我的 Mac 上有两个帐户:一个用于日常活动的标准用户帐户和一个管理员帐户。我总是使用标准用户帐户。
我在 Mac 的标准用户帐户中安装了密码管理器 (1Password)。我想知道,将我的标准用户密码,尤其是管理员密码放入密码管理器中是否安全?
由于密码管理器中的数据未加密时(解锁时)存在一个窗口,因此安装在标准用户范围内且没有管理员权限且不掌握我的 Mac 凭据的潜在恶意软件现在可以从密码管理器中窃取它们,并且使用我当前的用户密码,尤其是管理员密码,它可以对我的系统造成比没有它们时更大的危害。我的推理正确吗?
答案1
任何程序都不能直接读取带有密码的 1Password 窗口的内容。随机程序也不能读取其他进程的内存。如果程序想要这样做,它需要进一步的权限(例如,您可以授予调试器权限 - 尽管即使是普通调试器也不能附加到系统上的任何进程)。
本质上,只要实施过程中不存在任何弱点,您可以认为将这些密码存储在密码管理器中是“安全的”。
然而,弱点确实存在,并且有时会被恶意软件利用!
你是否有特定的原因将自己的用户密码存储在 1Password 中?我不明白为什么在正常情况下你会想要这样做,所以我无论如何都会避免这样做。如果你真的需要这样做,听起来你可能会在多个事情上使用相同的密码,这不是一个好主意。
另一方面,我真的怀疑是否存在试图从 1Password 中获取管理员密码的恶意软件。此类恶意软件宁愿获取您云帐户的所有密码并将其发送到控制器。也就是说,他们宁愿访问您的 Google 帐户、AppleID、Amazon 帐户等,无论您在其中拥有什么 - 而不是本地 PC 上的管理员帐户……主要是因为如果恶意软件可以读取您的 1Password 密码,它已经拥有您系统上的管理员权限。