如果你辛苦地经历了设置密码管理器的麻烦,你可能会认为你不会受到黑客和网络罪犯的窥探。
你错了。
是的,密码管理器是一个有价值的工具,在正在进行的战斗,以保持自己的安全,但他们不是故障保护或傻瓜证明,也没有提供足够的保护自己。
下面是密码管理器不足以保证密码安全的四个原因。
密码管理器是否非常安全?对。他们是否部署了严格的加密和加密系统?对。你能明确地说没有黑客能够破解这个系统并获得数百万用户的密码吗?
不。
想想看:密码管理服务对黑客来说是一个非常诱人的前景。如果他们能攻破密码库的外墙,他们就能得到数不清的宝藏。他们会继续试图闯入。这是不可避免的。
让我们以LastPass为例。在过去五年中,网络罪犯已经两次攻击服务器。每一次,该公司都坚称,用户只需更改其帐户的主密码,密码库仍然是安全的。
但黑客证明了安全漏洞的存在。被授权人进入只是时间问题吗?可能。
2014年,安全研究人员发现LastPass、RoboForm、My1login、PasswordBox和NeedMyPassword都存在一些危险的安全缺陷。
最令人担忧的缺陷是,黑客可以使用bookmarklet直接从LastPass用户那里窃取明文密码,而用户和公司都不知道有什么问题。
LastPass还有一个缺陷,即网站上的恶意代码可以窃取用户的整个加密密码库,只要黑客知道用户的电子邮件地址。
RoboForm、My1login、PasswordBox和NeedMyPassword都有同样严重的缺陷,包括允许攻击者窃取用户全名、用户名和输入密码的任何URL的漏洞。
谢天谢地,服务提供商已经修复了这些漏洞,但如果相信它们现在是完美的,那就太愚蠢了。几乎可以肯定的是,仍有一些未被发现的虫子,在等待有人找到它们。
Widespread adoption of insecure password managers could make things worse: adding a new, untested single point of failure to the Web authentication ecosystem.-- Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song, authors of The Emperor's New Password Manager: Security Analysis of Web-based Password Managers
最终,您将一些最重要的细节交给了密码管理器。把所有的鸡蛋放在同一个篮子里是不明智的。
您会注意到我上面讨论的五个服务都是基于web的。如果你使用一个基于本地的密码管理器(比如KeePass或1Password),请不要陷入一种错误的安全感中;这项研究只关注基于web的选项。
有一种观点认为,本地管理者天生就比基于云的管理者更安全。黑客更难进入,盗取数据库也更难。
但他们不是傻瓜。我们都知道桌面用户所面临的安全威胁:键盘记录者、潜伏在公共Wi-Fi网络上的黑客、层出不穷的恶意软件等等。如果你不幸发现自己受到攻击,你在本地保存的密码数据库可能是黑客窃取的第一件东西。
如果你的数据库保存在你的移动设备上呢?如果你丢失了你的设备,它很容易落入坏人之手。是的,它是加密的,但是如果你把你的应用程序设置成只需要一个主密码或者一个指纹就可以访问数据库,那么加密就不值钱了。
我只是简单地谈了一下。密码管理器有很多设置,你可以调整,其中一些使服务更安全。然而,很多都是为了方便而设计的——启用它们会让你更容易受到攻击。
例如,当您尝试访问vault中某个人的凭据时,LastPass不会自动提示您输入主密码(设置>高级设置>重新提示输入主密码)。
此外,大多数服务的移动应用程序允许您在每次成功登录后24小时内禁用指纹和/或密码验证。别这么做。你会让你的网上银行登录24小时以节省几次点击吗?
当然,要小心与谁共享密码使用服务内置的共享服务——也许他们的设置会让你的帐户暴露?确保你的朋友和家人知道安全隐患。
不要走捷径。相反,花点时间研究你的服务的高级设置,使它们尽可能健壮。
密码管理器是否比将您的所有详细信息存储在Excel工作表上,或对每个站点使用相同的凭据更好?毫无疑问。但它们是否像你可能想相信的那样安全还存在争议。
大多数人使用这些服务既是为了方便,也是为了安全。但这样做,你就有可能让自己妥协。我不会告诉你停止使用它们,但要小心行事。例如,也许您应该在多个管理器之间拆分您的密码?
记住,底线是你自己的大脑没有替代品。如果您可以创建一个强大的代码,在每次登录时稍加调整,您将比任何密码管理器都能提供更多的安全性。
你信任密码管理器吗?请在下面的评论中告诉我们。
密码是数字生活的关键。在有人提出更好的解决方案之前,用户名/密码组合就是阻止恶意用户进入您的电子邮件、银行和Facebook帐户的唯一方法。因此,您需要安全的密码来保护您的信息,最好的方法是使用密码管理器。 ...
在当前的环境中,使用有效的密码管理器对于您的安全来说与安装高质量的防病毒套件、对您的帐户启用两步验证以及进行定期备份一样重要。 ...
...重要文件放在里面,你的iCloud钥匙链也可能包含有价值的密码,如果有人掌握了密码,他们可能会误用这些密码。 ...
...是的,这是方便和有用的大多数日常案件。但密码管理器不足以保证您的安全,某些帐户(如您的网上银行或电子邮件)应该得到更多的安全。 ...
如今,一个强大的密码在网络上是必不可少的。无论是你的电子邮件帐户,服务用户帐户,亚马逊帐户,或其他,使用你的生日或你的猫的名字作为密码是一个坏主意。 ...
你听说过类似LastPass和Dashlane这样的密码管理器,但你不确定是否需要。好吧,事情是这样的:你需要一个。如果您有多个帐户,并且有足够的安全意识来维护不同的密码,那么您需要一个密码管理器。 ...
在纸条或文本文件中写下密码不是一种安全的存储方式,而且永远不会。你需要一个坚固的密码管理应用程序的工作。现在,让我们关注一下Mac用户的最佳密码管理器。 ...