密码管理器安全吗?

最近,我们听说许多很受欢迎的密码管理器都发生了漏洞问题。而且,过去也曾发生过安全漏洞事故,超过 200 万用户受到影响。遗憾的是,这只是最近发生的众多案例中的几件。所以很自然地,在承诺使用任何密码管理器之前,特别是在使用免费服务前,用户会寻求安全性信息。

什么是密码管理器?

也许您不熟悉,密码管理器是一种将密码和其他凭据存储在加密保管库中的软件。您可以使用您的主密码访问这个加密保管库。就是在这一点上,人们开始质疑密码管理器的安全性。 如果有人掌握了我的主密码,会发生什么?如果我忘记了我的密钥密码,会发生什么?密码管理器供应商是否掌握着我的解密密钥?可能还有更多的问题,这取决于用户对技术有多精通。

那么,为什么安全性很重要?

存储在保管库中的凭据的安全性取决于上述问题的答案。如果您的主密码被公开或加密不专业,所有其他用户名和密码也会被泄露。这就是密码管理器很重要的原因。请核对以下关键的安全因素,您需要在注册任何密码管理器之前考虑到这些因素。当然,可能会有更多因素影响您的凭据安全。但以下几点是很好的起点。

关键的安全因素

安全性需要与可用性和不同的密码管理器提供的各类功能相平衡。根据具体功能,更多的功能可能意味着更容易出现漏洞。然而,当您质疑安全性时,请确保您考虑到以下几点。

  • 客户端加密。客户端加密可确保最高级别的安全性,因为信息在离开用户设备之前已经加密。敏感数据在“保管库”中进行本地加密,这个保管库存储于终端用户设备及密码管理器服务器上。这种情况下,密码管理器完全不知道您存储在其服务器上的信息。作为用户,信息和解密密钥一样,对您有重要的意义。即使密码管理器受到威胁,其他人也无法解密数据并查看内容。

  • 主密码和修复。主密码生成加密密钥并认证对安全保管库的访问。换句话说,它是密码存储的通道。这就是为什么您的密码管理器对此一无所知是很重要的。诚然,这让您的密码修复变得更复杂。因为供应商无法查找主密码、重置主密码或创建新密码。但是,这样确实提高了安全性水平,进一步确保该服务严肃对待您的数据安全。修复仍然是可能的,但并不是通常的“输入您的电子邮箱,我们会向您发送提醒”这种方式。因此,请确保您做好功课,查阅主密码修复流程。如果密码管理器能够向您发送您的主密码提醒,那么很有可能您的数据是不安全的。

  • 多因素认证。这种方法使用两种不同因素的组合来确认用户声明身份:您知道的东西、拥有的东西或您的身份。它需要只有您才能访问的第二条信息(如数字代码),以便在每次登录时认证您的身份。在某些情况下,供应商使用您的设备或/和位置身份认证,而不是使用 2FA。这一解决方案提供了额外一层安全性。供应商鼓励其用户启用多因素认证是一个伟大的标志。这意味着公司遵守了最佳安全性实践。如果攻击者以某种方式发现您的主密码,他不太可能也有权访问有效的 2fa 令牌。多因素认证极大降低了未授权访问密码管理器账户的几率。

  • 加密算法。这是用户应该注意的最重要的一点——密码管理器使用加密保护其用户的保管库。算法的种类繁多。然而,大多数密码管理器倾向于坚持黄金标准——AES。AES 是一种对称算法,大多数情况下与 128 位和 256 位密钥一同使用。例如,美国政府对秘密(非机密)信息使用 AES-128,对绝密(机密)信息使用 AES-256。因此,它被大家称为“军用级加密”。这是加密服务中应用最广的一种算法。然而,技术巨头最近开始将 AES 算法替换为一种前所未有的算法——ChaCha20。它同样提供 256 位密钥,因此与 AES 一样安全,但由于 ChaCha20 是基于软件的,因此速度相当快。您可以在我们的博客文章中阅读了解更多加密算法的内容。

为什么选择 NordPass?

安全的密码管理器是对您一无所知的管理器。我们的“一无所知”政策保障了只有您才会知道您保管库中的内容。NordPass 也提供可选的双因素认证,增加了额外一层安全性。如果您没有主密码或修复代码,您将无法访问您的保管库。 在选择密码管理器时,考虑到这些功能十分重要。但是,用户应该注意的最重要的一点是加密。大多数密码管理器使用 AES-256,虽然它是一种可靠且事实上牢不可破的算法,但我们认为,ChaCha20 才是未来的趋势。这种算法快速、安全,而且与 AES 不同,它能够抵御时序攻击。

没有万无一失的方法,以确保您永远不会被黑客攻击。但是,如果您选择了一个值得信赖的密码管理器,您的在线账户将永远安全。

Benjamin Scott
验证作者
Ben 是我们的技术奇才。他会分析有难度的主题,并用一种简洁的语言传达给读者。闲暇时他喜欢竞赛,因此,他喜欢参加各种马拉松和铁人三项比赛。