文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

都2022年了,密码管理器还安全吗?

2024-12-02 05:39

关注

密码管理器如何保护用户的密码?

密码管理器可以通过多种方式保护用户的密码,这也是它们使用起来比较安全的原因。即便它们像其他任何事物一样,存在被黑客入侵的风险,但只要用户采取必要的预防措施,这种情况发生的可能性极低。毕竟,攻击者使用社会工程或网络钓鱼要比实际破解一个强密码容易得多。

那么,是什么让密码管理器如此安全?

首先,密码管理器通过加密来保护用户的密码。AES 256位加密是军方使用的行业标准,具有非凡的实力。破解这个密码可能需要一生的时间,因此暴力攻击成功的机会几乎为零。

其次,密码管理器通过使用零知识架构(zero-knowledge architecture)来保护用户的数据。这意味着用户的密码在离开设备之前已被加密。当它们最终出现在企业的服务器上时,提供商没有工具来破译它们。

大多数密码管理器会要求用户使用主密码来访问存储库。如果它是安全的,用户可以确保其余密码足够安全。话虽如此,还是建议使用双因素身份验证(two-factor authentication,简称“2FA”)来增强数据库的安全性。此外,使用指纹或面部扫描等生物特征认证也是不错的选择。

最后,密码管理器具有多项旨在保护用户密码的功能。有些会提醒用户定期更改密码并评估其强度;有些会扫描暗网以检查用户的登录信息是否在线暴露;还有一些两者兼而有之,且具备其他额外功能。

使用密码管理器有什么风险?

谁也没有办法保证100%的在线安全。即使用户使用可靠的密码管理器,也应该了解其存在的某些风险:

尽管存在上述所有问题,但一款好的密码管理器仍然极难攻破。AES-256位加密、“零知识”技术的使用,以及使用双因素身份验证的可能性,使密码管理器成为比目前更安全、更方便的选择。在安全方面,对用户而言最重要的是主密码,因为必须创建一个主密码才能访问所有其他密码。因此,请务必确保它是一个强大的密码组合,必须包含至少12个字符长度,包含各种符号,并且没有规律无法猜测。

哪种类型的密码管理器更安全?

目前,有三种主要的密码管理器类型,它们各有优缺点。

基于浏览器的密码管理器

如果我们将安全性归结为加密和双因素身份验证,那么基于浏览器的密码管理器是非常安全的。但其实基于浏览器的密码管理器安全性不高。

首先,对于新手来说,基于浏览器的密码管理器在一个特定的浏览器上运行。如果用户从Safari迁移至Chrome或Firefox,可能会遇到导出和导入问题。此外,用户无法在不同的浏览器上同步存储库。所有这些通常会使用户将密码存储在不安全的位置。

其次,并非所有基于浏览器的密码管理器都有密码生成器。如果没有,用户将不得不手动创建它们。最后,浏览器密码管理器无法检测到弱密码或重复使用的密码。如果用户想要知道登录信息是否暴露在暗网上,必须在单独的工具上手动检查。

基于云的密码管理器

与基于浏览器的密码管理器相比,基于云的密码管理器更安全,因为它们具有更多增强安全性的功能。

首先,大多数基于云的密码管理器都会为用户的存储库提供备份,如果服务器出现问题,用户可以恢复数据库的最新版本。

其次,基于云的密码管理器不仅允许用户存储密码,还允许用户存储安全票据和信用卡详细信息,这样用户就可以保护所有敏感信息。

再次,基于云的密码管理器会检测重复使用的密码和弱密码,生成强密码,并检查用户的账户是否存在泄露,它还允许用户轻松地跨服务共享存储库条目。

最后,基于云的密码管理器适用于多种浏览器和操作系统。这就意味着用户不必考虑如何安全地从数据库中复制和粘贴某些内容。

基于桌面的密码管理器

与其他两种类型相比,基于桌面的密码管理器可能是最安全的,但具体效果完全取决于用户。

这种密码管理器会将用户数据存储在本地设备上。该设备不必连接到互联网,因此攻击者入侵它的可能性几乎为零。最有可能(现实可能仍然很低)的入侵场景是用户无意中安装了键盘记录器并输入了主密码。然而,这种情况也可以通过使用生物特征认证来避免。

显然,这样的设置有其缺点,这源于基于桌面的密码管理器的本质。对于新手来说,用户必须注意定期备份。否则一旦用户设备出现无法修复的故障,用户存储库也基本报废。更重要的是,用户将无法从其他设备获取密码,而且共享它们也不容易。

