都2022年了,密码管理器还安全吗?
2022-03-21
来源:安全牛
尽管密码管理器(Password Manager,简称“PM”)很可靠,且绝大多数网络安全专家都同意密码管理器确实是保护密码最安全的方法之一。但是随着攻击者技术和手段的不断迭代和更新,以及最新安全漏洞的出现,整个安全行业不可避免地会受到冲击,这其中也包括PM行业。本文将重新审视密码管理器,为大家解答以下重要问题:密码管理器如何保护用户的密码?使用密码管理器有什么风险?以及用户是否应该使用密码管理器。
密码管理器如何保护用户的密码?
密码管理器可以通过多种方式保护用户的密码,这也是它们使用起来比较安全的原因。即便它们像其他任何事物一样,存在被黑客入侵的风险,但只要用户采取必要的预防措施,这种情况发生的可能性极低。毕竟,攻击者使用社会工程或网络钓鱼要比实际破解一个强密码容易得多。
那么,是什么让密码管理器如此安全?
首先,密码管理器通过加密来保护用户的密码。AES 256位加密是军方使用的行业标准,具有非凡的实力。破解这个密码可能需要一生的时间,因此暴力攻击成功的机会几乎为零。
其次,密码管理器通过使用零知识架构(zero-knowledge architecture)来保护用户的数据。这意味着用户的密码在离开设备之前已被加密。当它们最终出现在企业的服务器上时,提供商没有工具来破译它们。
大多数密码管理器会要求用户使用主密码来访问存储库。如果它是安全的,用户可以确保其余密码足够安全。话虽如此,还是建议使用双因素身份验证(two-factor authentication,简称“2FA”)来增强数据库的安全性。此外,使用指纹或面部扫描等生物特征认证也是不错的选择。
最后,密码管理器具有多项旨在保护用户密码的功能。有些会提醒用户定期更改密码并评估其强度;有些会扫描暗网以检查用户的登录信息是否在线暴露;还有一些两者兼而有之,且具备其他额外功能。
使用密码管理器有什么风险?
谁也没有办法保证100%的在线安全。即使用户使用可靠的密码管理器,也应该了解其存在的某些风险:
? 所有敏感数据集中在一处,这就好比“将鸡蛋放在一个篮子里”,而且,这个“篮子”里还可能包含信用卡详细信息以及安全票据。如果发生数据泄露,可能需要耗费大量时间来阻断所有支付选项,并更改所有账户的密码,而这些时间足够攻击者造成重大破坏。
? 备份并非总是可行。如果服务器出现故障,用户将唯一的希望寄托在提供商身上,期待他们已经制作了备份副本;如果用户将存储库在一台设备上保持离线状态,这种风险会成倍增加。同样地,将自己的备份保存在未受保护的磁盘驱动器或保护不佳的云服务上也无济于事。
? 并非所有设备都足够安全。黑客利用相同的漏洞便能在一次攻击中获取用户的所有登录信息。如果用户设备感染了恶意软件,密码管理器也可能会被黑。在这种情况下,用户输入主密码会被记录下来,从而使网络犯罪分子获得对存储数据的完全访问权限。这就是密码管理器用户应该首先投资保护他们所有的设备以降低风险的原因所在。
? 不使用生物特征认证。生物识别身份验证是增加额外安全防护层的好方法。如果用户将密码管理器配置为请求指纹或面部扫描,那么有人侵入存储库的机会就会变得非常渺茫。而且,触摸指纹扫描仪也比输入主密码容易得多。
? 糟糕的密码管理器。如果一款密码管理器具有较弱的加密功能,提供的功能很少,并且用户反馈很差的话,就不应该再使用它。
? 忘记主密码。在用户是唯一知道主密码的人,同时密码管理器没有重置功能的情况下,可能需要逐个恢复每个登录。或者,可以将主密码(或提示)存储在某个物理上安全的地方,例如保险箱。
尽管存在上述所有问题,但一款好的密码管理器仍然极难攻破。AES-256位加密、“零知识”技术的使用,以及使用双因素身份验证的可能性,使密码管理器成为比目前更安全、更方便的选择。在安全方面,对用户而言最重要的是主密码,因为必须创建一个主密码才能访问所有其他密码。因此,请务必确保它是一个强大的密码组合,必须包含至少12个字符长度,包含各种符号,并且没有规律无法猜测。
如果我们将安全性归结为加密和双因素身份验证,那么基于浏览器的密码管理器是非常安全的。但其实基于浏览器的密码管理器安全性不高。
首先,对于新手来说,基于浏览器的密码管理器在一个特定的浏览器上运行。如果用户从Safari迁移至Chrome或Firefox,可能会遇到导出和导入问题。此外,用户无法在不同的浏览器上同步存储库。所有这些通常会使用户将密码存储在不安全的位置。
其次,并非所有基于浏览器的密码管理器都有密码生成器。如果没有,用户将不得不手动创建它们。最后,浏览器密码管理器无法检测到弱密码或重复使用的密码。如果用户想要知道登录信息是否暴露在暗网上,必须在单独的工具上手动检查。
与基于浏览器的密码管理器相比,基于云的密码管理器更安全,因为它们具有更多增强安全性的功能。
首先,大多数基于云的密码管理器都会为用户的存储库提供备份,如果服务器出现问题,用户可以恢复数据库的最新版本。
其次,基于云的密码管理器不仅允许用户存储密码,还允许用户存储安全票据和信用卡详细信息,这样用户就可以保护所有敏感信息。
