如今,我們都有大量的在線帳戶和服務訂閱。為了確保這些帳戶的安全,每個帳戶都必須擁有唯一且可靠的密碼。更重要的是,真正強的密碼必須很複雜,這意味著它們極難記住。
最好的解決方案是專門設計用於代表您記住所有密碼的密碼管理器。通過使用密碼管理器,您可以為每個在線帳戶設置強大的唯一密碼,而無需記住所有密碼。
然而,並不是每個密碼管理器都是一樣的,在選擇服務時需要考慮一些重要的事情。
密碼管理器 - 他們可以信任嗎?
在選擇密碼管理器時,有一些主要考慮因素會導致這些服務或多或少地相互比較。其中最重要的因素之一是軟件是否關閉或開源。
閉源軟件是專有的,並以任何人不得使用、修改或分發的方式獲得許可(受版權保護)。此外,閉源軟件被鎖定,無法分析代碼(未經開發人員授予直接訪問權限)。
如果密碼管理器的代碼是閉源的,則無法進行第三方審核,並且無法驗證其開發人員提出的任何聲明。這意味著當密碼管理器的開發人員告訴您密碼管理器如何存儲或傳輸數據時,您必須信任它。密碼管理器。
每當密碼管理器是閉源的時,您根本不知道該服務是否像開發人員聲稱的那樣安全,並且可能會使您的隱私和安全面臨風險。
看看我們的最喜歡的密碼管理器。
開源——黃金標準
儘管可以在線發布任何程序的源代碼(在吉圖布,例如)這使得代碼可用,但不一定是“開源”。開源軟件不僅必須可供審核,還必須具有符合以下要求的開源許可證:開源定義。
符合這些嚴格標準的軟件必須可以自由重新分發,必須提供對源代碼的無限制訪問,並且必須遵守將源代碼描述為“開源”的所有十個定義。遵守這些標準並且創建者放棄了知識共享許可證 (CCL) 的所有權利的軟件才是真正的開源軟件。
開源軟件可以由任何第三方審核。這對於隱私和安全至關重要,因為這意味著安全專家(或任何願意的人)可以分析代碼並驗證是否存在錯誤、漏洞或故意的後門。這還意味著任何有關加密標準、密鑰管理、數據如何傳輸到公司服務器或數據如何跨設備同步的聲明實際上都是可驗證的。
還值得注意的是,雖然公開可用的代碼不一定是“開源”一詞的最嚴格定義,但它仍然足以滿足安全和隱私目的。這是因為它仍然允許安全專業人員分析和驗證服務的源代碼。
其他重要考慮因素
正如您所看到的,開源 Vs。在選擇任何隱私軟件時,閉源是一個重要的考慮因素。然而,當談到密碼管理器時,可以說還有其他同樣重要的東西(並且與閉源/開源辯論密不可分)。
密碼管理器有兩種類型:您可以加密自己的密碼並且只有您可以解密的服務。以及您委託第三方為您加密密碼的服務(並且第三方持有代表您解密密碼的密鑰)。
就用戶體驗而言,在線存儲密碼被認為是極好的 - 因為它允許從任何設備訪問密碼。而且,如果這些密碼以端到端加密方式存儲,則此實現被認為是安全的,因為只有用戶有權解密其密碼。
當然,如果您的密碼存儲在公司服務器上,這確實會稍微增加它們被黑客攻擊的風險(例如,黑客可以簡單地猜測您的主密碼)。然而,只要您的主密碼既獨特又復雜,和/或您使用密鑰文件或其他形式的雙因素身份驗證 (2FA),這種風險就極小。
值得注意的是,如果密碼管理器提供真正的端到端加密(E2EE),那麼您的帳戶將永遠無法恢復。這是因為只有您有權使用主密鑰訪問您的密碼。如果您丟失了主密鑰,您將永遠無法使用密碼。這可能會讓一些用戶擔心 - 他們擔心丟失或忘記他們的主密碼。然而,它實際上是一個更好的密碼管理器的標誌。
任何想要真正安全的密碼管理器的人最好選擇一種永遠無法恢復且只有他們掌握主密鑰的服務。此外,為了真正值得信賴,密碼管理器的軟件應該是開源的。
如前所述,如果密碼管理器是閉源的,則無法驗證它是否是前面提到的類型之一。因此,無法驗證閉源密碼管理器是否與第三方秘密共享您的主密鑰。
理論上,任何聲稱擁有 E2EE 的閉源密碼管理器都可以代表 NSA 編譯每個用戶的密碼集合。即使這看起來不太可能,但如果密碼管理器是閉源的,則有可能。
閉源 VS 開源密碼管理器
下面我們整理了一個流行的密碼管理器列表,以便您可以了解它們是封閉的還是開源的。此列表中的許多閉源密碼管理器都享有良好的聲譽,根據您的威脅模型,有些可能是您的不錯選擇。
但是,我們仍然向任何想要獲得最佳安全級別的人推薦不可恢復的開源管理器。