VAULTAES-256 encryptedmasterbank.commail.comwork.comshop.com

密碼管理器

11 最小閱讀量安全

密碼管理器將記住 200 個唯一的強密碼這一不可能的任務替換為記住一個密碼的可實現任務。決定不在於是否使用一種架構(已經確定),而是哪種架構適合您的威脅模型:雲端同步、僅限本機或瀏覽器內建。

完整的文章正文以英文提供如下。

A 密碼管理器是憑證的加密存儲,透過主密碼(最好是第二個因素)存取。管理器根據需要產生強隨機密碼,自動將其填寫到登入表單中,並使它們在您的裝置之間保持同步。整個堆疊基於一個假設:主密碼及其派生金鑰保持秘密。

架構

每個現代密碼管理器都使用相同的加密模式:

  1. 主密碼透過慢速金鑰派生函數(PBKDF2、Argon2或scrypt)運行,產生主金鑰。故意緩慢 - 數百萬次迭代 - 使暴力猜測變得昂貴。
  2. 主金鑰加密每個保管庫加密金鑰。
  3. 加密金鑰使用 AES-256-GCM 或類似的經過驗證的加密包裝各個條目。
  4. 保管庫密文儲存在本機並(對於雲端管理器)同步到server.

伺服器永遠看不到主密碼或解開的保管庫。這稱為「零知識」—即使提供者想要或被迫解密,他們也無法解密您的資料。

雲端與本機與瀏覽器

三種架構:

  • 雲端同步(1Password、Bitwarden、Dashlane、LastPass) — 保管庫通過提供者的伺服器。您可以獲得跨裝置存取、家庭/團隊共用保管庫以及復原選項。您也信任提供者的基礎設施和程式碼。
  • 僅限本機(KeePassXC、KeePass、Strongbox) — 保管庫是您裝置上的檔案。您可以透過 Dropbox、Syncthing 或 USB 記憶棒手動同步它。最大程度的控制,更多摩擦。
  • 內建瀏覽器(Chrome、Firefox、Safari、Edge) — 密碼儲存在瀏覽器中,同步到供應商的雲端(Google/Mozilla/Apple/Microsoft)。方便的。功能不太豐富;綁定到一個瀏覽器。

LastPass 課程

LastPass——曾經占主導地位的雲端密碼管理器——在 2022 年遭受了嚴重的洩露。攻擊者竊取了加密的金庫以及每個條目所覆蓋的 URL 等元資料。加密的保管庫仍然處於加密狀態,但元資料外洩有助於攻擊者優先考慮離線攻擊哪些保管庫,並且弱主密碼是可以猜測的。這事件為業界其他人確立了三個原則:

  • 長而隨機的主密碼是不可協商的。
  • 保管庫加密金鑰必須使用具有高迭代次數的強大KDF。
  • 即使加密保管庫洩漏也很重要;元資料暴露是真正的危害。

是什麼讓主密碼變得強大

長度勝過複雜性。 5 個單字的隨機密碼(Diceware 風格 —「正確的馬電池主食海綿」)比「P@ssw0rd1!」具有更多的熵。並且更容易打字。目標是至少 70 位熵,這大約對應於 7,000 個單字清單中的四到六個隨機單詞,或 16 個隨機字元。使用者可以做出的最有用的安全投資就是用強主密碼取代弱主密碼。

管理器本身的第二個因素

每個現代密碼管理器都支援新增第二個身份驗證因素以進行解鎖。使用它。最安全的選項:

  • 硬體令牌(YubiKey、Solo、Titan)—防網路釣魚。
  • TOTP驗證器應用程式(Aegis、Raivo、1Password自己的)。
  • P透過驗證器應用程式推播通知—方便但難以接收審核。密碼管理器上的

SMS 2FA 是可以接受的,但由於 SIM 交換攻擊,這是最弱的選項。

金鑰轉換

密碼(由作業系統或密碼管理器管理的 FIDO2 憑證)正在逐漸取代許多高流量站點的密碼。現代密碼管理器將密鑰與密碼一起儲存和同步。中期未來:舊網站的密碼和新網站的金鑰都在同一個保管庫中管理。主密碼不會消失;它仍然是信任的根源。

常見故障模式

密碼管理器使用者受到威脅的三種方式:

  • 釣魚主密碼。 假登入頁面捕捉它。硬體令牌第二個因素完全阻止了這種情況。
  • 裝置上的惡意軟體。 鍵盤記錄器會在您鍵入主密碼時擷取它。沒有純軟體的修復方法;這就是為什麼即使使用密碼管理器,端點衛生也很重要。
  • 失去存取權限。 忘記主密碼,遺失唯一的設備,未配置復原選項。設定列印的緊急復原工具包並進行實體儲存。

除了儲存之外,一個好的密碼管理器還能為您做什麼

  • 為每個網站產生強密碼,具有可設定的字元集和長度
  • :具有可設定的字元集和長度
  • 20X20X20X207 HaveIBeenPwned k-anonymity API)
  • 僅在匹配的域上填充憑證,擊敗大多數網路釣魚嘗試
  • 將安全票據、支付卡、身分證件儲存在同一日加密保管庫中PLZ3304PLZ3X34334PLZX4334PLZX4334PLZX34334PLZX3430適合家庭或團隊,無需洩露個人密碼

即使是任何信譽良好的管理器的免費套餐也比重複使用密碼或將其寫入筆記本要好得多。

常見問題

將我的所有密碼儲存在一個地方是否安全?
是的,如果該地方是設計合理的密碼管理器,具有強大的主密碼並啟用了 2FA。管理器外洩的風險遠小於密碼重用的風險,而密碼重用幾乎是所有憑證填入攻擊所利用的風險。數學上壓倒性地支持使用經理。
最安全的密碼管理器是什麼?
在雲端管理器中,1Password、Bitwarden 和 Proton Pass 都享有很高的聲譽。對於僅限本地,KeePassXC 是開源標準。 Apple、Google 和 Mozilla 的瀏覽器內建管理器也是合理的選擇——功能不太豐富,但設計精良。
如果我忘了主密碼怎麼辦?
如果沒有恢復選項,您將無法存取每個條目。信譽良好的管理人員提供應急包下載、社交恢復或基於生物識別/設備的恢復。在實際需要之前至少配置一項。如果沒有恢復,零知識架構意味著即使是提供者也無法幫助您。
我應該信任瀏覽器內建的密碼管理器嗎?
它們比重複使用更好。主要限制:您被鎖定在一種瀏覽器上,與非瀏覽器應用程式的整合很差,審核功能較弱,跨平台同步取決於瀏覽器供應商的帳戶。對於大多數臨時用戶來說,瀏覽器管理器是可以接受的;對於擁有嚴重威脅模型或許多帳戶的任何人來說,專門的經理會更好。
VPN 可以取代密碼管理器嗎?
不——他們解決不同的問題。 VPN 可隱藏您的網路身分;密碼管理器可保護您在網站上的帳戶身分。兩者都用。一些 VPN 提供者捆綁了密碼管理器(NordPass 與 NordVPN、Proton Pass 與 Proton VPN);捆綁雖然方便,但產品之間的隱私邊界仍然是獨立的。
密碼管理器解釋:它們如何運作、為什麼主密碼很重要以及哪種型號適合您