盡管密碼管理器（Password Manager，簡稱“PM”）很可靠，且絕大多數(shù)網(wǎng)絡安全專家都同意密碼管理器確實是保護密碼最安全的方法之一。但是隨著攻擊者技術(shù)和手段的不斷迭代和更新，以及最新安全漏洞的出現(xiàn)，整個安全行業(yè)不可避免地會受到?jīng)_擊，這其中也包括PM行業(yè)。本文將重新審視密碼管理器，為大家解答以下重要問題：密碼管理器如何保護用戶的密碼？使用密碼管理器有什么風險？以及用戶是否應該使用密碼管理器。

　　密碼管理器如何保護用戶的密碼？

　　密碼管理器可以通過多種方式保護用戶的密碼，這也是它們使用起來比較安全的原因。即便它們像其他任何事物一樣，存在被黑客入侵的風險，但只要用戶采取必要的預防措施，這種情況發(fā)生的可能性極低。畢竟，攻擊者使用社會工程或網(wǎng)絡釣魚要比實際破解一個強密碼容易得多。

　　那么，是什么讓密碼管理器如此安全？

　　首先，密碼管理器通過加密來保護用戶的密碼。AES 256位加密是軍方使用的行業(yè)標準，具有非凡的實力。破解這個密碼可能需要一生的時間，因此暴力攻擊成功的機會幾乎為零。

　　其次，密碼管理器通過使用零知識架構(gòu)（zero-knowledge architecture）來保護用戶的數(shù)據(jù)。這意味著用戶的密碼在離開設備之前已被加密。當它們最終出現(xiàn)在企業(yè)的服務器上時，提供商沒有工具來破譯它們。

　　大多數(shù)密碼管理器會要求用戶使用主密碼來訪問存儲庫。如果它是安全的，用戶可以確保其余密碼足夠安全。話雖如此，還是建議使用雙因素身份驗證（two-factor authentication，簡稱“2FA”）來增強數(shù)據(jù)庫的安全性。此外，使用指紋或面部掃描等生物特征認證也是不錯的選擇。

　　最后，密碼管理器具有多項旨在保護用戶密碼的功能。有些會提醒用戶定期更改密碼并評估其強度；有些會掃描暗網(wǎng)以檢查用戶的登錄信息是否在線暴露；還有一些兩者兼而有之，且具備其他額外功能。

　　使用密碼管理器有什么風險？

　　誰也沒有辦法保證100%的在線安全。即使用戶使用可靠的密碼管理器，也應該了解其存在的某些風險：

　　?  所有敏感數(shù)據(jù)集中在一處，這就好比“將雞蛋放在一個籃子里”，而且，這個“籃子”里還可能包含信用卡詳細信息以及安全票據(jù)。如果發(fā)生數(shù)據(jù)泄露，可能需要耗費大量時間來阻斷所有支付選項，并更改所有賬戶的密碼，而這些時間足夠攻擊者造成重大破壞。

　　?  備份并非總是可行。如果服務器出現(xiàn)故障，用戶將唯一的希望寄托在提供商身上，期待他們已經(jīng)制作了備份副本；如果用戶將存儲庫在一臺設備上保持離線狀態(tài)，這種風險會成倍增加。同樣地，將自己的備份保存在未受保護的磁盤驅(qū)動器或保護不佳的云服務上也無濟于事。

　　?  并非所有設備都足夠安全。黑客利用相同的漏洞便能在一次攻擊中獲取用戶的所有登錄信息。如果用戶設備感染了惡意軟件，密碼管理器也可能會被黑。在這種情況下，用戶輸入主密碼會被記錄下來，從而使網(wǎng)絡犯罪分子獲得對存儲數(shù)據(jù)的完全訪問權(quán)限。這就是密碼管理器用戶應該首先投資保護他們所有的設備以降低風險的原因所在。

　　?  不使用生物特征認證。生物識別身份驗證是增加額外安全防護層的好方法。如果用戶將密碼管理器配置為請求指紋或面部掃描，那么有人侵入存儲庫的機會就會變得非常渺茫。而且，觸摸指紋掃描儀也比輸入主密碼容易得多。

　　?  糟糕的密碼管理器。如果一款密碼管理器具有較弱的加密功能，提供的功能很少，并且用戶反饋很差的話，就不應該再使用它。

　　?  忘記主密碼。在用戶是唯一知道主密碼的人，同時密碼管理器沒有重置功能的情況下，可能需要逐個恢復每個登錄。或者，可以將主密碼（或提示）存儲在某個物理上安全的地方，例如保險箱。

