什么是密码保管库?
随着居家办公成为新常态,考虑如何保护个人和专业数据的安全变得至关重要。随着网络犯罪在全球日益猖獗,密码成为经常被黑客利用的主要资产之一。虽然我们都知道,不同的应用程序和账户不应该使用同一个密码,但许多用户仍然会这样做,因为这样更方便、更容易记住。
然而,在您的个人系统上设置密码保管库或密码管理器也同样简单。这样不仅可以避免数据泄露风险,而且最终只需记住一个密码,即“主密码”。请继续阅读,了解我们完整的密码保管库和密码管理器指南。
什么是密码保管库?
密码保管库(有时被称为密码管理器、保管器或储物柜)是一个加密空间,用于将密码和登录凭证(您用于在线访问应用程序和账户的信息)、文档、图像以及其他敏感信息等数据存储在一个安全的数字位置。密码保管库通常使用一个主密码,如果解密正确,用户就可以访问保管库中的其余密码。密码保管库旨在保护个人和专业用户的数据免受网络犯罪分子的侵害。密码保管库主要用于防止用户在不同的数字平台上使用重复的密码。
密码管理器和密码保管库这两个词通常可以互换使用,大多数密码保管库包含管理软件的功能,集成到软件本身的功能中。从技术上讲,密码管理器可以对密码和敏感数据进行分类,同时支持“一键”登录以提高效率。密码保管库是指密码管理器软件的加密部分,用于以数字方式存储密码和数据。
密码保管库通常为用户提供一系列功能,可分为三个部分:保管库、密码安全中心和管理工具。保管库本身通常能够存储一系列文档和图像(不仅仅是密码),可以通过计算机、手机或平板设备轻松访问。密码安全中心使用高级加密来保护您的数据。密码保管库还包含以下几个部分:一个“密码生成器”,用于创建新密码或替换旧密码/弱密码;一个“密码检查器”,会在您使用弱密码或重复密码时发出提醒;以及“泄露检测”,会在您的密密码保管库也包含一个“自动填充”功能,可在您使用不同的网页和应用程序时记住您的密码、账户信息和地址。
密码保管库和密码管理器是保持在线安全不可或缺的一环,适用于专业和个人使用。它们也是数字生活中至关重要的一部分,无论您使用什么硬件,无论您在哪里使用,都可以保护您的信息安全。
密码保管库是否安全?
世界各地的网络安全专家一致认为,密码保管库是保护密码和敏感数据最简单、最容易的方法,而且很安全。只要您的主密码是“强”密码,您的敏感信息遭到黑客入侵的可能性就非常低。一个强密码不仅要足够长(10-12 个字符),而且要包含特殊字符、数字、大写字母和小写字母的组合。
然而,您还是要明白密码保管库和密码管理器仍然可能遭到黑客入侵,这点很重要。不过,您的密码是安全的,因为它们在用户端加密,然后通过安全的 https 协议传输到云端。破译 256 位 AES(高级加密标准)等行业标准加密几乎是不可能实现的。因此,即使黑客“侵入”了保管库本身,也并不意味着他们在里面可以为所欲为。此外,大多数在线密码保管库都不存储主密码,也不具有主密码的访问权限,因此“侵入”的可能性就更小了。
密码保管库是如何运作的?
