密码有许多问题:太短、太复杂、太常使用、太多了记不住。斯坦福大学现在使用数字密钥代替登录/密码,以便广大学生、员工和教授访问大学网络。IT团队正在考虑使用无密码解决方案,以减轻管理访问和身份的负担。
个人可以使用密码管理器来兼顾安全和便利。然而,这些服务有自身的安全风险。下面基于四位技术新闻记者各自的经验和分析来阐述密码管理器的优缺点。
密码管理器的优点
技术记者Rob Pegoraro先尝试使用LastPass,随后改用为记者们提供免费服务的1Password。他还将iCloud Keychain用于一些帐户;至于一些不大重要的登录,他使用谷歌内置到Chrome和Android中的密码管理服务。他认为,端到端加密服务是记住许多复杂密码的理想选择。
他说:“与人脑或浏览器的自动填充功能相比,密码管理器存储密码来得更可靠更安全——只需您设置好让它记住复杂的密码,启用两步骤验证即可。最后一道防线不能通过短信来实现,短信很容易遭到SIM交换帐户攻击;每款可靠的密码管理器都应通过USB安全密钥来提供该功能,这种安全密钥无法被网络钓鱼攻击伪造。”
Pegoraro的确对密码管理器作了一个重要的补充:他并不将最重要帐户的密码保存在密码管理器中。
IT咨询公司总裁David Strom多年来一直使用LastPass来存储数百个登录信息。
“我不停地换着使用Mac、Windows笔记本和iPhone,我可以从所有三种设备访问所收集的密码。”
Strom表示,这项服务的好处压倒了相关的安全风险。
他说:“由于我拥有受MFA保护的可靠的主保险库密码,因此我有理由相信自己很安全,比在诸网站之间重复使用密码安全得多。”
密码管理器还可以帮助志愿者技术支持。
Pegoraro说:“作为向亲戚提供技术支持的主要来源,我还意识到,密码管理器中的安全笔记功能是存储家人最重要密码的好地方,以防他们忘记密码或需要帐户方面的帮助。”
Pegoraro希望苹果为台式机Mac添加生物特征识别身份验证机制,那样他不必每次都要输入主密码才能解锁1Password。
他说:“在我的Windows笔记本上使用这项Mac优先的服务来得比较轻松真是愚蠢。”
密码管理器的缺点
试过几款密码管理器并撰写泄密文章之后,技术记者Sean Michael Kerner采用了一种技术含量低的方法来管理其密码:纸张。
他说:“我对任何密码管理器绝对没有信心,这不可避免地存在风险。纸张技术含量低,但管用。”
Kerner使用YubiKey进行多因子身份验证。
ExtremeLabs公司的创始人Tom Henderson不使用密码管理器,因为他认为使用密码管理器的公司是黑客的主要攻击目标。
Henderson说:“依靠密码管理器会成为习惯,这带来了危险的安全感。”
Henderson使用四个YubiKey作为密码的辅助手段,补充道他认识该公司的所有者和创始人。
他说:“可能很方便,但是所有可能的设备使用同样的密钥可能会带来不便。”
管理密码的贴士
除了使用多因子身份验证外,Henderson建议将密码和安全证书保存在文本文件中,并取个易于记住的名称,比如good_recipes.txt或school_dates.txt。用户应经常更新密码,删除该文件的旧版本。
他说:“在闪驱上拷贝一份,放到别处保管起来,那样万一发生不测,至少你还有密码。”
几位新闻记者建议每月关注一次HaveiBeenPwned,看看有效密码是否泄露。
Strom表示,他希望LastPass与该网站集成起来,防止用户使用泄露的密码,1Password提供这项功能。
转载请注明:IT运维空间 » 安全防护 » 到底是加强安全还是加大风险?细述密码管理器的优缺点
发表评论