　　盡管存在上述所有問題，但一款好的密碼管理器仍然極難攻破。AES-256位加密、“零知識”技術(shù)的使用，以及使用雙因素身份驗證的可能性，使密碼管理器成為比目前更安全、更方便的選擇。在安全方面，對用戶而言最重要的是主密碼，因為必須創(chuàng)建一個主密碼才能訪問所有其他密碼。因此，請務必確保它是一個強大的密碼組合，必須包含至少12個字符長度，包含各種符號，并且沒有規(guī)律無法猜測。

　　如果我們將安全性歸結(jié)為加密和雙因素身份驗證，那么基于瀏覽器的密碼管理器是非常安全的。但其實基于瀏覽器的密碼管理器安全性不高。

　　首先，對于新手來說，基于瀏覽器的密碼管理器在一個特定的瀏覽器上運行。如果用戶從Safari遷移至Chrome或Firefox，可能會遇到導出和導入問題。此外，用戶無法在不同的瀏覽器上同步存儲庫。所有這些通常會使用戶將密碼存儲在不安全的位置。

　　其次，并非所有基于瀏覽器的密碼管理器都有密碼生成器。如果沒有，用戶將不得不手動創(chuàng)建它們。最后，瀏覽器密碼管理器無法檢測到弱密碼或重復使用的密碼。如果用戶想要知道登錄信息是否暴露在暗網(wǎng)上，必須在單獨的工具上手動檢查。

　　與基于瀏覽器的密碼管理器相比，基于云的密碼管理器更安全，因為它們具有更多增強安全性的功能。

　　首先，大多數(shù)基于云的密碼管理器都會為用戶的存儲庫提供備份，如果服務器出現(xiàn)問題，用戶可以恢復數(shù)據(jù)庫的最新版本。

　　其次，基于云的密碼管理器不僅允許用戶存儲密碼，還允許用戶存儲安全票據(jù)和信用卡詳細信息，這樣用戶就可以保護所有敏感信息。

　　再次，基于云的密碼管理器會檢測重復使用的密碼和弱密碼，生成強密碼，并檢查用戶的賬戶是否存在泄露，它還允許用戶輕松地跨服務共享存儲庫條目。

　　最后，基于云的密碼管理器適用于多種瀏覽器和操作系統(tǒng)。這就意味著用戶不必考慮如何安全地從數(shù)據(jù)庫中復制和粘貼某些內(nèi)容。

　　與其他兩種類型相比，基于桌面的密碼管理器可能是最安全的，但具體效果完全取決于用戶。

　　這種密碼管理器會將用戶數(shù)據(jù)存儲在本地設備上。該設備不必連接到互聯(lián)網(wǎng)，因此攻擊者入侵它的可能性幾乎為零。最有可能（現(xiàn)實可能仍然很低）的入侵場景是用戶無意中安裝了鍵盤記錄器并輸入了主密碼。然而，這種情況也可以通過使用生物特征認證來避免。

　　顯然，這樣的設置有其缺點，這源于基于桌面的密碼管理器的本質(zhì)。對于新手來說，用戶必須注意定期備份。否則一旦用戶設備出現(xiàn)無法修復的故障，用戶存儲庫也基本報廢。更重要的是，用戶將無法從其他設備獲取密碼，而且共享它們也不容易。

　　密碼管理器被黑的實際案例

　　2015年，LastPass檢測到對其服務器的入侵行為，黑客獲取了用戶的電子郵件地址和密碼提醒等信息。不過，此事并未導致任何已知的損害，因為即使用戶使用了弱主密碼并且攻擊者破解了它，他們?nèi)匀恍枰ㄟ^電子郵件驗證訪問權(quán)限；

　　2016年，白帽黑客和安全專家報告了大量安全漏洞，受影響的密碼管理器包括LastPass、Dashlane、1Password和Keeper。在大多數(shù)情況下，攻擊者仍然需要使用網(wǎng)絡釣魚來誘騙用戶泄露一些數(shù)據(jù)；

