密码管理员


在当今的数字时代,黑客在获取对您的帐户和数据的访问权限方面正变得越来越复杂。除了破坏数据库和利用软件漏洞外,另一个攻击媒介是您的弱密码.

基本的数字自卫要求您为所有帐户使用不易破解的强而独特的密码。但是,您如何生成强密码,同时又能在多台设备上保持所有内容井井有条和安全?输入密码管理员.

在本指南中,我们将深入探讨安全密码管理的各个方面,并研究最佳的密码管理器.

为什么需要密码管理器

您可能想知道您是否真的需要密码管理器。您可能是少数几个人,他们使用一个简单的密码进行所有操作,却从未遭到过任何帐户黑客攻击,这是其中之一。如果是这样,那么恭喜您。你是一个幸运的人.

不幸的是,过去对我们有用的东西已经不够了。让我们说说为什么...

您需要更强的密码

曾经有一段时间,您可以在所有内容上使用一个简单的密码。您的狗的名字,您孩子的生日,就像以前工作时一样简单。但是,如今的在线骗子已经提高了游戏水平。今天,想要入侵您帐户的黑客:

  • 具有比以前强大得多的计算机和更快的Internet连接。这样一来,他们可以比过去更快,更困难地攻击您的帐户(请参阅“蛮力攻击”).
  • 他们对人们使用的密码种类更加精明。很容易找到人们使用的最常用密码的字典(请参阅字典攻击).
  • 他们有更多的信息可以使用。今天,您可以在Dark Web上购买大量有关人员的信息。黑客很有可能立即尝试进入您的银行帐户 已经知道 你的狗的名字还有你孩子的生日还有您的第一辆车的车牌号。以及关于您的其他任何此类信息可能以某种方式进入了计算机.

换句话说,除非您已经在使用强密码,否则您所使用的密码将无法保护您.

想知道“强密码”是什么样的吗?我将在下一节中告诉您.

您不应该相信密码的记忆

您不应该信任自己的记忆的原因是,您需要使用强密码。虽然强密码的确切规范会根据您检查的源以及他们选择密码的时间而有所不同,但为了确保当今世界的安全,我将强密码定义为:

“密码至少包含16个随机字符。它必须包含字母,数字,标点符号和特殊字符。”

以下是一些强密码的随机示例,长度不超过20个字符:

  • _hS6PW8arsgH!WP7t&2
  • aM!269-9tThyEU ^ u>标清
  • 7p4N * vMgMP_KGupA * 8R

尽管不容易做到,但有些技巧可以让您记住此类密码.

安全专家表明,您需要 不同 每个重要帐户的密码 (我会在稍后说明原因)。现在变得很清楚,记住密码并不是众多强大唯一密码的一种选择.

为什么每个重要帐户都需要一个独特而强大的密码

对所有内容使用一个强密码是一个坏主意。这样做可以使想要访问您所有帐户的人更轻松。网站和企业一直被黑客入侵.

每年都有数十亿条记录被盗,其中包含有关受害者的各种信息。这些记录中的许多包含未加密形式的密码。许多人的帐户密码被盗不是因为自己的疏忽,而是由于数据泄露而被盗-这正在变得越来越普遍.

现在,如果您为所有帐户使用了相同的密码,并且黑客在数据泄露中获得了该密码(或从他人那里购买了密码),那么他们基本上就拥有一个主密钥来访问您的帐户.

因此,要聪明,并为每个重要帐户使用唯一且安全的密码。一个好的密码管理器很容易做到.

最佳密码管理员

目前,我们正在测试,研究和审查目前市场上最好的密码管理器。因此,随着我们的努力,本节将继续更新,并完成更多的密码管理器评论.

这是我们使用过的最好的密码管理器:

1. Bitwarden –最佳的全方位密码管理器

自2016年以来,Bitwarden一直存在,目前是最佳密码管理器的我的首选。它是完全开源的,已通过审核,并提供了一些出色的应用程序和浏览器扩展.

