我真的需要密码管理器吗?
我们都同意,我们的数字生活需要太多的密码。我们都遇到过 “想要阅读本文?请创建您的免费帐户进行注册!“您需要一次又一次地选择一个安全的密码并记住它。随着越来越多的内容被锁在数字围墙花园里,这种情况已经司空见惯。虽然这与自由开放的互联网理念背道而驰,但这就是网络生态系统的现状。那么,我们怎样才能让这项活动变得更加轻松愉快呢?
答案就是使用最好的密码管理器,这样你就不再需要在记忆中、浏览器中或藏在键盘下的超级秘密便签上写下多个登录凭据。使用免费密码管理器后,您只需记住一个主密码即可解锁密码保险库,其余的事情都由密码管理器来处理。
密码管理器是一种软件,可以根据用户设置的参数(大写和小写、无特殊符号等)生成强大、随机、最重要的是唯一的密码,并将其存储在一个加密安全的数据库中,该数据库被称为 “保险库”。要解密并查看加密密码,用户需要一个强大的主密码,可能还需要某种形式的多因素身份验证,如 yubikey 或 OTP 码。如果有人无意中发现了加密密码库,但又没有所需的登录数据,那么你的密码仍然是安全的,攻击者也无法使用。
简而言之:密码管理器可以安全地生成和保存您的所有密码,因此您不必担心忘记密码。使用密码管理器,您可以轻松地为所有重要的在线账户使用唯一且强大的密码,而无需重复使用相同的密码(这是绝对不允许的)。
由于密码管理器简单易用、安全性高,每个人都应该使用它。
尽管具有相同的一般功能,但密码管理器的市场已经爆炸式增长,导致在选择最佳密码管理器时出现了各种各样的功能。Ultimately,using ANY password manager increases your securityposture and adds an additional layer of protection to your accounts.一些主流密码管理器之间存在一些关键差异,我们希望对它们的用途、优点和可能存在的缺点进行说明和解释。这样,您就可以选择最适合您个人或企业需求的密码管理器:
密码管理器安全吗?
如果你是密码管理器领域的新手,你可能会问自己,密码管理器真的安全吗?答案是肯定的。Password managers are known for their security and all cybersecurity experts agree that using password managers is the best way to boost your security online.Password managers use strong encryption to protect your passwords, which is a solid defense against cybercriminals.许多密码管理器使用美国政府推荐的后量子安全加密,如 AES 256 或更高,以保护后量子世界中的敏感数据。
需要寻找的功能
根据个人喜好或安全需求,密码管理器的必备功能可能因人而异,但有几项功能是必须具备的。这些必备功能中的第一个就是生成随机密码的功能。这看似不费吹灰之力,但也有一些密码管理器使用的替代方法,即简单地将经过精心选择的密码保存在加密文件中。密码管理器应该能够创建不同长度和字符的随机密码。避免使用最常见的密码,你的账户就会更加安全。KeePassXC 就是一个很好的例子,它是一款本地密码管理器,拥有一系列用于生成安全密码的选项。只需单击一下,就能生成强大、独特和随机的密码。在生成这些随机密码时,最好确保密码长度至少为 20 个字符,但如果你不需要记住这些字符,为什么不使用大字符呢?使用密码管理器就是这么简单。
支持多因素身份验证
