首页 » 新闻 >

密码管理器如何确保您的安全

2019-10-28 11:54:34来源:

牧师简·迈尔斯(Jane Myers)的丈夫史蒂夫(Steve)于2016年底在路易斯维尔医院死亡时,他在路易斯维尔大学的老板将她拉到了一边。他说:“很抱歉不得不问你这个问题,但这是考试时间,我们不知道考试在哪里。”“有什么办法可以检查他的电脑吗?”

迈尔斯不知道她丈夫的密码,但幸运的是,他仍然足够连贯,可以将密码提供给她。他没有给她(因为她不希望问)而给她的密码是其他任何密码,包括用于他的Apple帐户解锁计算机的密码。几个月后,当她试图多次猜测该密码时,她被锁定,最终不得不寻求法院命令以控制他的设备。

她说:“我最终弄清了史蒂夫的其余密码,但大多数密码都比三个尝试多了一些。”

欢迎来到在线安全的新世界。随着黑客变得更擅长窃取个人信息,我们最终将亲人(甚至我们自己)锁定在我们的在线帐户和数字设备之外。

密码管理器的原因和方式

幸运的是,使用密码管理器来保护自己和亲人的安全相对简单。这是一个程序,它将所有计算机密码存储在计算机或云端的加密保管库中,只有您可以使用创建的主密码打开。

宾夕法尼亚州北威尔士的网络安全公司Fathom Cyber​​的首席执行官James Goepel说:“使用密码管理器确实已成为一种最佳实践。”

Goepel使用Dashlane,这使他可以随时从使用的六种左右设备中的任何一种访问密码。例如,如果他在iPhone上更改了密码,则下次他从笔记本电脑登录到同一站点时,新密码将可用。此外,他说:“这给了我冗余,这样,即使我丢失了一台设备,我仍然可以从另一台设备访问密码。”

当您将密码保存在笔记本中或将密码保存在计算机上的文档中时,便利性和安全性的结合将不可用(亲爱的人可能无法解锁)。并想记住几十个密码?Fuhgeddaboudit!

Goepel说:“许多人担心安全是以牺牲便利为代价的。密码管理器实际上是相反的事情之一。”

尽管Goepel使用Dashlane,但他说诸如1Password和LastPass之类的其他顶级程序同样有效。如果您的帐户数量很少或仅使用一台设备,则某些程序是免费的。其他开源软件KeePass则完全免费。有的每年花费20至60美元。(您可以在Cnet.com和PCMag上找到有关密码管理器的评论。此外,有关网络安全的常规信息可以在Fathom Cyber​​上找到。)

攀登密码管理器学习曲线

Goepel承认,当您开始使用密码管理器时,会有一个学习过程,但这主要是因为您正在更改流程。

当他需要密码时,他打开Dashlane应用程序,复制特定的密码,然后将其粘贴到网站要求的位置。Dashlane和大多数其他程序还具有浏览器插件,使该过程更加容易。进入登录页面时,只需单击工具栏上的按钮,然后选择帐户以填写用户ID和密码字段。

如果您登录的网站尚未保存密码,密码管理器将提示您保存密码。同样,如果您更改密码,密码管理器将提供替换保管库中旧密码的功能。密码管理器甚至会为您生成一个符合任何网站要求的随机密码。

除了鼓励客户安装密码管理器外,Goepel还让他的母亲和继父在Dashlane成立。他说:“它们的密码太多,以至于我继父带着它们在笔记本上的纸上随身携带。”“他会向我抱怨说他现在有这么多电子帐户,还有很多东西要跟踪。”

Goepel说这个过程进行得很顺利,部分原因是他专注于父母最重要和最常用的帐户。他说:“我认为最初大约有15或20个帐户,并且随着时间的推移稳步增长。”

一个站点,一个密码

密码管理器还允许您执行您应该执行但可能不执行的操作,并且每个帐户都使用不同的密码。由于您只需要记住主密码,因此可以为每个帐户创建一个不同的且难以破解的密码。

这样,如果您由于银行密码遭到泄露而不得不更改其密码,则也不必更改经纪人密码,亚马逊密码和Netflix密码。

“即使您拥有一个超级强壮的,超过20个字符的密码,每次重复使用该密码,也都将自己置于危险之中,”北卡罗来纳州Bi斯麦的软件顾问Matt Ferderer说,他建议使用1Password,“所要做的就是一个安全性差的网站被黑客利用您的密码被入侵;坏人可以在世界各地出售密码,人们将在那里的每个重要网站上尝试输入密码。”

