許多網路安全專家認為,使用密碼管理器是確保擁有強密碼的最佳方法。 一個強大且獨一無二的密碼 適用於您的每個線上帳戶。儘管有些人低估了這些工具的價值。
對對手而言,密碼管理程式代表著一個核心漏洞——它們是高度敏感資訊的寶庫,由一個可能遺失、被盜或被破解的主密碼保護。
- 最好的密碼管理軟件 為了保障您的線上帳戶安全。
- LastPass、1Password 和其他密碼管理程式可能會被駭客攻擊:該怎麼辦?
那麼誰是對的呢? Tom's Guide 團隊採訪了多位網路安全專家,並就目前密碼管理解決方案的優缺點對他們進行了調查。
以下是他們對這些備受爭議的技術工具的看法,以及一些關於如何降低將所有密碼保存在一個地方所帶來的風險的技巧。
安全專家因其密碼管理程序而受到讚揚。
並非所有安全專家都偏好使用密碼管理器,但依賴密碼管理器的人卻無法想像沒有密碼管理器的世界。波士頓安全分析師、Safr.me 執行長羅伯特·西西里亞諾就是一個典型的例子。他表示,自己擁有超過 650 個活躍密碼,沒有密碼管理器根本無法運作。
「如果沒有密碼管理器,用戶就會使用弱密碼,而且無法管理密碼,」西西里亞諾在一封電子郵件中寫道。 「他們會為所有重要帳戶使用同一個密碼,這無疑會導致帳戶被盜。」這凸顯了使用強大的密碼管理工具來保護敏感資料的重要性。
但即使是西西里亞諾本人——他曾強調使用密碼管理器並無不妥——也在採取措施,盡可能降低將所有密碼集中儲存的風險。這些預防措施對於提升資訊安全至關重要。
他解釋說,他會記住最重要的帳戶(例如網上銀行)的登入訊息,但其餘密碼都儲存在基於網路的密碼管理器中。這種記憶和儲存相結合的方式體現了一種平衡的安全策略。
“沒有人能記住所有的密碼。”
莫里斯‧塔布什 (Maurice Tabush) 是紐約一家 IT 顧問公司 Tabush Group 的負責人,他指出,僅僅依靠密碼進行保護存在固有的風險。 您的數位身份他認為,鑑於這種不完善的現實,用戶應該盡最大努力保護自己的密碼。
對塔布什來說,理想的解決方案是使用密碼管理器。
塔布什在電子郵件中解釋說:“不可能使用同一個用戶名和密碼來訪問所有網站和服務,因為每個網站或服務都有特定的密碼要求。沒有人能記住所有不同的用戶名和密碼組合。”
塔布什強調密碼管理器對他自己和他的客戶(大多是擁有數十個線上帳號的中小型企業)的重要性。他更傾向於使用 Siber Systems 公司的 RoboForm,這是一款適用於 Windows 和 Mac 系統以及 iOS 和 Android 行動裝置的密碼管理應用程式。
Tabush RoboForm 是一款理想的密碼管理器,因為它可在所有裝置上運行,包括桌上型電腦、筆記型電腦、iPhone 和 iPad。這款基於 Web 的密碼管理器將密碼儲存為加密文件,因此即使 Tabush 裝置被盜,竊賊也無法存取其登入資訊。這為防止帳戶被盜和資料被盜提供了額外的保護。
數位科技的陰暗面
當然,對於每一位堅持密碼管理器不可或缺的專家,也總會有另一位專家寧願終生不使用密碼管理器。這種分歧反映了人們對資料安全的合理擔憂。
這是總部位於蒙特婁的網路安全顧問公司 Digital Locksmiths 的共同創辦人兼技術長 Terry Cutler 的觀點。
在一次電子郵件訪談中,卡特勒表示:「我一點也不喜歡密碼管理器。如果這個工具被攻破,你所有的代幣都會被盜。」卡特勒認為,潛在的風險遠大於收益,尤其是在網路攻擊日益複雜化的今天。
位於俄勒岡州波特蘭市的網路安全公司 Tripwire 的安全研發總監泰勒·雷戈利 (Tyler Regoli) 同意卡特勒的觀點。他認為,密碼管理器可能弊大於利,尤其對於缺乏創建安全密碼專業知識的家庭用戶而言。