密码管理器被黑的实际案例

2015年,LastPass检测到对其服务器的入侵行为,黑客获取了用户的电子邮件地址和密码提醒等信息。不过,此事并未导致任何已知的损害,因为即使用户使用了弱主密码并且攻击者破解了它,他们仍然需要通过电子邮件验证访问权限;

2016年,白帽黑客和安全专家报告了大量安全漏洞,受影响的密码管理器包括LastPass、Dashlane、1Password和Keeper。在大多数情况下,攻击者仍然需要使用网络钓鱼来诱骗用户泄露一些数据;

2017年,LastPass报告了其浏览器插件中的一个严重漏洞,并要求订阅者不要使用它。不过,它在不到24小时的时间内就完成了修复;

2019年,在Dashlane、LastPass、1Password、KeePass的代码中发现了严重漏洞。不过,该漏洞仅适用于Windows 10用户,且仅在安装恶意软件的情况下才能被利用。这一次,用户也没有遭受任何已知的伤害。

如上所见,针对这些密码管理器的黑客攻击都没有那么严重。大多数情况下,被黑客入侵并不会导致用户所有密码落入坏人之手。然而,即使是最安全的密码管理器,也可能存在容易忽视的严重漏洞。

我们都知道,使用密码管理器后,用户密码是本地加密的。密码管理员无法破译用户数据,因为它们实施“零知识”策略。因此,如果黑客闯入用户的存储库,看到的也只是加密信息。

攻击者通过窃取、使用恶意软件或记录击键来侵入用户物理设备的可能性很小。即使采用了这些手段,他们仍然需要用户的主密码。如果用户使用指纹或面部ID等生物特征数据进行验证,其成功的机会将变得更低。

如果攻击者在用户设备上安装了恶意软件,最好的办法是重新安装操作系统并更改存储库中的所有密码,并尽可能启用双因素身份验证。这样一来,用户会注意到身份验证应用程序何时收到异常请求。

2022年优秀密码管理器

以下是在多个评论网站获得高分的较安全的密码管理器:

NordPass

作为市场上的凭证管理器之一,NordPass是一款非常宝贵的工具,尤其是对于那些想要一种简单方法来管理所有密码的人来说更是如此。除了使用下一代XChaCha20加密外,NordPass还利用云存储,将用户的所有密码存储在云中,这样就不会丢失密码了。此外,它还提供双因素身份验证、生物特征身份验证(允许用户使用面部或指纹而非主密码登录)、密码生成器、数据泄露扫描仪以及其他功能,可以确保用户在线安全。

Keeper

Keeper可能是此榜单中最安全的密码管理器。这一切都归功于其“零知识”基础设施、强大的AES 256位加密以及众多其他安全功能。至于身份验证,它将提供生物识别、第三方身份验证器、Keepers签名KeeperDNA等诸多选择。

Keeper在保护密码和其他数据方面的功能同样不容置疑——有用于文件共享的自毁 KeeperChat,以及在暗网上搜索被盗密码的Breach Watch。为了防止用户行为损害其自身安全,安全审核还会检查用户所有的密码强度并建议做适当的更改。

RoboForm

作为最古老的密码管理器之一,RoboForm主要专注于为企业提供服务,这反过来又需要最高级别的安全性。RoboForm致力于确保用户的密码始终保持健康和安全——报告用户的凭据强度和具有可变变量的密码生成器。此外,它还有自托管选项,这意味着数据仅存储于用户的设备上,而非外部服务器中。但是,如果用户希望同步多个设备,也是可行的。

用户需要密码管理器吗?

是的,用户应该使用密码管理器。它允许用户跟踪自己的密码,而无需记住它们。一些密码库还可以一键生成和更改密码,以及安全地存储其他类型的数据(如信用卡信息)。密码管理器还可以让用户与家人和朋友更安全地共享数据。这比在电子邮件或一些未加密的通讯软件中写下用户登录的详细信息要好得多。

当然,用户必须选择值得信任的密码管理器。用户可以通过考察密码管理器背后的企业来决定使用哪一个,那些信誉良好的企业安装可疑应用程序或浏览器插件的可能性要小得多。不过,再完美的密码管理器也并非“灵丹妙药”,归根结底,保护最有价值的信息需要的不仅仅是密码管理器。用户还应该使用可靠的防病毒软件来阻止恶意软件感染设备。同时,保持软件更新也很重要,如同需要仔细检查要安装的应用程序和扩展程序一样重要。

参考链接:https://cybernews.com/best-password-managers/are-password-managers-safe/

来源:安全牛内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