都2022年了，密碼管理器還安全嗎？

儘管密碼管理器（Password Manager，簡稱“PM”）很可靠，且絕大多數網路安全專家都同意密碼管理器確實是保護密碼最安全的方法之一。但是隨著攻擊者技術和手段的不斷迭代和更新，以及最新安全漏洞的出現，整個安全行業不可避免地會受到衝擊，這其中也包括PM行業。本文將重新審視密碼管理器，為大家解答以下重要問題：密碼管理器如何保護使用者的密碼？使用密碼管理器有什麼風險？以及使用者是否應該使用密碼管理器。

密碼管理器如何保護使用者的密碼？

密碼管理器可以通過多種方式保護使用者的密碼，這也是它們使用起來比較安全的原因。即便它們像其他任何事物一樣，存在被黑客入侵的風險，但只要使用者採取必要的預防措施，這種情況發生的可能性極低。畢竟，攻擊者使用社會工程或網路釣魚要比實際破解一個強密碼容易得多。

那麼，是什麼讓密碼管理器如此安全？

首先，密碼管理器通過加密來保護使用者的密碼。AES 256位加密是軍方使用的行業標準，具有非凡的實力。破解這個密碼可能需要一生的時間，因此暴力攻擊成功的機會幾乎為零。

其次，密碼管理器通過使用零知識架構（zero-knowledge architecture）來保護使用者的資料。這意味著使用者的密碼在離開裝置之前已被加密。當它們最終出現在企業的伺服器上時，提供商沒有工具來破譯它們。

大多數密碼管理器會要求使用者使用主密碼來訪問儲存庫。如果它是安全的，使用者可以確保其餘密碼足夠安全。話雖如此，還是建議使用雙因素身份驗證（two-factor authentication，簡稱“2FA”）來增強資料庫的安全性。此外，使用指紋或面部掃描等生物特徵認證也是不錯的選擇。

最後，密碼管理器具有多項旨在保護使用者密碼的功能。有些會提醒使用者定期更改密碼並評估其強度；有些會掃描暗網以檢查使用者的登入資訊是否線上暴露；還有一些兩者兼而有之，且具備其他額外功能。

使用密碼管理器有什麼風險？

誰也沒有辦法保證100%的線上安全。即使使用者使用可靠的密碼管理器，也應該瞭解其存在的某些風險：

•  所有敏感資料集中在一處，這就好比“將雞蛋放在一個籃子裡”，而且，這個“籃子”裡還可能包含信用卡詳細資訊以及安全票據。如果發生資料洩露，可能需要耗費大量時間來阻斷所有支付選項，並更改所有賬戶的密碼，而這些時間足夠攻擊者造成重大破壞。

•  備份並非總是可行。如果伺服器出現故障，使用者將唯一的希望寄託在提供商身上，期待他們已經制作了備份副本；如果使用者將儲存庫在一臺裝置上保持離線狀態，這種風險會成倍增加。同樣地，將自己的備份儲存在未受保護的磁碟驅動器或保護不佳的雲服務上也無濟於事。

•  並非所有裝置都足夠安全。黑客利用相同的漏洞便能在一次攻擊中獲取使用者的所有登入資訊。如果使用者裝置感染了惡意軟體，密碼管理器也可能會被黑。在這種情況下，使用者輸入主密碼會被記錄下來，從而使網路犯罪分子獲得對儲存資料的完全訪問許可權。這就是密碼管理器使用者應該首先投資保護他們所有的裝置以降低風險的原因所在。

•  不使用生物特徵認證。生物識別身份驗證是增加額外安全防護層的好方法。如果使用者將密碼管理器配置為請求指紋或面部掃描，那麼有人侵入儲存庫的機會就會變得非常渺茫。而且，觸控指紋掃描器也比輸入主密碼容易得多。

•  糟糕的密碼管理器。如果一款密碼管理器具有較弱的加密功能，提供的功能很少，並且使用者反饋很差的話，就不應該再使用它。

•  忘記主密碼。在使用者是唯一知道主密碼的人，同時密碼管理器沒有重置功能的情況下，可能需要逐個恢復每個登入。或者，可以將主密碼（或提示）儲存在某個物理上安全的地方，例如保險箱。

儘管存在上述所有問題，但一款好的密碼管理器仍然極難攻破。AES-256位加密、“零知識”技術的使用，以及使用雙因素身份驗證的可能性，使密碼管理器成為比目前更安全、更方便的選擇。在安全方面，對使用者而言最重要的是主密碼，因為必須建立一個主密碼才能訪問所有其他密碼。因此，請務必確保它是一個強大的密碼組合，必須包含至少12個字元長度，包含各種符號，並且沒有規律無法猜測。

