵入用戶物理設(shè)備的可能性很小。即使采用了這些手段,他們?nèi)匀恍枰脩舻闹髅艽a。如果用戶使用指紋或面部ID等生物特征數(shù)據(jù)進(jìn)行驗(yàn)證,其成功的機(jī)會將變得更低。
如果攻擊者在用戶設(shè)備上安裝了惡意軟件,最好的辦法是重新安裝操作系統(tǒng)并更改存儲庫中的所有密碼,并盡可能啟用雙因素身份驗(yàn)證。這樣一來,用戶會注意到身份驗(yàn)證應(yīng)用程序何時(shí)收到異常請求。
2022年最佳密碼管理器
以下是在多個評論網(wǎng)站獲得高分的較安全的密碼管理器:
NordPass
作為市場上的憑證管理器之一,NordPass是一款非常寶貴的工具,尤其是對于那些想要一種簡單方法來管理所有密碼的人來說更是如此。除了使用下一代XChaCha20加密外,NordPass還利用云存儲,將用戶的所有密碼存儲在云中,這樣就不會丟失密碼了。此外,它還提供雙因素身份驗(yàn)證、生物特征身份驗(yàn)證(允許用戶使用面部或指紋而非主密碼登錄)、密碼生成器、數(shù)據(jù)泄露掃描儀以及其他功能,可以確保用戶在線安全。
Keeper
Keeper可能是此榜單中最安全的密碼管理器。這一切都?xì)w功于其“零知識”基礎(chǔ)設(shè)施、強(qiáng)大的AES 256位加密以及眾多其他安全功能。至于身份驗(yàn)證,它將提供生物識別、第三方身份驗(yàn)證器、Keepers簽名KeeperDNA等諸多選擇。
Keeper在保護(hù)密碼和其他數(shù)據(jù)方面的功能同樣不容置疑——有用于文件共享的自毀KeeperChat,以及在暗網(wǎng)上搜索被盜密碼的Breach Watch。為了防止用戶行為損害其自身安全,安全審核還會檢查用戶所有的密碼強(qiáng)度并建議做適當(dāng)?shù)母摹?/p>
RoboForm
作為最古老的密碼管理器之一,RoboForm主要專注于為企業(yè)提供服務(wù),這反過來又需要最高級別的安全性。RoboForm致力于確保用戶的密碼始終保持健康和安全——報(bào)告用戶的憑據(jù)強(qiáng)度和具有可變變量的密碼生成器。此外,它還有自托管選項(xiàng),這意味著數(shù)據(jù)僅存儲于用戶的設(shè)備上,而非外部服務(wù)器中。但是,如果用戶希望同步多個設(shè)備,也是可行的。
用戶需要密碼管理器嗎?
是的,用戶應(yīng)該使用密碼管理器。它允許用戶跟蹤自己的密碼,而無需記住它們。一些密碼庫還可以一鍵生成和更改密碼,以及安全地存儲其他類型的數(shù)據(jù)(如信用卡信息)。密碼管理器還可以讓用戶與家人和朋友更安全地共享數(shù)據(jù)。這比在電子郵件或一些未加密的通訊軟件中寫下用戶登錄的詳細(xì)信息要好得多。
當(dāng)然,用戶必須選擇值得信任的密碼管理器。用戶可以通過考察密碼管理器背后的企業(yè)來決定使用哪一個,那些信譽(yù)良好的企業(yè)安裝可疑應(yīng)用程序或?yàn)g覽器插件的可能性要小得多。不過,再完美的密碼管理器也并非“靈丹妙藥”,歸根結(jié)底,保護(hù)最有價(jià)值的信息需要的不僅僅是密碼管理器。用戶還應(yīng)該使用可靠的防病毒軟件來阻止惡意軟件感染設(shè)備。同時(shí),保持軟件更新也很重要,如同需要仔細(xì)檢查要安裝的應(yīng)用程序和擴(kuò)展程序一樣重要。