选择适合你的密码管理器
最后更新: August 18, 2023
密码泄露是常有的事,如果你在每个网站上都使用相同的密码,那么坏人就有可能在其他地方使用该密码进入你的账户。保护自己的最好的方法是在每个位置都使用不同的密码(如果可以,再加上双因素认证)。密码管理器是一种程序,它可以让创建和存储独特且安全性强的密码变得更加简单。
密码管理器可以生成独一无二的长密码,将这些密码存储在通常被称为“密码保险库”的地方,然后在需要登录网站时为你填写用户名和密码。它用一个“主密码”来保护所有密码,这意味着你只需记住一个密码,而不是几十个各不相同的密码。根据密码管理器的管理方式,这意味着你必须尽可能提高主密码的安全强度,并对密码管理器账户设置双因素认证。在大多数情况下,密码管理器还能在不同设备(如手机和电脑)之间同步密码,因此你可以从任何设备登录。
什么时候不建议使用密码管理器 anchor link
一个好的密码管理器会尽可能减少潜在的安全问题,但我们要记住:
- 使用密码管理器会造成单点故障。
- 密码管理器会成为对手的明显攻击目标。
因此,你要有一个强大的主密码,并尽可能启用双因素认证。但是,如果有强大的对手(如政府)盯上了你,就必须谨慎选择合适的密码管理器,并将其设置为最高安全性。
如果你出于某种原因不想使用密码管理器,还是要对每个账户使用独特且唯一的密码。我们认为把密码写下来并存放在钱包等安全的地方,比死记硬背要好得多。
如何选择合适的密码管理器? anchor link
每个人对密码管理器的需求都不一样,适合一个人的可能不适合另一个人。大多数优质的密码管理器,即使是付费的,也会提供一定的试用期,我们建议您在有时间的情况下充分利用试用期这项服务。
商业模式
密码管理器背后的公司必须以某种方式赚钱。可能是通过订阅费,也可能通过企业用户,但向其他人提供免费或廉价的软件。研究一下该公司提供哪些订阅计划,哪些功能可能需要付费,哪些工具是免费的。对于付费订阅计划,要特别小心第一年后价格跳涨的计划。一些付费密码管理器可能会提供家庭计划,你可以和家人一起以优惠价格使用这些服务。这类计划通常会为每个人提供私人保险库,但也可以在需要时轻松共享密码。这对公用事业或流媒体服务等共享账户很实用。请记住,账户管理者可能有权恢复(并因此泄露)家庭成员的密码,因此账户管理者应该是你信任的人。
支持双因素认证
由于密码管理器是用一个密码守卫所有重要密码,因此最好选择支持双因素认证的密码管理器。有了双因素认证,如果有人窃取了你的主密码,还需要第二因素才能进入你的账户。有些密码管理器可能还提供其他新颖的安全形式,比如 1Password 的“Secret Key”,值得进一步研究。
浏览器扩展程序和对各种平台的支持
大多数密码管理器都可以在你需要获取密码的任何地方使用,包括 Windows、Mac 或 Linux 的桌面应用程序,以及 Android 或 iPhone 的移动应用程序。在一台设备上创建的密码,可以在其他设备上使用。大多数密码管理器还支持桌面浏览器扩展程序,也就是进入登录页面时,密码管理器会自动填写密码,无需复制粘贴。如果有强大的对手盯上了你,你可以选择不启用浏览器自动填充功能,因为浏览器扩展程序是最常出现密码管理器漏洞的地方。但对大多数人来说,自动填写密码的功能不仅仅是一种方便,更是防范网络钓鱼的重要保护措施。
端到端加密备份
由于大多数密码管理器都是通过在线存储你的密码库来同步设备间的密码,因此其公司对这些密码库进行端到端加密至关重要。任何人,甚至是提供密码管理器的公司,都不能访问你的密码。在选择密码管理器之前,请仔细查看其功能和文档,确保含有关于加密方法的详细信息。
目前流行的大多数密码管理器都无法禁止同步到云端。不过,也有少数更专业的密码管理器赋予用户密码库在线存储位置(以及是否存储)的控制权,其中最知名的当属 KeePassXC。需要注意的是,虽然 KeePassXC 是开源的,但它并没有经过安全审核,而且市场上存在很多名称类似的项目(包括 KeePass、KeePassX 和 KeeWeb),请仔细甄别。如果密码管理器没有密码同步或在线备份功能,日常使用这类密码管理器会很困难。
独立的安全审计和漏洞悬赏计划
目前流行的一些密码管理器会对其软件进行独立的安全审计。虽然这些审计并不完美,只是提供了特定时间的软件快照,但却表明开发者正在为确保软件安全付出积极的努力。有时这些报告会被公开,有时则不会。如果开发者提供漏洞悬赏计划,为独立安全研究人员提供途径来提交他们可能遇到的问题,这也可以算作额外加分项。参与安全审计的密码管理器包括:
这份清单并不详尽,也不应被视为建议,只是提供关于此类审计的大致情况。
最好搜索一下有关密码管理器的新闻报道,确保它没有经常出现安全缺陷、漏洞、隐私侵犯或其他可能让你犹豫要不要用的新闻。
积极的软件更新
花几秒钟查看移动应用程序的更新历史,确保该应用程序频繁更新,支持最新的操作系统。积极开发并不总是只关乎功能,它还关乎确保软件在每次更新(包括小更新和大更新)后都能在你用的操作系统中顺畅运行,也表明开发人员一直在关注安全更新问题。
可迁移性
当你决定更换密码管理器时,好的密码管理器将会允许你迁移登录名和密码信息。虽然这听起来很复杂,但在密码管理器之间迁移密码通常很简单,只需导出一个包含所有密码的 CSV 文件,然后将该文件导入新的密码管理器即可。请查看密码管理器的文档,了解更具体的操作方法。
浏览器内置的密码管理器怎么样? anchor link
谷歌、苹果和 Mozilla 都提供了各自版本的密码管理器。虽然从技术上讲,你通常可以跨操作系统、应用程序和设备访问存储在这些密码管理器中的密码,但谷歌和苹果的解决方案往往在你使用其浏览器(谷歌的 Chrome 或苹果的 Safari)或操作系统(安卓、ChromeOS、iOS 或 macOS)时效果最佳。Mozilla 的密码管理器只能在火狐浏览器中使用,不能轻易集成到其他浏览器中。其他网络浏览器也可能提供类似的密码管理器,但在使用前一定要研究清楚它是如何加密数据的。
基于浏览器的选项有时还缺少独立软件提供的额外功能,比如加密笔记、存储安全问题答案(应考虑使用随机答案)、记住在哪里使用过账户单点登录(比如使用谷歌账户登录服务)以及强大的家庭密码共享选项。
最好的密码管理器就是你会使用的那一个,因为它们已经很好地集成到了操作系统中,如果你以前从未使用过密码管理器,基于浏览器的选项会更容易上手。而且由于它们都集成到了各自的浏览器中,因此提供了网络钓鱼保护,不存在浏览器扩展程序潜在的不安全问题。不过,它们的默认安全性各不相同:苹果的 iCloud Keychain 默认是端到端加密的,但谷歌的密码管理器不是。取而代之,谷歌提供了一种启用口令来开启“设备上加密”的方法,但你必须自己手动跳转到设置中开启该功能(建议这么做)。Mozilla 提供有关火狐浏览器如何处理加密的详细信息。