密码管理器:在笔记本电脑或智能手机上更安全?

信息安全 密码 密码管理 手机 密码 桌面
2021-08-28 20:34:06

我想向我的非技术朋友和家人推荐一个密码管理器,并帮助他们设置和使用它。我必须做出的决定之一是我是否推荐一款适用于笔记本电脑或一款适用于智能手机的产品。

智能手机:

  • 有更好的应用程序隔离。这是迄今为止最大的优势。
  • 随身携带,甚至无需考虑在线密码管理器,因为人们总是可以访问他们的密码管理器。
  • 拆卸起来很痛苦。在针对台式机和笔记本电脑的冷启动攻击极为罕见的情况下,我认为针对智能手机的冷启动攻击更为罕见。
  • 打字很痛苦,限制了主密码的长度。另一方面,大多数非技术人员可能也不会在计算机上快速打字。
  • 没有一个智能手机密码管理器允许生成密码,与随机密码相比,密码更容易输入计算机,同时同样安全。(5 个随机词(43k 词词典)包含 75 位熵,12 个字符(字母数字,大小写混合)包含 70 位)。

笔记本电脑:

  • 浏览时单击错误的内容可能会受到影响。我觉得智能手机没有这么多的问题,即使有人从商店安装了一个糟糕的应用程序,它也应该被隔离。
  • 允许复制密码而不是从智能手机上输入密码,从而提供更强的密码。(我预计 90% 的时间,人们会在笔记本电脑上登录帐户,而不是在智能手机上。)
  • 有更多可用的密码管理器。对于智能手机,只有一个合适的开源密码管理器,而对于笔记本电脑,我知道几个。

我的结论是智能手机有一点优势,但我必须找到一种生成密码短语的解决方案,最好是使用自定义键盘,这样它们就不必通过剪贴板。

我错过了任何(重要的)考虑吗?

4个回答

我不明白你为什么不想要一个同时适用于两者的密码管理器?您尚未使用密码管理器的非技术朋友受到您的要求的限制。你似乎在偏执模式下运行。你的朋友想要一些方便的东西。

如果你能让他们迁移到Lastpass,那将是对他们当前安全性的巨大改进。

  • 现在可以在手机和笔记本电脑上免费共享。
  • 它有 2FA,这对许多人来说可能已经太复杂了,而且非常不方便,但它确实有这个选项。如果设置正确,它可以防止来自未知计算机的登录。
  • Lastpass 有自己的 2FA 应用程序,让它变得更加容易。
  • 如果有人从其他位置登录,您会收到一封电子邮件。
  • 登录可能仅限于某些国家。

注意:我并不是要将这限制在 Lastpass。像1Password这样的其他密码管理器可能也有同样的好处。我没用过,所以不知道。Keepass是一个离线选项,但在 Dropbox 或 Google Drive 中共享数据库使其有点在线,但仍然更难使用。

一些问题:

  • 您对 Lastpass 或类似解决方案有何异议?我不是说必须使用它。这是为您的朋友准备的,他们需要加强安全性才能使用某些东西而不是什么都不用。在我看来,Lastpass 比没有安全得多。
  • 为什么您不提及您考虑的密码管理器?这将使这次讨论更有意义!
  • 在笔记本电脑和手机之间选择是什么?所以我不能在手机上使用我在笔记本电脑上使用的密码?如果您的朋友登录 Facebook,他们在手机和笔记本电脑上都需要它们!
  • 非技术人员可以以惊人的速度打字!在您的问题的进一步下方,您谈论由普通单词组成的密码。大多数人可以以正常的速度输入正常的单词。

恐怕您的解决方案会在第一次出现不便之处时被抛弃。明智并选择妥协!

披露:我为 1Password 的制造商 AgileBits 工作。

手机密码生成器

没有一个智能手机密码管理器允许生成密码

1Password 在 iOS 上可以使用,但在 Android 上却不是 1Password。

单词是从大约 18400 个 3 到 8 个字母长的英语单词列表中随机均匀地选择的。

如果我可以吹嘘一下,我的蹩脚声名是为了恢复对Diceware类生成器的兴趣,六年前的一篇博客文章启发了某 XKCD 漫画我们今天在 1Password 中使用的特定方案在 2015 年的 PasswordsCon 上提出。

避免剪贴板

...因此它们不必通过剪贴板。

在 Android 上,1Password 确实提供了一个自定义剪贴板,但我认为它并不能满足您的所有需求。在 iOS 上,我们(和其他密码管理器)使用应用程序扩展来允许与启用这些扩展的应用程序集成。但这些都不是完整的解决方案。

这是一个难题,所有密码管理器都以不同的方式面临和解决。在笔记本电脑上,大多数密码管理器使用浏览器扩展程序,以某种方式与实际密码数据进行对话。(密码管理器之间的“不知何故”不同,每种方法都有优点和缺点。)

在移动设备上,应用程序沙盒(对安全来说是一件好事)使这变得更加困难。我们一直小心翼翼地做的一件事是不要使用剪贴板,除非用户清楚这就是正在发生的事情。也就是说,我们不会默默地使用剪贴板。

同样,没有人有完美的解决方案,我们在处理相同类型的难题时都会略有不同。

平台

这个问题在评估移动设备与笔记本电脑的优缺点方面做得很好,包括在平台上使用密码管理器的安全性,但其余细节似乎假设对于移动设备,您只考虑 Android。这对我来说似乎很奇怪。谷歌在帮助人们避免恶意软件和帮助人们更新系统方面取得了长足的进步,但苹果在这些方面仍然要好得多。

尽管我猜你讨厌云,但人们会希望在他们使用的所有系统上都可以使用他们的密码数据。仅在其中一个系统上拥有密码管理器将使人们处于与今天相同的位置。他们将继续重复使用相对较弱的密码,除非他们的密码管理器在他们工作的地方为他们工作。

这让我们...

可用性

您正在为“非技术朋友和家人”寻找密码管理器。可用性不仅仅是一个漂亮的用户界面。它是关于设计事物以适应人们的运作方式,而不是违背规律。这不是一个“可用性与安全性”的问题,而是让人们更容易安全地行事而不是不安全地行事。

如果您希望人们真正使用您为他们设置的系统,您需要考虑所有这些。

隐形特征

密码管理员面临同样的问题,我们经常会提出类似的解决方案。但在幕后仍然存在实质性差异。什么算作“元数据”是一回事。服务可以了解其用户行为是另一回事。如果服务器受到威胁,它提供了哪些防御措施。有哪些针对数据篡改的防御措施等等。用户(甚至许多审查密码管理器的人)通常看不到这类事情。

我鼓励你看看这些东西。的1Password安全白皮书还是有缺失的部分(我们正在慢慢地填补那些),但都进入细节和它谈论的肯定和各种设计元素的底片两者。

是的,你错过了一个明显的建议,即关闭互联网流量的气隙笔记本电脑或智能手机纯粹用于密码管理和其他敏感任务。虽然这比通常所保证的稍微偏执,但它可能会将球门柱移动到足以说服某些人使用密码管理器的程度。

当您使用它时,您绝对可以提醒家人/朋友检查她/他的笔记本电脑/手机是否有木马。毕竟,在键盘记录器上安装密码管理器是没有意义的。

我建议将密码管理器放在 USB 记忆棒上,因为这样可以隔离任何潜在的攻击,除非它已插入,并且不需要携带禁用 NIC 的气隙笔记本电脑的愚蠢行为。

其它你可能感兴趣的问题
上一篇我注册了一个 .com 域并收到了来自 domainadmin.com 的电子邮件 下一篇如果我签署了其他人的密钥,后来认为这是一个坏主意,是否可以取消签名?