哪種型別的密碼管理器更安全？

目前，有三種主要的密碼管理器型別，它們各有優缺點。

基於瀏覽器的密碼管理器

安全性	安全
示例	瀏覽器內建密碼管理器（Chrome、Firefox、Safari）

優點：非常易於使用且免費；

缺點：沒有跨瀏覽器同步、並非所有都能生成密碼、很少測量密碼長度。

如果我們將安全性歸結為加密和雙因素身份驗證，那麼基於瀏覽器的密碼管理器是非常安全的。但其實基於瀏覽器的密碼管理器安全性不高。

首先，對於新手來說，基於瀏覽器的密碼管理器在一個特定的瀏覽器上執行。如果使用者從Safari遷移至Chrome或Firefox，可能會遇到匯出和匯入問題。此外，使用者無法在不同的瀏覽器上同步儲存庫。所有這些通常會使使用者將密碼儲存在不安全的位置。

其次，並非所有基於瀏覽器的密碼管理器都有密碼生成器。如果沒有，使用者將不得不手動建立它們。最後，瀏覽器密碼管理器無法檢測到弱密碼或重複使用的密碼。如果使用者想要知道登入資訊是否暴露在暗網上，必須在單獨的工具上手動檢查。

基於雲的密碼管理器

安全性	高
示例	Zoho   Vault、LastPass

優點：非常方便、從任何地方都能輕鬆訪問、雲備份、依賴網際網路；

缺點：第三方伺服器儲存使用者的資料、無法確保使用者的儲存庫安全。

與基於瀏覽器的密碼管理器相比，基於雲的密碼管理器更安全，因為它們具有更多增強安全性的功能。

首先，大多數基於雲的密碼管理器都會為使用者的儲存庫提供備份，如果伺服器出現問題，使用者可以恢復資料庫的最新版本。

其次，基於雲的密碼管理器不僅允許使用者儲存密碼，還允許使用者儲存安全票據和信用卡詳細資訊，這樣使用者就可以保護所有敏感資訊。

再次，基於雲的密碼管理器會檢測重複使用的密碼和弱密碼，生成強密碼，並檢查使用者的賬戶是否存在洩露，它還允許使用者輕鬆地跨服務共享儲存庫條目。

最後，基於雲的密碼管理器適用於多種瀏覽器和作業系統。這就意味著使用者不必考慮如何安全地從資料庫中複製和貼上某些內容。

基於桌面的密碼管理器

安全性	最高
示例	Bitwarden、KeePass、1Password、Dashlane

優點：最安全的選擇、不需要連線網際網路；

缺點：無法從其他裝置訪問、複雜的密碼共享、手動備份。

與其他兩種型別相比，基於桌面的密碼管理器可能是最安全的，但具體效果完全取決於使用者。

這種密碼管理器會將使用者資料儲存在本地裝置上。該裝置不必連線到網際網路，因此攻擊者入侵它的可能性幾乎為零。最有可能（現實可能仍然很低）的入侵場景是使用者無意中安裝了鍵盤記錄器並輸入了主密碼。然而，這種情況也可以通過使用生物特徵認證來避免。

顯然，這樣的設定有其缺點，這源於基於桌面的密碼管理器的本質。對於新手來說，使用者必須注意定期備份。否則一旦使用者裝置出現無法修復的故障，使用者儲存庫也基本報廢。更重要的是，使用者將無法從其他裝置獲取密碼，而且共享它們也不容易。

密碼管理器被黑的實際案例

2015年，LastPass檢測到對其伺服器的入侵行為，黑客獲取了使用者的電子郵件地址和密碼提醒等資訊。不過，此事並未導致任何已知的損害，因為即使使用者使用了弱主密碼並且攻擊者破解了它，他們仍然需要通過電子郵件驗證訪問許可權；

2016年，白帽黑客和安全專家報告了大量安全漏洞，受影響的密碼管理器包括LastPass、Dashlane、1Password和Keeper。在大多數情況下，攻擊者仍然需要使用網路釣魚來誘騙使用者洩露一些資料；

2017年，LastPass報告了其瀏覽器外掛中的一個嚴重漏洞，並要求訂閱者不要使用它。不過，它在不到24小時的時間內就完成了修復；

2019年，在Dashlane、LastPass、1Password、KeePass的程式碼中發現了嚴重漏洞。不過，該漏洞僅適用於Windows 10使用者，且僅在安裝惡意軟體的情況下才能被利用。這一次，使用者也沒有遭受任何已知的傷害。