最好的密码管理器图片来源:Bitwarden博客

Bitwarden将凭据安全地存储在云中,但也可以以只读状态脱机使用。此功能提供了跨设备的出色兼容性,只需登录帐户即可同步和访问密码。加密在本地执行,数据安全存储在Bitwarden服务器上。而且,如果您不想在Bitwarden服务器(云)上存储任何内容,则可以托管自己的Bitwarden实例.

免费版 应该为大多数用户提供足够的功能,但是您也可以升级到其他付费计划.

https://bitwarden.com/

更新资料:有关更多详细信息,请参阅我们的Bitwarden评论.

2. KeePassXC –本地托管的密码管理器

与Bitwarden将密码安全地存储在云中不同,KeePassXC将密码存储在本地,并且不需要Internet连接。这是他们网站上KeePassXC的简要说明:

KeePassXC是KeePassX的社区分支,KeePassX是KeePass Password Safe的本地跨平台端口,其目标是通过新功能和错误修复来扩展和改进它,以提供功能丰富的,完全跨平台的现代开放源代码密码经理.

KeePassXC项目是开源的,具有定期更新和改进,您可以在其博客上关注.

https://keepassxc.org/

在测试和审查其他选项之后,关于最佳密码管理器的这一部分将继续更新,以获取更多信息。.

为什么不应该在浏览器中存储密码

大多数网络浏览器都会为您存储密码。这似乎是跟踪密码的理想方法,但这实际上是一个坏主意。原因如下:

  • 即使您使用的是安全浏览器,浏览器的密码安全性也没有那么好。通常,这些密码以明文形式存储。网上也提供了一些工具,这些工具可以使黑客访问您的计算机(物理或远程访问方案)并查看/窃取存储在浏览器中的密码.
  • 您的浏览器只会记录您在网页中输入的用户名和密码。它不会帮助您生成密码,或者告诉您密码是否牢固,或者提醒您您已经在其他10页上使用了该密码。.

阻止浏览器保存密码的方法如下:

  • :点击 设定值. 在出现的窗口的“自动填充”部分中,单击 密码. 关闭 提供保存密码自动登录 选项。如果您在此页面的“已保存密码”部分中有任何条目,请删除它们.
  • 火狐浏览器:点击 优先. 在浏览器窗口左侧的菜单中,选择 隐私 & 安全. 清除 要求保存网站的登录名和密码 选项。点击 保存的登录名 按钮。在出现的对话框中,单击 移除所有 纽扣.
  • 勇敢:点击 设定值. 在出现的页面上,选择 其他设置. 在出现的菜单中,选择 隐私权与安全性. 在自动填充部分中,单击 密码. 关闭 提供保存密码自动登录 选项。如果您在此页面的“已保存密码”部分中有任何条目,请删除它们.

密码管理器如何工作

密码管理器最基本的形式是浏览器插件,扩展程序或操作系统上的专用应用程序。每当您填写用户名和密码时,它们都会记录您输入的信息以及您输入的页面。从那时起,每当您访问该网页时,密码管理器都会为您提供用户名和密码.

任何优秀的密码管理器都将使用强大的加密技术将这些信息安全地存储在加密的存档中,这种加密技术不会受到浏览器遭受的各种攻击。除此之外,密码管理器还可以为您提供一系列其他功能。这是您在任何密码管理器中都应寻找的核心功能/特性.

使用方便

如果您的密码管理器不易使用,则不会使用它。以下是一些重要的可用性功能:

1.自动捕捉

自动捕获是密码管理器记录您输入到页面中的登录信息的功能。大多数密码管理器都可以执行此操作,因为大多数登录页面均设计有该管理器可以识别的用户名和密码字段.

但是某些页面使用非标准的数据输入字段,否则会使密码管理器难以正确记录数据。例如,我的一家银行做一些奇怪的事情,导致密码管理器无法正确记录我的密码。经理填写登录表单后,我需要使用正确的数据手动编辑“密码”字段.

捕获信息后,应用程序应该能够在下次访问该页面时自动填充信息.