几年前,黑客在企业网络站点LinkedIn上窃取了1.17亿个帐户的登录凭据。在这些帐户中,有超过220万个帐户只有50个容易猜到的密码之一,其中包括123456,abc123和(信不信由你)密码。这些受害者很可能在互联网上使用相同的密码,这意味着他们需要花费无数小时在多个站点上更新其密码。

创建一个强密码

那么,为什么要使用强密码呢?专家说,它的长度至少应为八个字符(最好更长),并且至少应包含这四个字符类型中的三个:小写字母,大写字母,数字和特殊字符,例如感叹号或问号。它应该不包含一个共同的词或短语或像你的出生日期的任何个人信息。

另外,如果您在Google中输入词组的前几个字符时弹出一个词组,则可能应该重新考虑它。

对于不需要经常键入的主密码,费德勒建议使用完整的句子。他说:“如果您写的不是一个很流行的短语,而是一个长30个字符的句子,那么您将拥有一个易于记忆的安全密码,而且工作量很少。”“这是一个带有一些额外信用符号的示例:我妈妈的饼干在去年的州博览会上排名第一!”

如果您不确定密码是否足够强,许多在线密码检查器将对其进行分析并告诉您密码的强度。

例如,如果您在howsecureismypassword.net(由Dashlane赞助)中测试4score&7yearsago,您将知道该密码需要20亿年才能破解。但是,RoboForm的checker使用了更强大的开源检查器zxcvbn,仅将其强度评为中等。

这种差异表明您不一定必须信任此类检查器,其中最简单的检查器不会将您的密码与常用密码的数据库进行比较。实际上,根据Mark Stockley与安全公司Sophos的博客文章,结果可能是完全误导的。

他在五个密码检查器中输入了五个真正糟糕的密码,并获得了欺骗性的结果。尽管他可以使用免费软件立即破解两岁的笔记本电脑上的所有五个密码,但其中一位检查员说这五个密码都不错,而其他人则说至少其中一个密码是安全密码,或者强度中等。

这些检查员可能都认可了费德勒州立博览会的榜样。根据howsecureismypassword.net,破解需要7亿年的时间。(不精确数为1,后跟96个零。)

两要素认证

当然,黑客窃取密码的强度有多强都没有关系,就像成千上万的LinkedIn用户一样。这就是为什么安全专家建议还使用两因素身份验证的原因,在这种情况下,您必须以另一种方式标识自己才能获得对在线帐户的访问权限。(这些因素可能包括您知道的某些内容(例如密码),您拥有的某些东西(例如物理设备)以及您的某些内容(例如您的指纹)。)

在大多数情况下,两因素身份验证涉及输入通过文本发送到您的手机的特殊代码。但是,诸如Google Authenticator之类的身份验证器应用程序越来越流行。这些会显示特定于站点的代码列表,这些列表会不断更新。根据站点的不同,您可能每次登录时(最安全的选项)或仅在从新设备登录时才必须输入代码。皮尤研究中心(Pew Research Center)的一项最新研究显示,尽管两因素身份验证非常重要,但只有四分之一的美国成年人了解这一概念。

共享您的凭证

当您将密码存储在Dashlane之类的密码管理器中时,没有主密码(包括软件公司),任何人都无法访问它们。但是,如果您意外死亡(或者您只是忘记了此事),这对于您所爱的人可能是个问题。

一种选择是共享您的密码或将其记录在您所爱的人知道的某个地方,例如在您的意愿的保管箱或文件中。另一个:某些程序可让您在死者或丧失能力的情况下授予对亲人的访问权限,或随时共享对密码库中一个或多个条目的访问权限。

第三种选择是共享可以从软件内生成的恢复密钥。(这些字符串很长,您可以用来代替主密码。)“恢复密钥是获得较高舒适度的最简单方法,因为它们不会正常访问您的东西,而同时提供他们会在您发生问题时获得所需的访问权限。” Goepel说。

费德勒说:“拥有一个密码管理器,并在遇难时让一些亲人去访问是您可以做的最好的遗产规划之一,”费德勒说。“快速使用的密码管理器成为您生活中所有重要事物的重要文档,尤其是财务,保险,朋友的社交圈等等。”

这是简·迈尔斯(Jane Myers)学到的艰难的教训–每次在路易斯维尔的基督教堂联合卫理公会进行婚前咨询时,她都会分享一个教训。当她听到有人要对密码保密时,她会收到一条简单的消息:“如果您不信任该人访问您的资料,那就成问题了。”