有密码管理器吗? 很好,但你用错了

已发表: 2022-01-29
(图片:Oleksandr Hruts/Getty)


恭喜! 您听从了我们的建议并安装了密码管理器! 也许你甚至训练它记住你所有的密码。 但是您是否用强独特的密码替换了错误的密码? 您是否使用其他人无法猜到的强主密码保护所有这些密码? 简而言之:您是否正确使用密码管理器?

Stuart Schechter,加州大学伯克利分校可用隐私和安全课程的讲师和课程负责人,担心你不是。 以至于他鼓励他的研究生找出你在做什么。 在 2021 年虚拟 RSA 安全会议上,Schechter 和研究生 David Ng 透露了他们的发现。

密码已死,密码万岁

Schechter 将自己介绍为去年 RSAC 上戴着 N95 口罩的那个人,在一片赤裸的面孔中,一个古怪的人。 他指出,这不是由于对冠状病毒大流行有任何先见之明,而是在没有数据的情况下不愿做出乐观的假设。 同样,在没有任何数据的情况下,他不能假设消费者正在使用他们应该使用的密码管理器。

Schechter 回顾了比尔·盖茨 2004 年的预测,他说我们会越来越少地使用密码。 “微软谈到要根除密码,就好像它们是一种疾病,就像天花一样,”Schechter 说。 “但是一个单独的阵营赌注是密码成倍增加,而不是消失。” 他深入研究了密码管理器的演变,以及微软 2006 年发布的 CardSpace 旨在结束密码(它没有)以及它宣称 Windows 10 意味着密码的结束(它没有)等事件。

使用密码管理器有一个内在风险——你把所有的鸡蛋都放在一个篮子里了。 万一黑客团队破解了您的密码管理器,您就有麻烦了。 使用密码管理器的好处是无数的,其中包括防止网络钓鱼诈骗。

“您依靠密码管理器输入您甚至不知道的密码。 如果你点击了一个钓鱼网站,密码管理器不会填充它,”Schechter 说。 “您必须在密码管理器中查找它,仅此一项就是您被网络钓鱼的重要线索。”

我们的顶级密码管理器

Dashlane(徽标)

Dashlane 评论

4.0
优秀的
查看价格
守护者新标志

Keeper 密码管理器和数字保险库评论

4.5
杰出的
查看价格
最后通行证

LastPass 评论

4.0
优秀的
查看价格

在较早的一项研究中,Schechter 和一位同事评估了个人记住强密码的能力。 好消息? 他们确定几乎任何人都可以记住一个非常强大的密码。 不过,坏消息是,这样做需要 20 到 30 次培训课程,间隔不少于半小时,而且如果不经常使用密码,可能会忘记密码。

使用密码管理器的所有好处取决于三个假设: 我们假设用户会记住一个强密码; 他们将依赖密码管理器生成随机密码的能力; 并且他们将更改任何弱密码、重用密码或泄露密码。 但这些假设准确吗? Schechter 没有在没有数据的情况下选择乐观,而是鼓励他的研究生寻找真相。

数据,数据,数据

研究生 David Ng 详细介绍了该小组如何找到他们的参与者,从最初的近 2,500 人中筛选出大约 100 人,他们使用密码管理器超过五个月; 管理至少五个密码; 并愿意提供他们密码管理器安全仪表板的屏幕截图。

那么,参与者是否使用了强主密码? 很少有人让密码管理器生成一个然后记住的密码。 正如我们在 PCMag 经常建议的那样,一个更大的小组使用助记设备制定了密码。 唉,最大的群体承认重复使用熟悉的密码作为其密码管理器的主密钥。

您可以使用密码管理器来保存击键,同时将所有密码设置为 12345678 或其他一些糟糕的密码。 当然,正确使用需要您将那些弱密码更改为密码实用程序生成的密码。 研究发现,只有五分之一依赖 Chrome 内置密码管理器的用户曾让它生成密码。 大约一半依赖第三方实用程序的人利用了此功能。

该研究继续检查参与者如何(以及是否)使用安全仪表板功能识别弱密码、重复密码和泄露密码的能力。 结果令人沮丧。 即使是那些同意密码工具正确识别需要替换的密码的参与者也通常不会对问题采取任何措施。 原因包括工作量太大,或者他们担心更新密码会导致问题。

不要假设人们知道他们在做什么

Ng 在演讲结束时向安全专家和个人发出了警告。 仅仅因为人们拥有密码管理器并不意味着他们受到了完全的保护。

“不要假设人们会选择强密码,”他说,“不要假设他们会使用密码管理器创建的密码。不要假设他们会替换弱密码、重用密码或泄露密码,甚至提醒时。”

我们的编辑推荐

记住安全密码的简单技巧
如何使用随机密码生成器
“12345”真的很糟糕:您的密码安全终极指南

如何正确设置密码

您已经看到太多人安装了密码管理器,然后没有正确使用它。 不要像他们一样! 让他们的错误成为你可教的时刻。

从该主密码开始。 如前所述,它保护您的登录凭据宝库,因此它必须是您能记住但没人猜到的东西。 听从我们的建议,将最喜欢的诗歌或歌曲变成密码,或者从您的个人生活中选择一些无法猜测的东西。

不要停在那里! 通过启用多因素身份验证来增强对珍贵密码的保护。 所有最好的密码管理器都有它。 现在,即使是窃取了您无法猜测的密码的犯罪分子也无法进入,因为只有您拥有其他身份验证因素。 这个因素可能是生物识别的,或者它可以通过你口袋里手机上的一个应用程序(而不是其他人的)起作用。

许多密码管理员会对您保存的密码进行评级,标记任何蹩脚的密码、您多次使用的密码或在数据泄露中暴露的密码。 我知道这很乏味,但您必须解决这些问题并用长而强的新密码替换它们。 从最差的密码开始,一次做几个,直到您的所有密码都完美。 您不必想出那些新密码; 您的密码管理器将为您生成它们。

也许您拒绝使用复杂的密码是因为您不想在手机的小键盘上输入它们? 不再抗拒! 安装密码管理器的移动应用程序并将其链接到您的帐户。 现在在手机上登录很容易。

接受挑战并学习正确使用密码管理器。 如果有足够多的人这样做,也许下一项研究会表明,有些人足够聪明,可以充分利用这些有用的程序。