再次,基于云的密码管理器会检测重复使用的密码和弱密码,生成强密码,并检查用户的账户是否存在泄露,它还允许用户轻松地跨服务共享存储库条目。
最后,基于云的密码管理器适用于多种浏览器和操作系统。这就意味着用户不必考虑如何安全地从数据库中复制和粘贴某些内容。
与其他两种类型相比,基于桌面的密码管理器可能是最安全的,但具体效果完全取决于用户。
这种密码管理器会将用户数据存储在本地设备上。该设备不必连接到互联网,因此攻击者入侵它的可能性几乎为零。最有可能(现实可能仍然很低)的入侵场景是用户无意中安装了键盘记录器并输入了主密码。然而,这种情况也可以通过使用生物特征认证来避免。
显然,这样的设置有其缺点,这源于基于桌面的密码管理器的本质。对于新手来说,用户必须注意定期备份。否则一旦用户设备出现无法修复的故障,用户存储库也基本报废。更重要的是,用户将无法从其他设备获取密码,而且共享它们也不容易。
密码管理器被黑的实际案例
2015年,LastPass检测到对其服务器的入侵行为,黑客获取了用户的电子邮件地址和密码提醒等信息。不过,此事并未导致任何已知的损害,因为即使用户使用了弱主密码并且攻击者破解了它,他们仍然需要通过电子邮件验证访问权限;
2016年,白帽黑客和安全专家报告了大量安全漏洞,受影响的密码管理器包括LastPass、Dashlane、1Password和Keeper。在大多数情况下,攻击者仍然需要使用网络钓鱼来诱骗用户泄露一些数据;
2017年,LastPass报告了其浏览器插件中的一个严重漏洞,并要求订阅者不要使用它。不过,它在不到24小时的时间内就完成了修复;
2019年,在Dashlane、LastPass、1Password、KeePass的代码中发现了严重漏洞。不过,该漏洞仅适用于Windows 10用户,且仅在安装恶意软件的情况下才能被利用。这一次,用户也没有遭受任何已知的伤害。
如上所见,针对这些密码管理器的黑客攻击都没有那么严重。大多数情况下,被黑客入侵并不会导致用户所有密码落入坏人之手。然而,即使是最安全的密码管理器,也可能存在容易忽视的严重漏洞。
我们都知道,使用密码管理器后,用户密码是本地加密的。密码管理员无法破译用户数据,因为它们实施“零知识”策略。因此,如果黑客闯入用户的存储库,看到的也只是加密信息。
攻击者通过窃取、使用恶意软件或记录击键来侵入用户物理设备的可能性很小。即使采用了这些手段,他们仍然需要用户的主密码。如果用户使用指纹或面部ID等生物特征数据进行验证,其成功的机会将变得更低。
如果攻击者在用户设备上安装了恶意软件,最好的办法是重新安装操作系统并更改存储库中的所有密码,并尽可能启用双因素身份验证。这样一来,用户会注意到身份验证应用程序何时收到异常请求。
获取 NordPass,现在可享受 71% 的折扣和 1 个月免费!
作为市场上的凭证管理器之一,NordPass是一款非常宝贵的工具,尤其是对于那些想要一种简单方法来管理所有密码的人来说更是如此。除了使用下一代XChaCha20加密外,NordPass还利用云存储,将用户的所有密码存储在云中,这样就不会丢失密码了。此外,它还提供双因素身份验证、生物特征身份验证(允许用户使用面部或指纹而非主密码登录)、密码生成器、数据泄露扫描仪以及其他功能,可以确保用户在线安全。
Keeper可能是此榜单中最安全的密码管理器。这一切都归功于其“零知识”基础设施、强大的AES 256位加密以及众多其他安全功能。至于身份验证,它将提供生物识别、第三方身份验证器、Keepers签名KeeperDNA等诸多选择。
Keeper在保护密码和其他数据方面的功能同样不容置疑——有用于文件共享的自毁 KeeperChat,以及在暗网上搜索被盗密码的Breach Watch。为了防止用户行为损害其自身安全,安全审核还会检查用户所有的密码强度并建议做适当的更改。
作为最古老的密码管理器之一,RoboForm主要专注于为企业提供服务,这反过来又需要最高级别的安全性。RoboForm致力于确保用户的密码始终保持健康和安全——报告用户的凭据强度和具有可变变量的密码生成器。此外,它还有自托管选项,这意味着数据仅存储于用户的设备上,而非外部服务器中。但是,如果用户希望同步多个设备,也是可行的。
用户需要密码管理器吗?
是的,用户应该使用密码管理器。它允许用户跟踪自己的密码,而无需记住它们。一些密码库还可以一键生成和更改密码,以及安全地存储其他类型的数据(如信用卡信息)。密码管理器还可以让用户与家人和朋友更安全地共享数据。这比在电子邮件或一些未加密的通讯软件中写下用户登录的详细信息要好得多。
当然,用户必须选择值得信任的密码管理器。用户可以通过考察密码管理器背后的企业来决定使用哪一个,那些信誉良好的企业安装可疑应用程序或浏览器插件的可能性要小得多。不过,再完美的密码管理器也并非“灵丹妙药”,归根结底,保护最有价值的信息需要的不仅仅是密码管理器。用户还应该使用可靠的防病毒软件来阻止恶意软件感染设备。同时,保持软件更新也很重要,如同需要仔细检查要安装的应用程序和扩展程序一样重要。