我正在查看以下内容:
1password(喜欢用户界面,不介意价格)、lastpass(喜欢 yubikey,讨厌界面)、keepass(更讨厌界面)。
我想使用 1password 但是我害怕以下情况,因为我的 GMail 最近被“黑客入侵”了。
我有 2 台电脑 + iPhone。(一台 MBP,一台 PC)。
我并不担心我的 MBP,但如果我在计算机之间同步 Dropbox 中的 1password 文件,并且有人拿到了我的 PC,他们就有可能记录我的主密码,然后从 Dropbox 获取我的文件,这样他们就可以访问密码列表中的所有内容。
是我太偏执了,还是这种媒介真的值得害怕?正因为如此,我觉得我真的需要一种多因素身份验证方法来真正保护我。
有什么想法吗?
答案1
您建议的方案在理论上是可行的。您可以使用 Dropbox 客户端而不是通过 Web 访问 Dropbox,从而将风险降至最低。您的帐户将预先与您的计算机关联,并且您不会输入 Dropbox 密码,因此他们使用键盘记录器获取密码的可能性很小。另一种可能性是将您的密码数据库保存在 Truecrypt 加密的 USB 密钥上,或者以某种方式加密在您的 iPhone 上,而不是在线文件共享服务上,这使得获取您的密码文件变得更加棘手,因为它永远不会存储在您实际所在位置以外的任何地方。当然,如果他们有足够的权限安装键盘记录器,他们可能也有足够的权限从您的本地存储中获取您的数据库文件。
如果您想完全避免使用密码管理器,但仍想拥有容易记住的密码,那么我建议您采用剑桥大学安全研究员 Ross Anderson 倡导的方法。使用长短语的首字母创建密码,因为这将使您能够生成长密码(即难以破解),但又容易记住。我实际上使用这种技术(经过修改,通过包括数字和标点符号来增加熵)来创建非常安全且我能记住的主密码。请参阅http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf更多细节。
您采取的任何安全措施都会在便利性和安全性之间进行权衡。高度偏执的用户永远不会从他们无法控制的机器输入密码,并且只会通过 https 在互联网上发送密码。这自然会限制您可以访问受密码保护的内容的地方数量。
除非你认为有人特别可能想要你的具体的数据,任何针对您密码安全的攻击都可能是低级的,目的是为了获取唾手可得的果实。因此,黑客可能会使用自动化工具,不太可能花大力气找出您使用的密码管理器,获取密码文件等。如果您认为自己可能成为有针对性攻击的受害者,那么记住所有敏感帐户的单独高熵密码,并且只从您控制的装有最新防病毒和反恶意软件的 PC 访问它们可能是最好的解决方法。
答案2
使用密码管理器(您提到的那些都很好……我使用 keepass),并将主密码设为歌曲的歌词,这样在任何合理的时间内都无法通过自动化破解。最后添加几个数字。
这是重点。对于您使用的每个网站或系统,请设置不同的密码,使用您使用的程序自动生成的密码,并为每个网站设置不同的密码。不要试图设置除了程序之外您能记住的密码。否则,这是愚蠢的。
答案3
偏执是良好密码管理的基础——如果您需要为某事设置密码,那么偏执是合适的(尤其是涉及互联网时)。
至于密码,在多个地方使用相同的密码会增加被黑手黑客利用的风险,黑手黑客会知道你的某个密码。密码机制的问题在于当其他人掌握密码时(这基本上与某人获得密码列表的访问权限的问题相同)。
不幸的是,密码安全是一个社会问题,技术永远无法完全解决,正如那句名言“有志者事竟成”。你关心这个问题是件好事。