密碼管理器
密碼管理器或金鑰管理員是一類用於生成、檢索、儲存及管理複雜密碼、數碼簽章的措施,可以由硬件或軟件實現。複雜密碼的生成一般按需要以隨機演算法產生,而密碼資料則儲存於一個以密碼、數碼簽章等方式加密的資料庫內。它的作用類似於鑰匙圈,方便個人或企業組織集中管理密碼、數碼簽章等身份管理要素。[1][2]
如今常見的密碼管理器有三類:
它們的主要區別是儲存密碼及數碼簽章的加密資料庫是儲存在本機使用的,還是儲存在線上儲存服務的,還是儲存在特定儲存裝置的。一些密碼管理器,如GNOME 鑰匙圈、鑰匙串、大部分瀏覽器內建的密碼表單儲存功能等,既可在本機存取,也可在用戶經過設置以後能使用線上儲存服務的。一般密碼管理器會要求用戶至少需要一個「主控密碼」來解鎖經過該主控密碼加密的存有帳號密碼資訊的資料庫。[3][4]
本地安裝的軟件
密碼管理器通常以本地安裝的軟件應用程式的形式存放在用戶的個人計算機或流動裝置上,例如智能電話。這些應用程式可以離線使用,其中密碼數據庫獨立地儲存在與密碼管理器軟件相同的裝置上。或者,密碼管理器可以提供或要求在雲端儲存,其中密碼數據庫依賴於在線檔案寄存服務並遠程儲存,但是由安裝在用戶裝置上的密碼管理軟件處理。
某些離線密碼管理器不需要Internet權限,因此不會因網絡而洩漏數據。在某種程度上,完全離線的密碼管理器比在線密碼管理器更安全,但在便利性和功能方面可能差很遠。
基於Web的服務
在線密碼管理器是一個安全儲存登入詳細資訊的網站。它們是更傳統的基於桌面的密碼管理器的基於Web的版本。
在線密碼管理器優於基於桌面的版本的優點是可移植性(它們通常可以在任何具有網頁瀏覽器和網絡連接的計算機上使用,無需安裝軟件),並且可以降低因盜竊或損壞而丟失密碼的風險。
在線密碼管理器的主要缺點是用戶信任寄存站點並且鍵盤記錄器不在他們正在使用的計算機上。由於伺服器和雲端是網絡攻擊的焦點,如何對在線服務進行身份驗證,並且儲存在那裏的密碼使用用戶定義的金鑰進行加密同樣重要。同樣,用戶傾向於為了方便而繞過安全性。另一個重要因素是:究竟是使用單向還是雙向加密。
有混合的解決方案。一些在線密碼管理系統分發他們的原始碼。它可以單獨檢查和安裝。
基於權杖的硬件裝置
安全權杖是基於權杖的密碼管理器的一種形式,其中本地可訪問的硬件裝置(例如智能卡或安全USB閃存裝置)用於代替傳統的基於文字的密碼或者除了傳統的基於文字的密碼之外還對用戶進行認證。儲存在權杖中的數據通常是加密的,以防止探測和未經授權的數據讀取。一些權杖系統仍然需要在電腦上載入軟件以及硬件(智能卡讀卡器)和驅動程式以正確讀取和解碼數據。
- 證書使用安全權杖進行保護,因此通常通過組合提供多因素身份驗證
- 用戶擁有的東西,如移動應用程式,生成類似於虛擬智能卡,智能卡和USB記憶棒的滾動權杖,
- 用戶知道的東西(PIN或密碼)
- 用戶的生物識別,例如指紋,手,視網膜或面部掃描器。
參見
參考資料
- ^ Price, Rob. Password managers are an essential way to protect yourself from hackers — here's how they work. Business Insider. 2017-02-22 [2017-04-29]. (原始內容存檔於2017-02-27) (英語).
- ^ 密碼被駭屢見不鮮,我們該如何設定強健的密碼?. TechNews 科技新報. [2018-05-23]. (原始內容存檔於2018-05-24) (中文(臺灣)).
- ^ Opera 說明: 功能設定: 密碼管理員. help.opera.com. [2018-05-23]. (原始內容存檔於2018-05-24).
- ^ 密碼管理員 - 讓 Firefox 中記憶、刪除或變更已儲存的密碼 | Firefox 說明. support.mozilla.org.