密码保管库和密码管理器通过对登录凭证加密来发挥作用。然后,密码保管库使用主密码进行锁定。由于有主密码,在出现漏洞的情况下,黑客只能窃取加密的代码行。如今,大多数优质的密码管理器都使用现代强大加密算法 256 位 AES 来加密您的数据。256 位 AES 于 2005 年在全球范围内得到采用,是现代数字技术广泛使用的加密密钥。
AES(高级加密标准)是一种加密的规范,256 位意味着随机字符串有 256 种可用组合。组合越多,暴力破解找出正确组合的难度就越大。这种加密密钥被称为“私钥加密算法”,被认为比“公钥加密算法”更安全。公钥加密使用公钥来加密数据,使用私钥来解密数据,而私钥加密使用同一个私钥对数据进行加密和解密。简而言之,私钥不会离开您的设备,因此更加安全。
前面了解了密码保管库如何运作的一个方面。然而,密码保管库的内部运作方式还取决于您正在使用或有权访问的密码保管库的类型。传统上,密码保管库分为三种类型:本地密码保管库、在线密码保管库和令牌/USB 密码保管库。
本地密码保管库
顾名思义,本地密码保管库和密码管理器的运作方式是对您的登录凭证和其他数据进行加密,然后将它们存储在您的本地设备上。它们有时被称为“离线”密码保管库,加密数据可以存储在您的计算机、笔记本电脑、平板电脑或手机上。保存密码的加密文件通常存储在密码管理器程序之外。离线存储密码很有用,因为黑客只有在您联机时才能访问您的密码保管库。因此,只要您的设备未被盗,您的密码就是安全的。不过,这也是它的主要缺点。如果您的设备被盗或丢失,您的密码保险库也会随之丢失。本地密码保管库也会给设备同步带来困难,因为只有所有设备同时在线才能完成同步或更新。
在线密码保管库
在线或基于网络的密码保管库是企业和个人用户最广泛使用的密码管理器。这种密码保管库将加密数据存储在由提供商的服务器托管的云端。这样就会方便得多,因为您可以随时随地访问您的密码。这种密码保管库还受到一种被称为“零知识”原则的程序保护,就连提供商也对其托管的数据一无所知。这意味着密码保管库会先在您的设备上对您的数据进行加密,然后再将加密数据发送到提供商的服务器。因此,提供商也无法访问您的密码数据。在许多情况下,您可以使用提供商的密码管理器客户端、简单的浏览器扩展程序或提供商网站上托管的 web 应用程序来访问您的密码保管库。这意味着在紧急情况下,您可以在任何地方访问您的密码。其主要缺点是,您始终需要互联网连接来进行身份验证(访问您的密码和其他文档)。
令牌/USB 密码保管库
令牌/USB 密码保管库有时也被称为“无状态密码保管库或密码管理器”,具有一个硬件(如 USB 驱动器),其中包含可解锁特定在线账户的密钥。在这种情况下,密码保管库其实并不存在,因为每当您访问一个特定账户时,就会(在外部设备上)创建一个新令牌。这意味着您的所有敏感凭证都存储在单独的设备上,也就是说您不需要从其他设备上进行任何同步。当您向设备上添加主密码时,便可获得双因素身份验证。其最大的缺点是,用于创建这些无状态密码保管库的许多软件都是开源的,对于非专家用户来说,其设置或故障排除都比较复杂。
我是否需要密码保管库?
新冠疫情改变了人们的生活,致使全球范围内的许多公司及其员工开始转为长期远程办公。不幸的是,由于个人网络和大型企业使用的基于云的软件即服务 (SaaS) 应用程序存在弱点,成功得逞的网络攻击已经大幅增加。2021 年,网络攻击的平均数量增加了大约 15%。有鉴于此,我们建议无论在家中还是在工作场所,都使用密码保管库,尤其是在使用个人电脑办公时。
密码保管库不仅允许您跟踪所有密码,还可以用于生成新密码、变更旧密码或者将旧密码导入到当前密码保管库,并在新密码对于新应用程序而言不够强时通知您。研究表明,被归类为“弱”的密码几乎可以被黑客即刻破解,不需要什么知识,也无需费什么力气。例如,使用暴力破解攻击,其中涉及将窃取的用户名和密码对自动注入网站登录门户。一旦用户名和密码对匹配正确,黑客就可以借由欺诈手段访问您的账户和个人信息。这是任何用户系统中最大的漏洞之一,而密码管理器消除了用户在线操作时的所有麻烦和风险。
在卡巴斯基,我们的密码管理器的保管库采用 AES-256 位加密(有 256 种组合,这意味着黑客解锁密码的时间比宇宙存在的时间还要长)。它还附带一个自定义主密码(可以是您自己创建的密码、也可以是我们的生成器建立的密码,还可以是通过移动设备上的指纹和面容 ID 建立的密码)。免费版的 Kaspersky Password Manager 具备高级版的所有功能,但最多只能存储 15 个密码和机密文件。
相关的文章和链接:
相关产品:
什么是密码保管库?
Kaspersky
