我遇到这个困难有一段时间了,我希望得到一些反馈或推荐到可能讨论这个问题的网站。
如今,我们所有人都有多个帐户,包括个人帐户和与工作相关的帐户(登录工作中的网站或应用程序,登录个人计算机和移动设备等)。我个人有 50 多个不同的帐户。此外,其中一些资源需要每个月左右更换一次密码,其中一些要求下一个密码的符号组合与前一个不同,并且它具有大写字母和数字等符号,嗯,你知道...
您如何想出这么多具有不同符号组合的不同密码,以及如何记住所有这些密码?
我觉得在个人移动设备或云存储中记录与工作相关的密码是不正确的。公司政策也禁止这样做。我也不想记录我可以管理个人财务或税收的网站的密码。
接下来,可以使用用于注册的电子邮件恢复一些密码。使用注册时使用的电话号码可能会恢复某些密码。你是怎么管理的?您是否记录或记住电子邮件与站点/资源之间的对应关系以及登录信息?您是否使用单独的电子邮件来处理与金钱相关的问题?
有没有关于这个主题的有趣文章?处理这么多复杂性的正确方法是什么/有什么诀窍吗?该系统的创建者是否有一个想法?如果我们最终记录了所有这些密码,这一切如何才能保证安全?
密码管理器是此问题的公认和推荐解决方案:
NCSC(英国):
https ://www.ncsc.gov.uk/blog-post/what-does-ncsc-think-password-managers
CERT(美国):
https ://us-cert.cisa.gov/ncas/tips/ST04-002
ENISA(欧盟):
https ://www.enisa.europa.eu/news/enisa-news/tips-for-secure-user-authentication
NISC(日本):
https ://www.nisc.go.jp/security-site/campaign/files/aj-sec/handbook-all_eng.pdf
NIST(标准正文):
https ://pages.nist.gov/800-63-3/sp800-63b.html
自从10 年前该网站开始运营以来,密码管理器一直是这里专家的推荐。
以下是帮助您入门的密码管理器列表。这种类型的软件已经存在了大约 20 年。
特点:
实际上,您不需要将100% 的密码放在一个密码管理器中。将您的工作密码和个人密码分解为不同的软件并使用具有您工作环境所需功能的软件是有意义的。一些工作环境为所有员工提供商业密码管理器以获取工作密码。其他人则为 IT 部门提供商业密码管理器,以记住他们管理的数千个系统的所有密码。
实际上,即使是有弱点的密码管理器也比尝试生成自己的密码并记住它们更安全。长而随机的密码是最安全的,您的大脑无法生成或记住这些密码。
将它们写下来是另一种需要考虑的选择,但这会受到缺乏加密和备份的影响。
使用密码管理器是最明显的解决方案。没有理由不使用一个。
您可以拥有非常复杂的密码,每个网站(或其他用途)都不同,您不必记住它们。
根据我的经验,举一个具体的例子,我使用KeepassXC,它是著名的 KeePass 软件的一个分支。
一些好处:
一些对我很重要的标准:
我大部分时间都使用 Linux,但该应用程序也可以在 Windows 上运行。我可以简单地复制 .kbx 数据库文件并开始在另一台计算机上使用它。
还有一个浏览器插件可用。因此,您可以零按键登录网站。
缺点:需要一些纪律。我在几台机器上有多个数据库文件副本。所以我必须确保它们彼此同步。或者至少,如果我对其中一个进行更新,我必须确保不会覆盖更新的版本。如有疑问,请查看上次修改日期。
我可以用许多不同的方式同步文件,但到目前为止我还没有这样做。
我觉得在个人移动设备或云存储中记录与工作相关的密码是不正确的。公司政策也禁止这样做。我也不想记录我可以管理个人财务或税收的网站的密码。
您可以使用一个应用程序但单独的数据库文件:一个供个人使用,一个供企业使用等。这确实是一个很好的做法。
看来你的情况是
然后我建议您使用电子表格来生成和存储凭据。
您可以打印电子表格的副本作为备份。考虑到强制性的密码更改,我会在电子表格上注明日期。更改密码时一定要替换打印的备份。安全地销毁旧的打印输出。将您的打印输出保存在安全的位置。
显然密码管理器会更好,但根据现有事实,我不得不得出结论,您的雇主不希望您使用密码管理器。