《都2022年了密码管理器还安全吗?》由会员分享,可在线阅读,更多相关《都2022年了密码管理器还安全吗?(10页珍藏版)》请在金锄头文库上搜索。
1、都2022年了,密码管理器还平安吗?尽管密码管理器(Password Manager,简称PM)很可靠,且绝大多数 网络平安专家都同意密码管理器确实是保护密码最平安的方法之一。但是随着攻击 者技术和手段的不断迭代和更新,以及最新平安漏洞的出现,整个平安行业不可避 免地会受到冲击,这其中也包括PM行业。本文将重新审视密码管理器,为大家解 答以下重要问题:密码管理器如何保护用户的密码?使用密码管理器有什么风险? 以及用户是否应该使用密码管理器。一、密码管理器如何保护用户的密码?密码管理器可以通过多种方式保护用户的密码,这也是它们使用起来比拟平安 的原因。即便它们像其他任何事物一样,存在被黑客入侵的
2、风险,但只要用户采取 必要的预防措施,这种情况发生的可能性极低。毕竟,攻击者使用社会工程或网络 钓鱼要比实际破解一个强密码容易得多。那么,是什么让密码管理器如此平安?首先,密码管理器通过加密来保护用户的密码。AES 256位加密是军方使用 的行业标准,具有非凡的实力。破解这个密码可能需要一生的时间,因此暴力攻击 成功的机会几乎为零。其次,密码管理器通过使用零知识架构(zero-knowledge architecture )来 保护用户的数据。这意味着用户的密码在离开设备之前已被加密。当它们最终出现 在企业的服务器上时,提供商没有工具来破译它们。康和平安报告用户的凭据强度和具有可变变量的密码生
3、成器。此外,它还有 自托管选项,这意味着数据仅存储于用户的设备上,而非外部服务器中。但是,如 果用户希望同步多个设备,也是可行的。六、用户需要密码管理器吗?是的,用户应该使用密码管理器。它允许用户跟踪自己的密码,而无需记住它 们。一些密码库还可以一键生成和更改密码,以及平安地存储其他类型的数据(如 信用卡信息)。密码管理器还可以让用户与家人和朋友更平安地共享数据。这比在 电子邮件或一些未加密的通讯软件中写下用户登录的详细信息要好得多。当然,用户必须选择值得信任的密码管理器。用户可以通过考察密码管理器背 后的企业来决定使用哪一个,那些信誉良好的企业安装可疑应用程序或浏览器插件 的可能性要小得多。
4、不过,再完美的密码管理器也并非灵丹妙药,归根结底, 保护最有价值的信息需要的不仅仅是密码管理器。用户还应该使用可靠的防病毒软 件来阻止恶意软件感染设备。同时,保持软件更新也很重要,如同需要仔细检查要 安装的应用程序和扩展程序一样重要。大多数密码管理器会要求用户使用主密码来访问存储库。如果它是平安的,用 户可以确保其余密码足够平安。话虽如此,还是建议使用双因素身份验证(two- factor authentication ,简称2FA)来增强数据库的平安性。此外,使用指纹 或面部扫描等生物特征认证也是不错的选择。最后,密码管理器具有多项旨在保护用户密码的功能。有些会提醒用户定期更 改密码并评估其
5、强度;有些会扫描暗网以检查用户的登录信息是否在线暴露;还有 一些两者兼而有之,且具备其他额外功能。二、使用密码管理器有什么风险?谁也没有方法保证100%的在线平安。即使用户使用可靠的密码管理器,也应 该了解其存在的某些风险:所有敏感数据集中在一处,这就好比将鸡蛋放在一个篮子里,而且,这个 “篮子里还可能包含信用卡详细信息以及平安票据。如果发生数据泄露,可能需 要耗费大量时间来阻断所有支付选项,并更改所有账户的密码,而这些时间足够攻 击者造成重大破坏。备份并非总是可行。如果服务器出现故障,用户将唯一的希望寄托在提供商身 上,期待他们已经制作了备份副本;如果用户将存储库在一台设备上保持离线状 态,
