如今,我们都有大量的在线帐户和服务订阅。为了确保这些帐户的安全,每个帐户都必须拥有唯一且可靠的密码。更重要的是,真正强的密码必须很复杂,这意味着它们极难记住。
最好的解决方案是专门设计用于代表您记住所有密码的密码管理器。通过使用密码管理器,您可以为每个在线帐户设置强大的唯一密码,而无需记住所有密码。
然而,并不是每个密码管理器都是一样的,在选择服务时需要考虑一些重要的事情。
密码管理器 - 他们可以信任吗?
在选择密码管理器时,有一些主要考虑因素会导致这些服务或多或少地相互比较。其中最重要的因素之一是软件是否关闭或开源。
闭源软件是专有的,并以任何人不得使用、修改或分发的方式获得许可(受版权保护)。此外,闭源软件被锁定,无法分析代码(未经开发人员授予直接访问权限)。
如果密码管理器的代码是闭源的,则无法进行第三方审核,并且无法验证其开发人员提出的任何声明。这意味着当密码管理器的开发人员告诉您密码管理器如何存储或传输数据时,您必须信任它。密码管理器。
每当密码管理器是闭源的时,您根本不知道该服务是否像开发人员声称的那样安全,并且可能会使您的隐私和安全面临风险。
看看我们的最喜欢的密码管理器。
开源——黄金标准
尽管可以在线发布任何程序的源代码(在吉图布,例如)这使得代码可用,但不一定是“开源”。开源软件不仅必须可供审核,还必须具有符合以下要求的开源许可证:开源定义。
符合这些严格标准的软件必须可以自由重新分发,必须提供对源代码的无限制访问,并且必须遵守将源代码描述为“开源”的所有十个定义。遵守这些标准并且创建者放弃了知识共享许可证 (CCL) 的所有权利的软件才是真正的开源软件。
开源软件可以由任何第三方审核。这对于隐私和安全至关重要,因为这意味着安全专家(或任何愿意的人)可以分析代码并验证是否存在错误、漏洞或故意的后门。这还意味着任何有关加密标准、密钥管理、数据如何传输到公司服务器或数据如何跨设备同步的声明实际上都是可验证的。
还值得注意的是,虽然公开可用的代码不一定是该术语最严格定义中的“开源”,但出于安全和隐私目的,它仍然令人满意。这是因为它仍然允许安全专业人员分析和验证服务的源代码。
其他重要考虑因素
正如您所看到的,开源 Vs。在选择任何隐私软件时,闭源是一个重要的考虑因素。然而,当谈到密码管理器时,可以说还有其他同样重要的东西(并且与闭源/开源辩论密不可分)。
密码管理器有两种类型:您可以加密自己的密码并且只有您可以解密的服务。以及您委托第三方为您加密密码的服务(并且第三方持有代表您解密密码的密钥)。
在线存储密码在用户体验方面被认为是极好的 - 因为它允许从任何设备访问密码。而且,如果这些密码以端到端加密方式存储,则此实现被认为是安全的,因为只有用户有权解密其密码。
当然,如果您的密码存储在公司服务器上,这确实会稍微增加它们被黑客攻击的风险(例如,黑客可以简单地猜测您的主密码)。但是,只要您的主密码既独特又复杂,并且/或者您使用密钥文件或其他形式的双因素身份验证 (2FA),这种风险就极小。
值得注意的是,如果密码管理器提供真正的端到端加密(E2EE),那么您的帐户将永远无法恢复。这是因为只有您有权使用主密钥访问您的密码。如果您丢失了主密钥,您将永远无法使用密码。这可能会让一些用户担心 - 他们担心丢失或忘记他们的主密码。然而,它实际上是一个更好的密码管理器的标志。
任何想要真正安全的密码管理器的人最好选择一种永远无法恢复且只有他们掌握主密钥的服务。此外,为了真正值得信赖,密码管理器的软件应该是开源的。
如前所述,如果密码管理器是闭源的,则无法验证它是否是前面提到的类型之一。因此,无法验证闭源密码管理器是否与第三方秘密共享您的主密钥。
理论上,任何声称拥有 E2EE 的闭源密码管理器都可以代表 NSA 编译每个用户的密码集合。即使这看起来不太可能,但如果密码管理器是闭源的,则有可能。
闭源 VS 开源密码管理器
下面我们整理了一个流行的密码管理器列表,以便您可以了解它们是封闭的还是开源的。此列表中的许多闭源密码管理器都享有良好的声誉,根据您的威胁模型,有些可能是您的不错选择。
但是,我们仍然向任何想要获得最佳安全级别的人推荐不可恢复的开源管理器。