2.自动填充

自动填充是在登录屏幕或其他安全类型页面上填充用户信息的功能。如果与该页面相关联的用户帐户超过一个,则密码管理器应提供某种方式来选择您希望其在填充数据时使用的用户帐户,而不是自动填充页面。.

3.自动登录

这是输入用户信息并实际上自动登录站点的能力。与自动填充一样,当与一个特定页面相关联的帐户超过一个时,自动登录应该为您提供一种在用户帐户之间进行选择的方法。.

4.密码生成

密码管理器的目的是记住您创建的供在线使用的强密码,而人类通常不擅长生成强密码。这意味着为了获得最佳安全性,您需要某种方式来创建非常强壮的密码.

有一些在线站点可以帮助您做到这一点(请参阅:如何创建一个真正的强密码)-但是您的密码生成器也可以提供帮助。在下图中,我正在使用Bitwarden生成一个强大而独特的密码,其中包含字符,数字以及大小写字母.

密码生成器

但是您也可以创建自己的.

如何创建一个真正的强密码

创建一个真正安全的密码并不难.

最广泛推荐的技术之一是使用密码短语而不是密码。密码短语是一长串随机单词,而不是一长串随机字符。例如,像这样: 投资组合拥有一些自信

(可选)您可以消除单词之间的空格,添加数字或特殊字符,等等。由于它们是由随机单词而不是随机字符组成的,因此与等长密码相比,您可以轻松记住长密码短语.

看起来使用密码短语将消除使用密码管理器的需要。但是这种情况类似于密码。记住一个安全密码是可行的。记住您将需要的5、10、20或更多个安全密码短语是一个完全不同的项目。让密码管理器为您创建和管理安全密码要容易得多.

但是,请不要完全排除密码短语。很快就会看到,在一个地方使用密码短语是一个完美的选择.

让您的密码管理器为您创建安全的密码更有意义。您已经必须信任管理者,并且这样做就意味着密码可以在设备上生成,而不必通过Internet传送给您。.

让密码管理器在您的设备上为您生成强密码是最安全的方法.

从浏览器导入密码

虽然这不是一个好主意,但将网站的密码存储在浏览器中总比没有好。但是,既然您将开始使用密码管理器,则需要一种将所有这些密码从浏览器移至管理器的方法。如果您必须手动进行操作,那可能真是头疼.

如果您选择可以从浏览器导入密码的密码管理器,则将很有帮助。导入密码后,您可能需要做一些清理工作(删除不再使用的帐户,或者为帐户设置更强的密码)。无论如何,如果将数据从浏览器导入到密码管理器,然后从浏览器中删除所有保存的密码,则数据将更加安全。.

密码管理器的安全性和私密性

使用密码管理器绝对是必经之路。当然,将所有密码和其他数据存储在其中之后,最好确保密码管理器是安全的和私有的。虽然无法保证任何软件都是100%安全和私有的,但是这里有一些要寻找的特征.

1.安全访问密码管理器

您必须先登录密码管理器,然后才能使用它。那是给定的。并且考虑到所有可以登录到密码管理器的人都可以访问您的所有机密(或至少密码),因此您将需要使用真正安全的密码.

提示:创建一个长密码短语,以用于登录密码管理器以提供额外的保护.

2.两因素认证

对于某些用户,两因素身份验证(2FA)可能是一个不错的功能。对于那些不熟悉该术语的人,这里有一个快速定义:

两因素身份验证(2FA)是保护帐户或系统的第二层安全保护。在授予用户访问帐户或系统的权限之前,用户必须经过两层安全保护。 2FA通过在用户登录之前要求用户提供两种类型的信息,例如密码或PIN,电子邮件帐户,ATM卡或指纹,从而提高了在线帐户的安全性。第二个因素是附加项目.

如您所见,可以使用多种方法来提供第二个因素。通常,最重要的第二因素是物理设备,例如YubiKeys或FIDO U2F安全密钥。虽然必须将物理设备连接到智能手机或笔记本电脑才能访问密码,但麻烦的是,这迫使想要窃取您的数据的人亲自获得该安全密钥。尽管这比使用电话号码或电子邮件地址作为第二要因更为安全,但如果您无法访问物理设备(中断,丢失等,并且未正确备份),它可能会造成问题。.