6、这种风险会成倍增加。同样地,将自己的备份保存在未受保护的磁盘驱动器或 保护不佳的云服务上也无济于事。并非所有设备都足够平安。黑客利用相同的漏洞便能在一次攻击中获取用户的 所有登录信息。如果用户设备感染了恶意软件,密码管理器也可能会被黑。在这种 情况下,用户输入主密码会被记录下来,从而使网络犯罪分子获得对存储数据的完 全访问权限。这就是密码管理器用户应该首先投资保护他们所有的设备以降低风险 的原因所在。不使用生物特征认证。生物识别身份验证是增加额外平安防护层的好方法。如 果用户将密码管理器配置为请求指纹或面部扫描,那么有人侵入存储库的机会就会 变得非常渺茫。而且,触摸指纹扫描仪也比输入主密码容易
7、得多。糟糕的密码管理器。如果一款密码管理器具有较弱的加密功能,提供的功能很 少,并且用户反应很差的话,就不应该再使用它。忘记主密码。在用户是唯一知道主密码的人,同时密码管理器没有重置功能的 情况下,可能需要逐个恢复每个登录。或者,可以将主密码(或提示)存储在某个 物理上平安的地方,例如保险箱。尽管存在上述所有问题,但一款好的密码管理器仍然极难攻破。AES-256位 加密、零知识”技术的使用,以及使用双因素身份验证的可能性,使密码管理器 成为比目前更平安、更方便的选择。在平安方面,对用户而言最重要的是主密码, 因为必须创立一个主密码才能访问所有其他密码。因此,请务必确保它是一个强大 的密码组合,
8、必须包含至少12个字符长度,包含各种符号,并且没有规律无法猜 测。三、哪种类型的密码管理器更平安?目前,有三种主要的密码管理器类型,它们各有优缺点。1、基于浏览器的密码管理器平安性例如浏览器内置密码管理器(Chrome、Firefox. Safari)优点:非常易于使用且免费;缺点:没有跨浏览器同步、并非所有都能生成密码、很少测量密码长度。如果我们将平安性归结为加密和双因素身份验证,那么基于浏览器的密码管理 器是非常平安的。但其实基于浏览器的密码管理器平安性不高。首先,对于新手来说,基于浏览器的密码管理器在一个特定的浏览器上运行。 如果用户从Safari迁移至Chrome或Firefox ,可
9、能会遇到导出和导入问题。此 外,用户无法在不同的浏览器上同步存储库。所有这些通常会使用户将密码存储在 不平安的位置。其次,并非所有基于浏览器的密码管理器都有密码生成器。如果没有,用户将 不得不手动创立它们。最后,浏览器密码管理器无法检测到弱密码或重复使用的密 码。如果用户想要知道登录信息是否暴露在暗网上,必须在单独的工具上手动检 查。平安性例如例如Zoho Vault、LastPass优点:非常方便、从任何地方都能轻松访问、云备份、依赖互联网;缺点:第三方服务器存储用户的数据、无法确保用户的存储库平安。与基于浏览器的密码管理器相比,基于云的密码管理器更平安,因为它们具有 更多增强平安性的功能。
10、首先,大多数基于云的密码管理器都会为用户的存储库提供备份,如果服务器 出现问题,用户可以恢复数据库的最新版本。其次,基于云的密码管理器不仅允许用户存储密码,还允许用户存储平安票据 和信用卡详细信息,这样用户就可以保护所有敏感信息。再次,基于云的密码管理器会检测重复使用的密码和弱密码,生成强密码,并 检查用户的账户是否存在泄露,它还允许用户轻松地跨服务共享存储库条目。最后,基于云的密码管理器适用于多种浏览器和操作系统。这就意味着用户不 必考虑如何平安地从数据库中复制和粘贴某些内容。3.基于桌面的密码管理器平安性例如例如Bitwarden、KeePass、IPassword. Dashlane优点
11、:最平安的选择、不需要连接互联网;缺点:无法从其他设备访问、复杂的密码共享、手动备份。与其他两种类型相比,基于桌面的密码管理器可能是最平安的,但具体效果完 全取决于用户。这种密码管理器会将用户数据存储在本地设备上。该设备不必连接到互联网, 因此攻击者入侵它的可能性几乎为零。最有可能(现实可能仍然很低)的入侵场景 是用户无意中安装了键盘记录器并输入了主密码。然而,这种情况也可以通过使用 生物特征认证来防止。显然,这样的设置有其缺点,这源于基于桌面的密码管理器的本质。对于新手 来说,用户必须注意定期备份。否那么一旦用户设备出现无法修复的故障,用户存储 库也基本报废。更重要的是,用户将无法从其他设备
