如果您经过艰苦的设置密码管理器的麻烦,您可能会认为自己不受黑客和网络犯罪分子的窥探。
您错了。
是的,密码管理器在不断进行的保护自己安全的斗争中是一种有价值的工具,但它们并非故障安全或防白痴,也无法提供足够的保护。
密码管理器不足以单独保护您的密码的四个原因。
1。密码管理器是黑客的圣杯吗?
密码管理器非常安全吗?是。您能明确指出没有黑客能够破解系统并获得其中数百万用户密码的访问权吗?
否。
考虑一下:密码管理器服务对于黑客来说是一个巨大的诱人前景。如果他们可以破坏密码库的外壁,则可以使用无数的宝藏。他们将继续尝试闯入。这是不可避免的。
让我们以LastPass为例。在过去的五年中,网络犯罪分子两次攻击服务器。每次,该公司都坚决要求其用户只需要更改其帐户的主密码,并且密码库仍然是安全的。
但是这些黑客证明存在安全漏洞。授权人员获得访问权只是时间问题吗?可能是
2。专家说密码管理器存在严重缺陷
2014年,安全研究人员发现LastPass,RoboForm,My1login,PasswordBox和NeedMyPassword都具有多个危险的安全缺陷。
最令人担忧的缺陷允许黑客使用小书签直接从LastPass用户那里窃取纯文本密码,而用户或公司都不知道有什么问题。
LastPass还存在一个缺陷,即网站上的恶意代码可以窃取只要黑客知道用户的电子邮件地址,用户的整个加密密码保险库就可以使用。 ,用户名以及在其上输入密码的任何URL。
感谢服务提供商已修复了这些错误,但相信它们现在是完美的很愚蠢。
广泛采用不安全的密码管理器可能会使情况变得更糟:向Web身份验证生态系统添加一个新的未经测试的单点故障。
p>
—李志伟,何华伦,Devdatta Akhawe和Dawn Song,皇帝的新密码管理器:基于Web的密码管理器的安全性分析
的作者,您相信密码管理器会提供一些最重要的详细信息。把所有的鸡蛋放在同一个篮子里是不明智的。
3。云数据库与本地数据库
您将注意到我上面讨论的五项服务全部基于Web。如果您使用本地密码管理器(例如KeePass或1Password),请不要误以为是安全感;该研究只研究了基于Web的选项。
有人认为本地经理比基于云的经理本质上更安全。黑客更难获得进入,更难于窃取数据库。
但它们并非万无一失。我们都知道台式机用户面临的安全威胁:键盘记录器,潜伏在公共Wi-Fi网络上的黑客,无尽的恶意软件等等。如果您很不幸地发现自己受到攻击,那么本地保存的密码数据库可能是黑客窃取的第一批东西。
如果您的数据库保存在移动设备上怎么办?如果您丢失了设备,它很容易落入错误的手中。是的,它是经过加密的,但是如果您将应用设置为仅需要主密码或指纹来访问数据库,那么加密就不值钱了。
4。您的设置可能会使您容易受攻击
我刚刚简要地谈到了这一点。密码管理器有许多可以调整的设置。其中一些使服务更加安全。但是,许多密码都是为了方便起见而设计的-启用它们会使您更容易受到攻击。
例如,当您尝试访问自己的个人凭据时,LastPass不会自动提示您输入主密码。保管库(设置>高级设置>重新提示输入主密码)。
此外,大多数服务的移动应用程序都允许您禁用指纹和/或密码身份验证每次成功登录后最多24小时。不要做您会保留24小时的网上银行登录时间来保存一些点击吗?
当然,请注意使用该服务的内置共享服务共享密码的人-也许他们的设置会保留您的帐户被暴露?确保您的朋友和家人知道安全隐患。
请勿使用快捷方式。相反,要花时间研究服务的高级设置,并使它们尽可能强大。
密码管理器:使用还是避免?
密码管理器比存储所有密码更好吗?您在Excel工作表上的详细信息,还是对每个网站使用相同的凭据?毫无疑问。但是,它们是否如您所愿相信的安全性尚有待商.。
大多数人使用这些服务既方便又安全。但是这样做可能会损害您自己。我不会告诉您停止使用它们,但请谨慎操作。例如,也许您应该将密码分配给多个管理员?
请记住,最重要的是您的大脑无法替代。如果您可以创建一个强大的代码,并针对每次登录进行略微调整,那么您将获得比任何密码管理器都更高的安全性。
您信任密码管理器吗?在下面的评论中让我们知道。
