有密碼管理器嗎? 很好,但你用錯了

已發表: 2022-01-29
(圖片:Oleksandr Hruts/Getty)


恭喜! 您聽從了我們的建議並安裝了密碼管理器! 也許你甚至訓練它記住你所有的密碼。 但是您是否用強獨特的密碼替換了錯誤的密碼? 您是否使用其他人無法猜到的強主密碼保護所有這些密碼? 簡而言之:您是否正確使用密碼管理器?

Stuart Schechter,加州大學伯克利分校可用隱私和安全課程的講師和課程負責人,擔心你不是。 以至於他鼓勵他的研究生找出你在做什麼。 在 2021 年虛擬 RSA 安全會議上,Schechter 和研究生 David Ng 透露了他們的發現。

密碼已死,密碼萬歲

Schechter 將自己介紹為去年 RSAC 上戴著 N95 口罩的那個人,在一片赤裸的面孔中,一個古怪的人。 他指出,這不是由於對冠狀病毒大流行有任何先見之明,而是在沒有數據的情況下不願做出樂觀的假設。 同樣,在沒有任何數據的情況下,他不能假設消費者正在使用他們應該使用的密碼管理器。

Schechter 回顧了比爾·蓋茨 2004 年的預測,他說我們會越來越少地使用密碼。 “微軟談到要根除密碼,就好像它們是一種疾病,就像天花一樣,”Schechter 說。 “但是一個單獨的陣營賭注是密碼成倍增加,而不是消失。” 他深入研究了密碼管理器的演變,以及微軟 2006 年發布的 CardSpace 旨在結束密碼(它沒有)以及它宣稱 Windows 10 意味著密碼的結束(它沒有)等事件。

使用密碼管理器有一個內在風險——你把所有的雞蛋都放在一個籃子裡了。 萬一黑客團隊破解了您的密碼管理器,您就有麻煩了。 使用密碼管理器的好處是無數的,其中包括防止網絡釣魚詐騙。

“您依靠密碼管理器輸入您甚至不知道的密碼。 如果你點擊了一個釣魚網站,密碼管理器不會填充它,”Schechter 說。 “您必須在密碼管理器中查找它,僅此一項就是您被網絡釣魚的重要線索。”

我們的頂級密碼管理器

Dashlane(徽標)

Dashlane 評論

4.0
優秀的
查看價格
守護者新標誌

Keeper 密碼管理器和數字保險庫評論

4.5
傑出的
查看價格
最後通行證

LastPass 評論

4.0
優秀的
查看價格

在較早的一項研究中,Schechter 和一位同事評估了個人記住強密碼的能力。 好消息? 他們確定幾乎任何人都可以記住一個非常強大的密碼。 不過,壞消息是,這樣做需要間隔不少於半小時的 20-30 次培訓課程,而且如果不經常使用密碼可能會忘記。

使用密碼管理器的所有好處取決於三個假設: 我們假設用戶會記住一個強密碼; 他們將依賴密碼管理器生成隨機密碼的能力; 並且他們將更改任何弱密碼、重用密碼或洩露密碼。 但這些假設準確嗎? Schechter 沒有在沒有數據的情況下選擇樂觀,而是鼓勵他的研究生尋找真相。

數據,數據,數據

研究生 David Ng 詳細介紹了該小組如何找到他們的參與者,從最初的近 2,500 人中篩選出大約 100 人,他們使用密碼管理器超過五個月; 管理至少五個密碼; 並願意提供他們密碼管理器安全儀表板的屏幕截圖。

那麼,參與者是否使用了強主密碼? 很少有人讓密碼管理器生成一個然後記住的密碼。 正如我們在 PCMag 經常建議的那樣,一個更大的小組使用助記設備製定了密碼。 唉,最大的群體承認重複使用熟悉的密碼作為其密碼管理器的主密鑰。

您可以使用密碼管理器來保存擊鍵,同時將所有密碼設置為 12345678 或其他一些糟糕的密碼。 當然,正確使用需要您將那些弱密碼更改為密碼實用程序生成的密碼。 研究發現,只有五分之一依賴 Chrome 內置密碼管理器的用戶曾讓它生成密碼。 大約一半依賴第三方實用程序的人利用了此功能。

該研究繼續檢查參與者如何(以及是否)使用安全儀表板功能識別弱密碼、重複密碼和洩露密碼的能力。 結果令人沮喪。 即使是那些同意密碼工具正確識別需要替換的密碼的參與者也通常不會對問題採取任何措施。 原因包括工作量太大,或者他們擔心更新密碼會導致問題。

不要假設人們知道他們在做什麼

Ng 在演講結束時向安全專家和個人發出了警告。 僅僅因為人們擁有密碼管理器並不意味著他們受到了完全的保護。

“不要假設人們會選擇強密碼,”他說,“不要假設他們會使用密碼管理器創建的密碼。不要假設他們會替換弱密碼、重用密碼或洩露密碼,甚至提醒時。”

我們的編輯推薦

記住安全密碼的簡單技巧
如何使用隨機密碼生成器
“12345”真的很糟糕:您的密碼安全終極指南

如何正確設置密碼

您已經看到太多人安裝了密碼管理器,然後沒有正確使用它。 不要像他們一樣! 讓他們的錯誤成為你可教的時刻。

從該主密碼開始。 如前所述,它保護您的登錄憑據寶庫,因此它必須是您能記住但沒人猜到的東西。 聽從我們的建議,將最喜歡的詩歌或歌曲變成密碼,或者從您的個人生活中選擇一些無法猜測的東西。

不要停在那裡! 通過啟用多因素身份驗證來增強對珍貴密碼的保護。 所有最好的密碼管理器都有它。 現在,即使是竊取了您無法猜測的密碼的犯罪分子也無法進入,因為只有您擁有其他身份驗證因素。 這個因素可能是生物識別的,或者它可以通過你口袋里手機上的一個應用程序(而不是其他人的)起作用。

許多密碼管理員會對您保存的密碼進行評級,標記任何蹩腳的密碼、您多次使用的密碼或在數據洩露中暴露的密碼。 我知道這很乏味,但您必須解決這些問題並用長而強的新密碼替換它們。 從最差的密碼開始,一次做幾個,直到您的所有密碼都完美。 您不必想出那些新密碼; 您的密碼管理器將為您生成它們。

也許您拒絕使用複雜的密碼是因為您不想在手機的小鍵盤上輸入它們? 不再抗拒! 安裝密碼管理器的移動應用程序並將其鏈接到您的帳戶。 現在在手機上登錄很容易。

接受挑戰並學習正確使用密碼管理器。 如果有足夠多的人這樣做,也許下一項研究會表明,有些人足夠聰明,可以充分利用這些有用的程序。