如上所見，針對這些密碼管理器的黑客攻擊都沒有那麼嚴重。大多數情況下，被黑客入侵併不會導致使用者所有密碼落入壞人之手。然而，即使是最安全的密碼管理器，也可能存在容易忽視的嚴重漏洞。

我們都知道，使用密碼管理器後，使用者密碼是本地加密的。密碼管理員無法破譯使用者資料，因為它們實施“零知識”策略。因此，如果黑客闖入使用者的儲存庫，看到的也只是加密資訊。

攻擊者通過竊取、使用惡意軟體或記錄擊鍵來侵入使用者物理裝置的可能性很小。即使採用了這些手段，他們仍然需要使用者的主密碼。如果使用者使用指紋或面部ID等生物特徵資料進行驗證，其成功的機會將變得更低。

如果攻擊者在使用者裝置上安裝了惡意軟體，最好的辦法是重新安裝作業系統並更改儲存庫中的所有密碼，並儘可能啟用雙因素身份驗證。這樣一來，使用者會注意到身份驗證應用程式何時收到異常請求。

2022年最佳密碼管理器

以下是在多個評論網站獲得高分的較安全的密碼管理器：

NordPass

雲端儲存空間	3 GB（NordLocker 應用程式）
雙因素身份驗證	有
平臺和瀏覽器外掛	Windows、macOS、Linux、Android、iOS、Chrome、Firefox、Safari、Opera、Brave、Vivaldi 和 Edge
當前優惠政策	獲取 NordPass，現在可享受 71% 的折扣和 1 個月免費！

作為市場上的憑證管理器之一，NordPass是一款非常寶貴的工具，尤其是對於那些想要一種簡單方法來管理所有密碼的人來說更是如此。除了使用下一代XChaCha20加密外，NordPass還利用雲端儲存，將使用者的所有密碼儲存在雲中，這樣就不會丟失密碼了。此外，它還提供雙因素身份驗證、生物特徵身份驗證（允許使用者使用面部或指紋而非主密碼登入）、密碼生成器、資料洩露掃描器以及其他功能，可以確保使用者線上安全。

Keeper

雲端儲存空間	無
雙因素身份驗證	有
平臺	Windows、macOS、Linux、Android、iOS
瀏覽器外掛	Chrome、Firefox、Safari、Opera、Internet Explorer

Keeper可能是此榜單中最安全的密碼管理器。這一切都歸功於其“零知識”基礎設施、強大的AES 256位加密以及眾多其他安全功能。至於身份驗證，它將提供生物識別、第三方身份驗證器、Keepers簽名KeeperDNA等諸多選擇。

Keeper在保護密碼和其他資料方面的功能同樣不容置疑——有用於檔案共享的自毀 KeeperChat，以及在暗網上搜尋被盜密碼的Breach Watch。為了防止使用者行為損害其自身安全，安全稽核還會檢查使用者所有的密碼強度並建議做適當的更改。

RoboForm

雲端儲存空間	無
雙因素身份驗證	有
平臺	Windows、macOS、Linux、Android、iOS
瀏覽其外掛	Chrome、Firefox、Edge、Opera

作為最古老的密碼管理器之一，RoboForm主要專注於為企業提供服務，這反過來又需要最高階別的安全性。RoboForm致力於確保使用者的密碼始終保持健康和安全——報告使用者的憑據強度和具有可變變數的密碼生成器。此外，它還有自託管選項，這意味著資料僅儲存於使用者的裝置上，而非外部伺服器中。但是，如果使用者希望同步多個裝置，也是可行的。

使用者需要密碼管理器嗎？

是的，使用者應該使用密碼管理器。它允許使用者跟蹤自己的密碼，而無需記住它們。一些密碼庫還可以一鍵生成和更改密碼，以及安全地儲存其他型別的資料（如信用卡資訊）。密碼管理器還可以讓使用者與家人和朋友更安全地共享資料。這比在電子郵件或一些未加密的通訊軟體中寫下使用者登入的詳細資訊要好得多。

當然，使用者必須選擇值得信任的密碼管理器。使用者可以通過考察密碼管理器背後的企業來決定使用哪一個，那些信譽良好的企業安裝可疑應用程式或瀏覽器外掛的可能性要小得多。不過，再完美的密碼管理器也並非“靈丹妙藥”，歸根結底，保護最有價值的資訊需要的不僅僅是密碼管理器。使用者還應該使用可靠的防病毒軟體來阻止惡意軟體感染裝置。同時，保持軟體更新也很重要，如同需要仔細檢查要安裝的應用程式和擴充套件程式一樣重要。