3.强大的加密

您的密码管理器最终将在您的设备,云中或更可能在两个地方的数据库中保存大量重要的个人信息。这意味着它应该使用安全的端到端加密.

这是Bitwarden的一个例子:

Bitwarden使用AES 256位加密以及PBKDF2来保护您的数据.

AES是加密技术的标准,被美国政府和世界各地的其他政府机构用于保护绝密数据。通过正确实施和强大的加密密钥(您的主密码),AES被认为是坚不可摧的.

PBKDF2 SHA-256用于从主密码获取加密密钥。然后将此键加盐并散列。与PBKDF2一起使用的默认迭代计数是客户端上的100,001次迭代(可从您的帐户设置配置此客户端迭代数),然后在存储在我们的服务器上时再进行100,000次迭代(默认情况下总计为200,001次迭代).

确认您的密码管理器使用了严格的加密标准.

4.开源代码

开源代码是任何人都可以查看和使用的代码。开源代码的优点是人们可以并且确实可以检查代码,查找隐藏的后门或其他可能损害产品安全性的问题(在这种情况下为密码管理器).

尽管开源并不一定意味着安全,但它被认为比专有软件更安全,因为在该专有软件中,外部人员无法看到幕后情况。.

5.安全审核

可以肯定的是,看到软件开发人员在其密码管理器中添加的所有安全性和加密功能。但是要真正知道密码管理器是否安全,您将需要查看该产品的安全审核。.

安全审核需要外部公司执行诸如尝试入侵产品,审核源代码中是否存在问题以及分析产品中如何使用加密协议的工作。.

如果一家公司对其密码管理器进行定期的安全审核,则它可能比未经经常测试的产品更安全。例如,这是Bitwarden的安全审核.

6.安全或隐私问题的历史记录

要检查的另一件事是密码管理器是否具有安全或隐私问题的历史记录。尽管几乎没有软件可以抵抗攻击,但您可能需要考虑以前的问题。例如,最近的一份报告发现了一个漏洞,该漏洞影响了几个主要的密码管理器(1Password,Dashlane,KeePass和LastPass),可能使您的主密码以明文形式暴露在计算机内存中。.

尽管在某些情况下,此类问题可能使黑客能够完全访问密码管理器中存储的所有数据,但使用密码管理器仍然比将密码存储在浏览器中或使用不安全的密码更安全。.

支持的平台和浏览器

如果您无法在所有设备(移动设备,台式机,平板电脑等)上使用密码管理器,那么密码管理器将几乎没有用。寻找密码管理器时,请确保它支持您使用的所有设备,操作系统和Web浏览器.

最好的密码管理器通常提供:

  • 适用于Windows,Mac OS和Linux的本机桌面应用程序
  • 适用于Android和iOS的移动应用
  • Web浏览器扩展(适用于最受欢迎的浏览器)

密码管理器浏览器扩展Bitwarden支持这些浏览器.

定价(免费与付费)

与大多数事情一样,价格也很重要。您需要选择一种定价的产品,以便可以在任何需要的地方使用它而不会损坏。除此之外,您可能希望选择提供免费或试用版的产品.

由于您将不断与新的密码管理器进行交互,因此在您做出永久承诺之前,请对其进行测试。如果可能,请试用您感兴趣的任何密码管理器的免费或试用版.

密码管理器可能需要的其他功能

除了其核心功能之外,密码管理器还尝试通过添加其他功能来脱颖而出。这是一个需要照顾的地方,因为某些产品提供具有所有基本功能的免费或低价版本,以及具有您可能永远不会使用的出色功能的高级版本.

这是您可能需要寻找的其他几个功能。由于只有您才能知道它们对您的特定情况的相对重要性,因此我按字母顺序列出了它们:

1.填写应用密码

虽然大多数密码管理器仅在网页上填写密码和其他用户信息,但其中一些人将密码管理更进一步。这些产品实际上可以将您的登录数据输入到设备上运行的应用程序中。例如,尽管大多数密码管理器都可以在Gmail登录页面上输入用户数据,但有些可以 将您的凭据输入桌面应用程序, 例如GoToMeeting或您喜欢的游戏.