除了生成和保存安全密码的功能外,如果您的单一管理窗口还能包含多因素身份验证选项,那将是您生活品质的一大提升。仅有安全密码还不足以维护在线账户的安全。几乎所有在线平台都提供了添加第二个身份验证因素的选项,而且其配置并不困难。使用支持 TOTP 身份验证的密码管理器的一个好处是,你可以不再使用短信验证码,因为短信验证码并不安全,很容易被 SIM 卡交换攻击截获。该功能可以生成 TOTP 代码,在输入正确的用户名和密码后,用于确认登录。如果您希望提高安全性,我们建议您使用 Tuta 完全支持的U2F 设备,如 Yubikey。
支持密码匙或密码短语
密码匙是在不影响账户安全的前提下,解决互联网用户密码疲劳问题的最新举措。密码匙基于配对密钥加密技术工作,可在设备上创建私钥和公钥。公钥与服务器共享,私钥则安全地保存在本地设备上。在尝试登录时,相关网站会要求输入设备专用密钥,否则登录将失败。最新版本的 iOS、谷歌和微软设备都支持通行密钥,一些最好的密码管理器(如 Keeper 或 Bitwarden)也支持通行密钥。密码不会很快消失,但我们可以祈祷密码最终会被淘汰。
Tuta 直接内置了口令生成器,可以在注册新账户时使用。当然,请确保在新安装的密码管理器中保存该短语和恢复密码。
数据泄露检查
有些产品会根据数据泄露信息检查你的密码保险库,如果你的某个登录凭证在泄露事件中被曝光,就会向你发出警报。这项功能可以在您的账户可能受到攻击时给您一个很好的提示,而不需要您不断更新当天的数据泄露信息。如果你对购买提供此功能的服务不感兴趣,也可以访问HaveIBeenPwned来查看你的电子邮件地址、用户名或密码是否被泄露。(一般来说,到处粘贴你的密码并不是最好的做法,但如果你使用的用户名和密码是独一无二的,你就可以确定是否发生了泄露事件)。
应避免的功能
封闭源代码
将软件项目作为开放源代码发布已成为一种常见的良好做法。如果所有的人都能审查代码,那么就能更快地发现和修复漏洞。这种做法对于那些涉及客户数据加密和安全存储的项目尤为重要。如果公司正在开发自己的加密方案,却不公布这些代码以供公开、诚实地审查,那么你就应该提高警惕,因为我们不知道引擎盖下发生了什么,也无法证明我们的数据是否真正安全。
掠夺性定价模式
根据现有的定价和订阅模式,一些公司可能会试图锁定你的订阅,以 “解锁 “基本的安全功能。BitWarden 就是一个例子,虽然作为基于云的密码管理器,BitWarden 是一个不错的选择,但拒绝免费用户访问他们的身份验证器似乎有点误导,因为如果这些用户不愿意支付服务费,就会面临安全风险。安全应该是默认的,多因素身份验证不是奢侈品,而是必需品。
免费,但代价是什么?
许多服务确实提供免费版本的产品,但这些产品可能会缺少一些功能。云同步等某些需求可能不是您所需要的,但作为 TOTP 条目或打开密码管理器的额外身份验证步骤,2FA 支持不应被锁在付费墙后面。有些公司将功能锁定,而有些开源项目则完全免费并提供强大的功能,但可能需要一些技术诀窍或修修补补才能如你所愿。
便捷与安全之间的平衡
这在很大程度上取决于你的威胁模式,但在将密码同步到任何外部托管的云服务器时,我都会感到紧张。2022 年 8 月 LastPass 发生的漏洞事件就是一个令人担忧的例子。一名恶意行为者入侵了托管客户数据的服务器,并下载了个人信息和加密密码库。这些数据可能被用于利用被入侵的客户数据进行鱼叉式网络钓鱼攻击。更有甚者,如果LastPass的客户没有在密码库中使用强大的主密码,那么存储在密码管理器中的所有密码信息都可能被解密。诸如此类的事件对所有在云服务器环境中托管您的保险库的密码管理器都是一种威胁,因此应该考虑到这一点。
只在本地运行的服务可以完全避免此类威胁,需要对您的机器进行直接攻击才能破坏您的密码库。
对我来说,这种风险并不值得增加便利性,但我可能是那种 “偏执狂”。我更喜欢使用本地密码管理器,密码要非常强大,并有多个加密备份。如果你把写好的密码列表放在安全的保险柜里,也不可能发生这种类型的泄密事件。如果保险箱被破坏,你可能会遇到比数据泄露更大的问题。