里戈利補充說:「密碼管理器是社會將不良習慣轉移到電腦上的一種方式。把密碼『寫下來』是不可接受的,所以我們轉而將它們『儲存』在電腦上。『儲存』只不過是『寫下來』的數位化版本。」里戈利解釋說,依賴單一的密碼管理器會造成中心漏洞,使其成為攻擊者的理想目標。他建議採取更好的安全措施,例如為每個帳戶使用強密碼和唯一密碼,並盡可能啟用雙重認證。
“我不信任線上密碼管理器。”
區分安全工具和不安全工具並非易事。正如ReliaQuest安全策略總監Ken Westin所指出的,我們很難判斷密碼管理器的安全性究竟如何。
韋斯汀在一封電子郵件中寫道:“就我個人而言,我不信任在線密碼管理器。不是因為我認為它們不安全,而是因為我不知道它們的安全性如何,它們如何存儲我的信息,以及我的數據是否得到了妥善加密。”
出於這種疑慮,韋斯汀表示他不會將最敏感的資訊儲存在基於網路的密碼管理器中。對於管理金融帳戶和電子郵件帳戶的密碼,韋斯汀建議使用離線工具,他認為敏感密碼的安全性需求與潛在風險隔離。
韋斯汀表示:「為了最大程度地保障安全,這些服務(金融帳戶和電子郵件帳戶)的密碼應該儲存在加密的離線密碼管理應用程式中,例如KeePass。這類應用程式需要身份驗證才能打開,並且會定期進行安全備份。」這樣可以確保對這些重要資訊的存取得到充分保護。
西雅圖地區安全隱私公司Prevendra的執行長克里斯托弗·伯吉斯建議,任何不信任密碼管理器的人都可以手動記錄密碼。這種方法可以完全掌控敏感資料。
「手動密碼系統很容易實現,只需要兩本筆記本,」伯吉斯說。 「在第一個筆記本裡,寫下你的帳戶資訊——服務名稱、網址、用戶ID和序號。在第二個筆記本裡,在序號旁邊寫下你的密碼和任何身份驗證備註。把第二個筆記本放在安全的地方,當你忘記密碼時就查看它。」這種方法雖然簡單,但對於那些喜歡直接掌控密碼的人來說,卻忘記密碼是一個可行的選擇。
需採取的安全預防措施
雖然我們採訪的許多專家對密碼管理器持有強烈的看法,但也有相當一部分安全專家持中間立場。他們認為這些程式是有用的工具,但並非完美無缺或無法破解。
正如跨國防病毒公司 Sophos 的首席研究科學家 Chester Wisniewski 在一封電子郵件中指出的那樣,那些沒有明智地選擇密碼管理工具的人最終可能會交出「統領所有工具的戒指」。
Wisniewski建議尋找“知名且值得信賴的應用程式。這些應用程式應該在本地加密數據,而不是依賴第三方進行加密。我個人比較喜歡LastPass和KeePass。”
總部位於安大略省滑鐵盧的網路安全公司 APrivacy 的創始人兼執行長 Cedric Génot 也強調了在決定使用哪種密碼管理軟體時,可靠的資料加密的重要性。
Gino解釋說,如果你選擇的密碼管理器將資料儲存在雲端,而不是儲存在你的本機電腦上,那麼你應該密切注意你的資訊儲存的國家/地區,以及除了密碼管理器服務之外,還有誰可以存取這些資訊。
Tripwire 安全高級總監 Lamar Bailey 認為,個人應該尋找除了加密之外還具有安全功能的密碼管理程序,這些功能可能有助於保護使用者的線上身分。
貝利在一封電子郵件中補充道:“許多密碼管理程式會提醒用戶哪些網站已被入侵,或者哪些網站受到嚴重安全漏洞(例如 Heartbleed)的影響。”
比利接著說,關於密碼管理程序,最重要的是要記住用於保護該工具的主密碼。
比利強調:“任何密碼管理器的安全性都取決於你的主密碼。因此,用戶應該始終確保他們的密碼管理器密碼非常強,並經常更改它。”
評論被關閉。