2. Authenticator应用功能

这是2FA的一个转折点。一旦登录到某些密码管理器,它们就可以充当其他产品2FA中的第二个因素。我不确定这在常规使用中的实用性,特别是如果您已经在此设备上使用物理2FA密钥的话.

3.数字遗留支持

如果您死了并且密码管理器中存储了重要信息,该怎么办?您的继承人将如何获得这些信息?事实证明,许多当前一代的密码管理器都内置了某种数字旧功能,以使您的继承人更轻松地访问您的东西.

3.易于从其他密码管理器切换

您可能有一天想切换密码管理器。如果您认为这很可能,您可能需要调查密码管理器是否可以其他密码管理器可以导入的格式导出数据。.

查看密码管理器中的导出选项。它可以用于导出数据的文件格式越多越好.

4.加密文件存储

许多密码管理器已在其产品中添加了某种形式的加密文件存储。这样,您就可以将整个文档(而不只是用户凭据)存储在经理的数据库中。在某些情况下,此功能是产品内置的,而在其他情况下,它是可选的附件.

5.密码强度分析和更新

能够生成强壮的安全密码非常棒。但是,一旦您改用新的密码管理器,您可能会发现自己有很多不太强壮,不太安全的密码与好的密码混合在一起.

Bitwarden具有一项很酷的功能,它将根据数据库中因数据泄露而暴露的密码来检查您的密码。如果您使用以下密码之一,则会收到警告:

bitwarden不安全的密码警报

一些产品可以分析数据库中所有密码的强度,并自动为它们生成更好的密码。有些甚至可以帮助您进行更新.

6.共享访问

通常,与任何人共享您的密码管理器不是一个好主意。但是,在某些情况下,例如在业务或团队设置中,您可能希望共享对部分或全部密码数据库的访问权限.

一些密码管理器提供了执行此操作的结构化功能(而不是简单地告诉某人您的主密码)。您可以找到所有内容,包括用户数量有限的家庭计划,具有很大灵活性的公司规模计划以及共享仪表板,可让您轻松高效地控制每个人的访问权限.

7.出行方式

作为国际旅行者,我发现在旅行时使用的设备上管理密码非常棘手。我不希望某些边防人员访问我的所有密码,但是从旅行设备上(然后稍后再回来)从密码中获取我想要的密码是一件很头疼的事.

某些产品具有旅行模式,该模式可让您指定旅行时设备上保留的密码,旅行前应自动删除密码,并在旅行后恢复密码。.

利用“旅行模式”需要进行一些设置,但是如果您旅行很多,这可能是节省时间,提高隐私性的选项.

8.网页表单填写

许多密码管理器除了填写您的用户名和密码外,还填写了整个Web表单。他们可能能够在表格的适当字段中自动输入您的邮寄地址,电话号码,信用卡号等。.

尽管输入此类信息的最安全方法是在需要时手动进行输入,但这可能很慢且容易出错。.

许多站点和服务都提供将所需的数据存储在自己的数据库中,并为您预填充字段。这无疑是最快,最简单的方法。但是,当您查看每年被盗,泄露或以其他方式泄露的个人数据记录的数量(每年数十亿条此类记录)时,很明显,这不是一个好主意.

速度,准确性,便利性和安全性之间的最佳平衡可能是将所有这些数据输入您的密码管理器,并让它为您填写Web表单.

结论

总结了“还原隐私”密码管理器指南。我们将竭尽所能,在审查所有选项时,为本指南提供最新和相关的信息,以及最好的密码管理器,以保持最新状态.

密码管理器是您在数字时代应使用的许多重要隐私工具之一,但这并不是全部。同样重要的是安全的浏览器可以阻止跟踪,而良好的VPN服务可以隐藏您的IP地址和位置.

无论您需要什么密码管理,都可以使用密码管理器来完成工作.

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me