密码管理器是用于保护密码的实用程序。通过输入一个主密码,您可以访问所有安全存储的密码。这使您可以为所使用的每个网站和应用程序使用唯一的复杂密码,而不必记住一个主密码。听起来不错,对吗?
不幸的是,攻击者已开始瞄准一些流行的密码管理器。如果您的计算机已感染了恶意软件,则当您键入主密码并窃取该密码时,该恶意软件可以使用按键记录器软件记录您的按键操作。这使恶意软件可以访问您存储的密码。在这种情况下,密码管理器实际上可以降低安全性,因为仅窃取一个密码就可以破坏所有密码。
当然,最佳实践是保持计算机自由恶意软件。但是实际上,您还有其他几种选择可以提高密码管理器的安全性,以便在您的计算机受到恶意软件感染时不那么容易受到攻击。
虚拟键盘
某些密码管理器,例如作为密码安全和LastPass,提供虚拟键盘。无需使用键盘输入主密码,而是使用屏幕上显示的图形键盘输入密码。密码保险箱在您通常输入密码的位置右侧会显示一个小键盘图标,LastPass会显示一个超链接,显示屏幕键盘。
显示虚拟键盘时,单击字母,数字和符号组成您的主密码。使用虚拟键盘的想法是,键盘记录程序可以跟踪击键,但大多数不能跟踪鼠标单击的屏幕位置。因此,当您使用虚拟键盘输入主密码时,键盘记录程序可能无法窃取它。不过要小心,因为某些形式的恶意软件可以监视屏幕活动并仍然通过观察来泄露您的密码。
一次性密码
虚拟键盘提供的身份验证解决方案比输入密码,但是可以使用更强的解决方案。顾名思义,一次性密码是只能使用一次的密码。一些密码管理器(例如LastPass和Intuitive Password)支持一次性密码的使用。因为一次性密码只有在第一次使用时才是好的,所以捕获您使用该密码的攻击者无法自己重复使用。
下面的列表显示了LastPass计算机生成的一次性密码。请注意,这里有一个“打印"选项;常见的做法是打印出这些密码并将其存储在您的钱包中以进行保管。将它们保存在计算机上的文件中,然后根据需要将它们复制并粘贴到密码管理器中,可能会很吸引人,但这是一种较差的安全性做法。假设您的计算机感染了恶意软件,则该恶意软件很可能会查找包含密码的文本文件,并且如果有人可以物理访问您的计算机,他们可以复制并粘贴密码,并立即访问您密码管理器中存储的所有内容。
一次性密码的另一种选择是从特殊的一次性密码应用程序中获取随机生成的数字。一个明显的例子是Google Authenticator移动应用。密码管理器(例如DashLane和LastPass)可以利用Google Authenticator。当您想解锁密码时,请转到移动设备并使用Google Authenticator生成一个新的一次性密码。然后,您在密码管理器中键入此密码(通常为六位数字)。这是一个视频,向您展示如何设置Google身份验证器以与LastPass一起使用。
There are also password managers such as Intuitive Password that can be configured to send you a one-time password through a text message.
生物识别
对于某些人来说,另一种选择是使用生物识别读取器,例如指纹扫描仪。高级版的LastPass和RoboForm实用程序均支持使用生物识别技术代替主密码。有些计算机(尤其是笔记本电脑)内置了指纹扫描仪,而某些计算机(台式机和笔记本电脑)则装有外部指纹扫描仪。
如果您的设备已经装有指纹扫描仪,则可能要考虑购买密码管理器。可以使用该扫描仪。如果您没有扫描仪,则其他选项之一(虚拟键盘或一次性密码)可能更适合您。
多因素身份验证
最后一个选项是多因素身份验证。到目前为止,我们仅讨论了单因素身份验证,这意味着使用单一身份验证方法,通常是密码。为了提高安全性,您可以采用多因素身份验证,这是指同时使用多种身份验证方法,例如密码(您知道的东西)和指纹(您自己的东西)。
例如,密码管理器KeePass可以使用在USB闪存驱动器上设置的加密密钥文件以及密码。如果攻击者获得了您的密码,他们仍然需要获得您的闪存驱动器,反之亦然。但是,如果您的计算机感染了恶意软件,则坚定的攻击者很可能会从闪存驱动器中获取密钥文件的副本以及密码。因此,在这种情况下,多因素身份验证可能不会比单因素身份验证更强。
大多数人会发现其密码管理器不必要地复杂了多因素身份验证。最终,如果您的计算机感染了恶意软件,您的密码就会受到威胁。而且,无论您的密码管理器的身份验证方法多么强大,在某个时候,您都可以解锁存储的密码和恶意软件的安全保管库将能够访问它。加强认证方法只是一种威慑力,而不是绝对的预防措施。
密码管理器身份验证的建议
使用常规密码来保护您的密码管理器由于恶意软件而变得越来越危险。考虑使用虚拟键盘,或使用一次更好的一次性密码代替主密码,以防止恶意软件抢占主密码并访问您存储的密码的可能性。
并且不要忘记请遵循所有建议的做法以防止恶意软件进入您的计算机,例如阻止对计算机操作系统,Web浏览器和其他重要应用程序的社会工程攻击。如果您的计算机最初没有被感染,那么密码管理器身份验证的强度就不会那么重要。
您准备好应对针对密码管理器的威胁了吗?您采取什么预防措施?
标签:
