鉴于当前大多数 Web 资源上流行的身份验证模型,Trevor 提出了一个关于使用密码管理器的性质和有效性的问题。
Trevor 提出了一个问题,该问题引起了人们对密码管理器在功能上是否过时的争议。
如果用户可以在大多数网站上可靠地选择“我忘记了密码”,并启动了密码重置并将链接发送到他们的电子邮件收件箱,那么他们的电子邮件收件箱不提供与电子邮件收件箱相同的功能吗?密码管理器?
如果用户每次希望登录网站时都能可靠地获得密码重置链接,那么尝试记住密码或将密码存储在管理器中有什么好处?
这个问题与如果我包含忘记密码服务不同,那么使用密码有什么意义?.
虽然相似,但这个问题旨在揭示将用例与密码管理器进行比较时存在哪些相对优势(或劣势)。
在另一个问题中,用例被比作死记硬背,并没有指出密码管理器很可能等同于简单地忘记密码并使用一次性登录这一事实。
您的论点取决于使用基于 Web 的服务。如果您将密码管理器用于 SFTP、加密驱动器、桌面应用程序等,那么您没有自助服务重置选项。
如果我们想继续仅针对 Web 应用程序的论点,这里有一些问题:
这要求您使用一个电子邮件地址,这可能不实用(不应将工作与个人电子邮件混为一谈)或可能不需要(匿名问题、组织、俱乐部共享电子邮件等)。如果您使用多个电子邮件地址,这也可以减少其中一个地址被泄露的影响。
这要求服务提供商要求提供电子邮件地址,而不是所有服务都要求或要求您提供电子邮件地址。
我不确定您是否希望依靠重置服务的可靠性。重置电子邮件可能需要更长的时间才能通过。服务提供商可以(应该)限制此类请求的速率。
密码重置不是为此目的而设计的。密码重置可能是综合分析的一部分,以将帐户置于更高的监控警报状态。该帐户刚刚重置,这是不寻常的,因此请应用更多监控和检查,因为重置可能表明帐户被接管。密码重置通常不被认为是常态。
对于密码重置,通常会出现挑战问题,因此每次仍然必须输入这些问题。这是必需的,因为用户无法知道电子邮件帐户是安全的还是隔离的。取决于你问谁,这有点像“你知道的东西”(挑战问题)和“你拥有的东西”(电子邮件帐户)的结合。
我个人宁愿攻击者必须闯入我的计算机,而不是在电子邮件提供商系统、内部网络等中发现漏洞。我真的不觉得我在 Internet 上的电子邮件是安全的或私密的。
即使这非常快,在每种情况下都没有挑战问题,它仍然很乏味,需要切换标签等。您也可能会被其他电子邮件分心,事情可能会意外进入垃圾邮件。我使用键盘快捷键进行自动输入,非常快速和透明。我的密码管理器也会清除我的剪贴板。
归根结底,我认为我对我的桌面密码管理器有更多的控制权,它适用于更多的场景,而且更容易、更可靠。
我的回答是否定的,它们并没有过时。你的范围太窄了。您认为可以重置密码管理器中存储的所有密码。您不考虑:
这些密码不能通过简单的重置链接“重置”,需要用户进行更多交互。因此,您的陈述是错误的。
我相信你问错了问题。正确的问题是,在每个人(电子邮件、论坛、网站等)拥有 100 个不同帐户的今天,您能记住每个人的不同密码吗?
不,你实际上不能。而且,随着从一个网站或另一个网站窃取密码数据库(加密或未加密)的黑客行为的盛行,跨网站重复使用密码是没有人应该再做的事情了。曾经。如果您有清晰的记忆并且可以为您访问的每个站点记住不同的密码,那么请务必取消密码管理器。
不要试图在您使用的所有在线服务中只使用 2 或 3 个不同的密码,因为当其中一个网站的安全性很差并且不小心将您的密码提供给最新的密码时,您将面临一个痛苦的世界。”俄罗斯黑客”。我保证他们会在每个金融机构尝试暴露的密码,看看你是否在某个地方重复使用了它。它发生在我身上——谢天谢地,我没有重复使用密码,但由于我的用户名相同,他们能够在登录尝试失败的情况下将我锁定在我的 3 个财务账户之外。
如果用户每次希望登录网站时都能可靠地获得密码重置链接,那么尝试记住密码或将密码存储在管理器中有什么好处?
这大致相当于雅虎的无密码认证概念。仅在您很少进行身份验证以使通过电子邮件循环比其他方法更麻烦的情况下,它才真正有意义。
不过,密码管理器是否相关的问题是完全不相关的。这就像在 Kayne West 的新专辑发行后询问密码管理器是否已经过时一样。一个只是不跟随另一个。
密码管理器使在线变得更加安全并提供有效的网络钓鱼保护变得简单。此值不受基于电子邮件的密码重置可用性的影响。