　　2017年，LastPass報告了其瀏覽器插件中的一個嚴重漏洞，并要求訂閱者不要使用它。不過，它在不到24小時的時間內(nèi)就完成了修復；

　　2019年，在Dashlane、LastPass、1Password、KeePass的代碼中發(fā)現(xiàn)了嚴重漏洞。不過，該漏洞僅適用于Windows 10用戶，且僅在安裝惡意軟件的情況下才能被利用。這一次，用戶也沒有遭受任何已知的傷害。

　　如上所見，針對這些密碼管理器的黑客攻擊都沒有那么嚴重。大多數(shù)情況下，被黑客入侵并不會導致用戶所有密碼落入壞人之手。然而，即使是最安全的密碼管理器，也可能存在容易忽視的嚴重漏洞。

　　我們都知道，使用密碼管理器后，用戶密碼是本地加密的。密碼管理員無法破譯用戶數(shù)據(jù)，因為它們實施“零知識”策略。因此，如果黑客闖入用戶的存儲庫，看到的也只是加密信息。

　　攻擊者通過竊取、使用惡意軟件或記錄擊鍵來侵入用戶物理設備的可能性很小。即使采用了這些手段，他們?nèi)匀恍枰脩舻闹髅艽a。如果用戶使用指紋或面部ID等生物特征數(shù)據(jù)進行驗證，其成功的機會將變得更低。

　　如果攻擊者在用戶設備上安裝了惡意軟件，最好的辦法是重新安裝操作系統(tǒng)并更改存儲庫中的所有密碼，并盡可能啟用雙因素身份驗證。這樣一來，用戶會注意到身份驗證應用程序何時收到異常請求。

　　獲取 NordPass，現(xiàn)在可享受 71% 的折扣和 1 個月免費！

　　作為市場上的憑證管理器之一，NordPass是一款非常寶貴的工具，尤其是對于那些想要一種簡單方法來管理所有密碼的人來說更是如此。除了使用下一代XChaCha20加密外，NordPass還利用云存儲，將用戶的所有密碼存儲在云中，這樣就不會丟失密碼了。此外，它還提供雙因素身份驗證、生物特征身份驗證（允許用戶使用面部或指紋而非主密碼登錄）、密碼生成器、數(shù)據(jù)泄露掃描儀以及其他功能，可以確保用戶在線安全。

　　Keeper可能是此榜單中最安全的密碼管理器。這一切都歸功于其“零知識”基礎設施、強大的AES 256位加密以及眾多其他安全功能。至于身份驗證，它將提供生物識別、第三方身份驗證器、Keepers簽名KeeperDNA等諸多選擇。

　　Keeper在保護密碼和其他數(shù)據(jù)方面的功能同樣不容置疑——有用于文件共享的自毀 KeeperChat，以及在暗網(wǎng)上搜索被盜密碼的Breach Watch。為了防止用戶行為損害其自身安全，安全審核還會檢查用戶所有的密碼強度并建議做適當?shù)母摹?/p>

　　作為最古老的密碼管理器之一，RoboForm主要專注于為企業(yè)提供服務，這反過來又需要最高級別的安全性。RoboForm致力于確保用戶的密碼始終保持健康和安全——報告用戶的憑據(jù)強度和具有可變變量的密碼生成器。此外，它還有自托管選項，這意味著數(shù)據(jù)僅存儲于用戶的設備上，而非外部服務器中。但是，如果用戶希望同步多個設備，也是可行的。

　　用戶需要密碼管理器嗎？

　　是的，用戶應該使用密碼管理器。它允許用戶跟蹤自己的密碼，而無需記住它們。一些密碼庫還可以一鍵生成和更改密碼，以及安全地存儲其他類型的數(shù)據(jù)（如信用卡信息）。密碼管理器還可以讓用戶與家人和朋友更安全地共享數(shù)據(jù)。這比在電子郵件或一些未加密的通訊軟件中寫下用戶登錄的詳細信息要好得多。

　　當然，用戶必須選擇值得信任的密碼管理器。用戶可以通過考察密碼管理器背后的企業(yè)來決定使用哪一個，那些信譽良好的企業(yè)安裝可疑應用程序或瀏覽器插件的可能性要小得多。不過，再完美的密碼管理器也并非“靈丹妙藥”，歸根結(jié)底，保護最有價值的信息需要的不僅僅是密碼管理器。用戶還應該使用可靠的防病毒軟件來阻止惡意軟件感染設備。同時，保持軟件更新也很重要，如同需要仔細檢查要安裝的應用程序和擴展程序一樣重要。