12、获取密码,而且共享它们也不 容易。四.密码管理器被黑的实际案例2015年,LastPass检测到对其服务器的入侵行为,黑客获取了用户的电子邮件地址和密码提醒等信息。不过,此事并未导致任何的损害,因为即使用户使 用了弱主密码并且攻击者破解了它,他们仍然需要通过电子邮件验证访问权限;2016年,白帽黑客和平安专家报告了大量平安漏洞,受影响的密码管理器包 括LastPass. Dashlane、IPassword和Keepero在大多数情况下,攻击者仍然 需要使用网络钓鱼来诱骗用户泄露一些数据;2017年,LastPass报告了其浏览器插件中的一个严重漏洞,并要求订阅者不要使用它。不过,它在不到24
13、小时的时间内就完成了修复;2019 年,在 Dashlane, LastPassx IPassword、KeePass 的代码中发现了 严重漏洞。不过,该漏洞仅适用于Windows 10用户,且仅在安装恶意软件的情 况下才能被利用。这一次,用户也没有遭受任何J的伤害。如上所见,针对这些密码管理器的黑客攻击都没有那么严重。大多数情况下, 被黑客入侵并不会导致用户所有密码落入坏人之手。然而,即使是最平安的密码管 理器,也可能存在容易忽视的严重漏洞。我们都知道,使用密码管理器后,用户密码是本地加密的。密码管理员无法破 译用户数据,因为它们实施零知识”策略。因此,如果黑客闯入用户的存储库, 看到的也只
14、是加密信息。攻击者通过窃取、使用恶意软件或记录击键来侵入用户物理设备的可能性很 小。即使采用了这些手段,他们仍然需要用户的主密码。如果用户使用指纹或面部 ID等生物特征数据进行验证,其成功的机会将变得更低。如果攻击者在用户设备上安装了恶意软件,最好的方法是重新安装操作系统并 更改存储库中的所有密码,并尽可能启用双因素身份验证。这样一来,用户会注意 到身份验证应用程序何时收到异常请求。五、2022年最正确密码管理器以下是在多个评论网站获得高分的较平安的密码管理器:1、 NordPass云存储空间3 GB ( NordLocker应用程序)双因素身份验证有平台和浏览器插件Windows. macO
15、Sx Linux、Android. iOS、Chrome.Firefox、Safari、Opera. Brave. Vivaldi 和 Edge当前优惠政策获取NordPass ,现在可享受71%的折扣和1个月免费!作为市场上的凭证管理器之一 ,NordPass是一款非常珍贵的工具,尤其是对 于那些想要一种简单方法来管理所有密码的人来说更是如此。除了使用下一代 XChaCha20加密外,NordPass还利用云存储,将用户的所有密码存储在云中, 这样就不会丧失密码了。此外,它还提供双因素身份验证、生物特征身份验证(允 许用户使用面部或指纹而非主密码登录)、密码生成器、数据泄露扫描仪以及其他 功
16、能,可以确保用户在线平安。2、 Keeper玄存储空间无双因素身份验证有平台Windows、macOSs Linux、Android. iOS浏览器插件Chrome、Firefox、Safari. Opera. InternetExplorerKeeper可能是此榜单中最平安的密码管理器。这一切都归功于其零知识 基础设施、强大的AES 256位加密以及众多其他平安功能。至于身份验证,它将 提供生物识别、第三方身份验证器、Keepers签名KeeperDNA等诸多项选择择。Keeper在保护密码和其他数据方面的功能同样不容置疑一有用于文件共享 的自毁KeeperChat,以及在暗网上搜索被盗密码的Breach
