密码管理器是否比每个网站的略有不同的密码更安全?

信息安全 密码 密码管理 账户安全
2021-09-05 18:27:27

假设我使用由 4 个字加上我正在访问的网站名称组成的 5 个字的密码。例如对于 GitHub,它类似于“正确的电池马钉github”。

这与使用“正确的电池马钉 github”作为主密码的密码管理器有何不同?

对于我不关心或我怀疑可能易受攻击的帐户,我也有一个更简单的密码。我假设除了大公司(谷歌、Facebook、GitHub、Apple)之外的每个人都以纯文本形式存储密码。

使用这种方法是否有风险?

4个回答

是的,体面的密码管理器比使用任何密码模式更安全。

  • 您有一个密码管理器,它为您创建了随机密码:

    1. 6AKQ3)mcV!xX3b8-ZgncCe%tdn!&.@3X
    2. a6/4TFaWKrzTHQyT2Df#;/*+QA$zH2tJ
    3. 9y__&%7jP4UcuG(9f7X6z44C#64bF:m&
    4. 9W649r788_8AU=9272zuGH"=C?2&C66j
    5. nT29HMc$y'H)ww2#D/2x(2sBU#WG23us

  • 与您的密码模式相比:

    1. correctbatteryhorsestaplegithub
    2. correctbatteryhorsestaplestackexchange
    3. correctbatteryhorsestaplegooogle
    4. correctbatteryhorsestaplesomesite
    5. correctbatteryhorsestapleapple

站点 #4 以纯文本形式保存密码的做法很糟糕,而且他们的密码数据库会泄露。现在,从后者可以假设这是您使用的密码模式并推断出您可能拥有correctbatteryhorsestaplegithubGitHub 等的密码,但是从随机密码中不可能推断出其他随机密码,因为它们完全不相关。

另一方面,如果您的计算机被感染并且有人窃取了您的密码管理器数据库和密码(例如使用键盘记录器),那么他们就有了通往王国的钥匙。这是一个完全不同的风险模型,需要访问安装密码管理器的操作系统。为此,您需要其他措施,例如多因素身份验证。

微软对您提到的为您不关心的网站设置弱密码的想法进行了一些有趣的研究,并得出结论认为这是一种有效的策略。

但是,我认为密码管理器的一个优点是您不必花费任何脑力来找出您不关心的站点,更重要的是您不会进行错误分类。如果您使用的是密码管理器,则将其粘贴到“密码”中的点击次数与“区固完整军阀奶酪”相同。

(顺便说一句,我发现在使用我的密码管理器生成密码时,最好使用 5 个随机单词而不是 30 个随机字符。迟早你遇到一种情况,你必须将它输入到没有密码的计算机中。 '没有安装密码管理器代理。)

在密码管理器中使用公式化的密码生成方法而不是随机的方法会改变您的威胁模型。

使用密码管理器的主要威胁是您的主密码会被发现。对于大多数使用有限数量的受信任设备的人来说,这种可能性很小。但是,如果您经常需要从许多不同的、可能不受信任的设备(例如旅行和使用网吧或作为现场工程师)登录一系列服务,那么您的威胁模型可能会发生显着变化。

使用公式化的密码生成机制,您的威胁是公式被暴露。对于一个重要的公式,这可能需要人工干预和/或多个明文密码可用。由于密码可以被破解,因此它本质上较弱,但您容易受到不同类型的威胁,这可能是更有针对性的攻击。

密码管理器是软件,只要付出相对的努力,所有软件都可能存在漏洞。密码管理器也是一对多的,这意味着有人可能会花费足够的精力来窃取信息,因为从许多用户那里获得的收益将是多倍的。

只要不明显,我认为人类逻辑模式更安全。我的标准密码加站点名称仍然是一种模式选择,但非常糟糕。更明智的选择将允许您在不轻易显示模式的情况下处理无法识别的文本:

社交:

  • github = bmyMagic&458_ghkg
  • 交换 = emyMagic&458_ghke
  • 谷歌=emyMagic&458_ghkg
  • 脸书 = kmyMagic&458_ghkf

许多网站:

  • arandomsite = 23@ar_goeasy
  • justasite = 23@ju_goeasy
  • somestoreibuystuff = 23@so_goeasy
  • 苹果 = 23@ap_goeasy

重要事项:

  • 银行 = gJc$k49k&ci4j65_4l@l@
  • 金融形式 = gJg$f49f&gi4j65_12l@l@

我将登录分为 3 个类别,低风险、中风险和高风险(许多网站、社交和银行电子邮件)。

对于中等风险,我使用了 standard myMagic&458_ghk,然后将站点的第一个字母添加到末尾,最后一个添加到开头。

对于低风险,我使用另一个标准 the23@_goeasy并在 . 之后添加前 2 个字母@

对于高风险,我使用了标准gJ$49&i4j65_l@l@然后我取站点的第一个和最后一个字母并添加一个字母。所以对于银行,我得到bk制作它们cl然后我把这些字母放在 and 之前和$之后&但是因为&我把最后放在前面和放在后面。最后我在后面加上站点名称的长度_

看起来很复杂,但如果你习惯了,它并不多。只需在纸上保留一份关于您的“加密”的硬拷贝。还要确保清楚地对登录进行分类,以便了解每个登录使用什么公式。您还可以进行不同的分类,例如将字母拆分为 3 个部分并按第一个字母选择类别。

无论如何,您记住的是方法而不是密码,如果一个密码被泄露,则其他帐户可能都不会受到攻击。

通过这种方式,您始终可以“记住”无限数量的不同密码,并在……年后的任何地方登录!您还可以创建新帐户,而不必每次都发明新密码,或使用标准密码来记住。

此外,您的密码永远不会存储在您设备的任何位置,因为您可以选择“否”来自动保存密码。这是非常安全的。这将黑客攻击仅限于击键或剪贴板阅读器。

其它你可能感兴趣的问题
上一篇加密文件提供保护的攻击场景是什么? 下一篇将密码存储在 Google Drive 上是否安全?