2017年1月9日 星期一

哪種密碼管理器是安全的?


密碼管理器被用來記錄數百個唯一個密碼。你想要降低你的安全風險就有其必要性。有很多種選擇,包括你瀏覽器裡面內建的,有著密碼記憶的功能。讓我們來看一下這些工具,他們在安全性這方面各有什麼做法。

儲存登入資訊到你的瀏覽器


IE, Chrome, Firefox和其他瀏覽器都能儲存你的登入基本資訊,以自動化填寫表單。這是很便利的,因為你不必去下載或設定其他應用程式,但是它是不那麼安全或可靠的選項。

他們如何運作

瀏覽器儲存你的密碼在加密的資料庫或者註冊表,在你的電腦上。假如瀏覽器有一個功能可以將資料同步到你的電腦或者其他裝置,資訊被儲存為加密的形式到一個線上的帳號。例如Google假如你使用Chrome或你的Firefox 同步帳號在Mozilla上。

安全性缺陷:

最大的問題是儲存密碼在你的瀏覽器,對於其他人是不困難的,去存取你的電腦也能存取你的密碼。在Chrome,例如,你或任何人想駭到你的電腦,能去你的瀏覽器設定,然後點擊顯示按鈕在偏好分頁,去顯示任何儲存的密碼。Internet Explorer 比較安全,因為它不讓你看儲存的密碼,且它也不同步你的資料經由電腦。 IE與 Chrome兩者,將你的密碼做加密。因為這樣,你的密碼很容易被其他工具揭露,像是Nirsoft的WebBrowserPassView。假如第三方工具像是這個可以回復資訊,惡意軟體運行在你的使用帳號下就可能也能存取這些資料。

更安全的選項:

WebBrowserPassView 不能取得密碼,假如用一個主密碼做加密。這令Firefox比這三種瀏覽器更加安全,它作為一個密碼管理器,因為你能為密碼做加密,在Firefox中用一個主密碼保護你的登入資訊。假如你不設定一個主密碼在Firefox中,它預設沒有啟用,卻容易變得不安全,假如你的電腦轉到他人之手。

網頁端的密碼管理器


網頁端的密碼管理器是一個進步,相對於儲存密碼在你的電腦上。有很多網頁應用程式提供可靠的功能,像是產生隨機安全密碼,檢驗你的密碼,儲存額外的機密資訊(信用卡,保險號碼與筆記等等)

他們如何運作:

線上密碼管理器像是LastPass Roboform Everywhere能加密你的密碼資料庫,給你一個唯一的鑰實,這個主密碼只有你知道。所有的加密與解密的過程只會在你的電腦上發生。因為這些公司沒有加密的鑰實,甚至假如他們的服務被駭了,壞人也不能將你的資料解密。

安全性議題:

除非你的主密碼不夠強壯,或者你在不同的網站使用相同的密碼,去年,LastPass體驗過一次安全性議題,告訴使用者他們能受到保護,只要他們使用強大的,非基於字典的主密碼。LastPass與其它線上密碼管理器的其他公司的安全性風險很小,因為你握有加密的鑰實,你仍然不能太信任它,當你的資料,或加密過的,儲存在他人的伺服器上。

更安全性的選項

LastPass是線上密碼的領導者,因為容易使用,與緊緊的鎖住。LastPass安全選項允許你新增強大的兩因子認證,限制國家登入,啟動其他功能,像是專用的安全信箱位置,和限制手機存取。

新進者Dashlane是一個潛在的競爭者。並沒有像LastPass有很多安全性的調適。你能選擇保存你的密碼在本地或者同步,能做個別的調適。這讓它有了網頁端密碼管理器與桌面端這兩個角色。網頁端如有天結束服務,至少不用作備份的工作,因為本地已經有一份。

桌面管理器


不適應你的密碼被儲存在網路上嗎?有很多安全的管理器不儲存任何資料到網路上,但你關閉電腦就不能存取這些資料了。這犧牲掉一些便利性與易用性。

他們如何運作:

本地的密碼管理器像線上一樣。他們有相似的密碼產生,自動填表,安全筆記功能。他們儲存加密資料庫在你的電腦上,一些很流行的像是KeePass, 1Password, SplashID與桌面版本的Roboform

安全性議題:

本地的密碼管理器的弱點是很少存取,沒有解決的辦法,你不能很便利的去同步,快速地從任何裝置上存取你的登入資料,那會是個阻力,對於那些想全天候使用密碼的人。

對這些,你能使用Dropbox來同步資料庫到其他的電腦上,但是這會帶來雲端儲存硬盤的安全性風險。另一方面,你仍然很安全:一個駭客首先要破解你的Dropbox帳號,然後破解你的加密資料庫。這情況發生的機會,可能是你遺失了你的筆記型電腦。

更安全性的選擇:


KeyPass贏了,不只是他是個開源軟體,還有些很安全的功能。這軟體保護你的主密碼,免得被字典攻擊。當程式運行時,你的密碼還是加密的狀態,且密碼框加強了安全防護。你能鑰時檔案來取代你的主密碼,提升安全性或結合密碼檔與密碼真的鎖住你的資料。KeePass也有可攜版並支持許多外掛。

其他軟體也有很多安全性支援。你可能會喜歡他們的特色像是SplashID ,可以透過WiFi同步桌面與行動版本。SplashID 說他們有一個雲端的版本,不需倚賴第三方雲端服務像是Dropbox或iCloud。1Password有很好的介面與最佳的瀏覽器整合。比起KeePass不那麼笨重且容易使用。Roboform的桌面板,是一個強固的密碼管理器,包含瀏覽器自動填寫,瀏覽器整合,與隨機密碼產生。

你該使用哪個呢?

簡單的說桌面板密碼管理器像是KeePass很有安全性,但是易用性差。雲端版像是LastPass很方便存取,但是你不能控制你的資料被儲存到了哪裡。

 你該選擇哪一個,很重要的一點是要有一個主密碼,和強壯的密碼來保護你的電腦帳號。
By at
Labels: ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)