对于加密货币等金融登录信息,这一点值得考虑。在 LastPass 发生泄密事件后,有一份报告称该泄密事件直接导致超过 3500 万美元的损失。
顶级提供商功能比较
我们的 2024 年最佳产品
前三名
1.BitwardenBitwarden 以每月 1 美元的低价甚至免费提供您所需的所有功能。他们的软件是开源的,允许社区对其代码进行审查,因此你可以相信没有任何可能影响你的安全的黑幕。
**2.1Password:**1Password 以低廉的订阅费用结合了您可能正在寻找的所有功能。个人 2.99 美元或 5 用户家庭计划 5 美元,您可以放心,您的数据是安全的,而且在必要时可以方便地与您的亲人共享。
3.KeeperKeeper 将安全密码管理和共享与在用户配置文件之间共享文件的选项相结合。如果你需要共享一份敏感文件的扫描件,不必依赖 WhatsApp,你可以在不影响隐私和安全的情况下快速发送。目前,Keeper 的月租费为 2.92 美元,它还提供 30 天的免费试用期,让你在使用之前先测试一下他们的服务。
FOSS 替代软件
**1.Pass:**Pass 是一款免费的开源密码管理器,最初是 Linux/Unix 用户的选择。Pass 软件的基线是一个命令行界面,它将每个密码存储为自己独有的加密文件。Pass 以简洁为本,是一款不加修饰的密码管理软件。如果你喜欢图形用户界面,可以使用多个附加组件;如果你想托管自己的云密码管理器,还可以启用云同步功能。这款软件非常适合有技术倾向的用户或希望学习的用户。
**2.KeePassXC:**KeePassXC 是一款开源密码管理器,适用于 Mac、Windows 和 Linux。此外,还有第三方端口可用,这样你就可以在 Android 和 iOS 上保证密码安全。KeePassXC 具备密码管理器所需的所有功能,而且完全免费。可以进行云同步,但需要自己托管。
3.Bitwarden之所以再次将 Bitwarden 列在这里,是因为他们致力于开源软件的安全性。通过公开他们的代码,用户可以放心他们的数据是真正安全的。
3 款最佳免费密码管理器
1.KeePassXC
2.Bitwarden (免费版)
3.密码
你可以加密的不仅仅是你的电子邮件!确保密码安全
希望到此为止,我们已经回答了你的问题—“我需要密码管理器吗?**“密码管理器已经成为构建强大在线安全态势的一个不可或缺的要点。**它们不仅能让你省心省力,还能创建数学上强大且独一无二的密码。无论您是选择本地服务还是跳转到云服务提供商,这种组合都能将您的账户从潜在目标的低悬果实中移除。在选择不同服务时,必须认真审视自己的威胁模式。您是否像工业化国家的情报部门一样对高级持续性威胁感兴趣?如果是,那么您的要求就会与只想为 Instagram 账户创建一个强密码的普通人大不相同。**安全不是万能的,也不是短跑。**你需要仔细判断自己的薄弱点在哪里,在便利性和安全性之间取得平衡,并意识到这一步不会是你隐私之旅的最后一步。
如果你想让自己的安全性更上一层楼,那么第一步就是将密码管理器与Tuta 这样的安全端到端加密电子邮件提供商结合起来。这样不仅可以更安全地防止黑客窃取您的密码,还能确保您的数据在静态和通过网络时的安全。在选择电子邮件服务时,还有一个重要因素需要牢记,那就是大多数服务都提供通过电子邮件重置密码的选项。通过电子邮件重设密码会严重威胁您的在线身份—如果您的电子邮件账户被黑客入侵,那么几乎所有账户(如 PayPal、亚马逊、Facebook 和 Twitter)都会被攻击者通过简单的密码重设轻松接管。因此,选择安全的电子邮件服务,并结合使用本文评测的最佳密码管理器之一,是实现顶级在线安全的最佳途径。
别忘了从今天开始使用密码管理器!
**保持安全。**🔒