密碼管理員
密碼管理員或密鑰管理員是一類用於生成、檢索、保存及管理複雜密碼、數位簽章的措施,可以由硬體或軟體實現。复杂密碼的生成一般按需要以隨機算法產生,而密碼資料則保存於一個以密碼、數位簽章等方式加密的資料庫內。它的作用類似於鑰匙圈,方便個人或企業組織集中管理密碼、數位簽章等身份管理要素。[1][2]
如今常見的密碼管理員有三類:
它們的主要區別是保存密碼及數位簽章的加密資料庫是保存在本機使用的,還是保存在線上存儲服務的,還是保存在特定存儲裝置的。一些密碼管理員,如GNOME 鑰匙圈、钥匙串、大部分瀏覽器內建的密碼表單存儲功能等,既可在本機存取,也可在使用者經過設定以後能使用線上存儲服務的。一般密碼管理員會要求使用者至少需要一個「主控密碼」來解鎖經過該主控密碼加密的存有帳號密碼資訊的資料庫。[3][4]
本地安裝的軟件
密碼管理器通常以本地安裝的軟件應用程序的形式存放在用戶的個人計算機或移動設備上,例如智能手機。這些應用程序可以離線使用,其中密碼數據庫獨立地存儲在與密碼管理器軟件相同的設備上。或者,密碼管理器可以提供或要求在雲端存儲,其中密碼數據庫依賴於在線文件託管服務並遠程存儲,但是由安裝在用戶設備上的密碼管理軟件處理。
某些離線密碼管理器不需要Internet權限,因此不會因網絡而洩漏數據。在某種程度上,完全離線的密碼管理器比在線密碼管理器更安全,但在便利性和功能方面可能差很遠。
基於Web的服務
在線密碼管理器是一個安全存儲登錄詳細信息的網站。它們是更傳統的基於桌面的密碼管理器的基於Web的版本。
在線密碼管理器優於基於桌面的版本的優點是可移植性(它們通常可以在任何具有網頁瀏覽器和網絡連接的計算機上使用,無需安裝軟件),並且可以降低因盜竊或損壞而丟失密碼的風險。
在線密碼管理器的主要缺點是用戶信任託管站點並且鍵盤記錄器不在他們正在使用的計算機上。由於服務器和雲端是網絡攻擊的焦點,如何對在線服務進行身份驗證,並且存儲在那裡的密碼使用用戶定義的密鑰進行加密同樣重要。同樣,用戶傾向於為了方便而繞過安全性。另一個重要因素是:究竟是使用單向還是雙向加密。
有混合的解決方案。一些在線密碼管理系統分發他們的源代碼。它可以單獨檢查和安裝。
基於令牌的硬件設備
安全令牌是基於令牌的密碼管理器的一種形式,其中本地可訪問的硬件設備(例如智能卡或安全USB閃存設備)用於代替傳統的基於文本的密碼或者除了傳統的基於文本的密碼之外還對用戶進行認證。存儲在令牌中的數據通常是加密的,以防止探測和未經授權的數據讀取。一些令牌系統仍然需要在電腦上加載軟件以及硬件(智能卡讀卡器)和驅動程序以正確讀取和解碼數據。
- 憑證使用安全令牌進行保護,因此通常通過組合提供多因素身份驗證
- 用戶擁有的東西,如移動應用程序,生成類似於虛擬智能卡,智能卡和USB記憶棒的滾動令牌,
- 用戶知道的東西(PIN或密碼)
- 用戶的生物識別,例如指紋,手,視網膜或面部掃描儀。
參見
參考資料
- ^ Price, Rob. Password managers are an essential way to protect yourself from hackers — here's how they work. Business Insider. 2017-02-22 [2017-04-29]. (原始内容存档于2017-02-27) (英语).
- ^ 密碼被駭屢見不鮮,我們該如何設定強健的密碼?. TechNews 科技新報. [2018-05-23]. (原始内容存档于2018-05-24) (中文(臺灣)).
- ^ Opera 說明: 功能設定: 密碼管理員. help.opera.com. [2018-05-23]. (原始内容存档于2018-05-24).
- ^ 密碼管理員 - 讓 Firefox 中記憶、刪除或變更已儲存的密碼 | Firefox 說明. support.mozilla.org.