篇首语
经常看到很多密码管理器的评测和讨论,大多聚焦于功能特性,对于最关键的安全性,小编们基本都说不清楚。这当然可以理解,毕竟密码管理器的安全非常专业也非常技术性,具备足够知识背景的人并不多。
本系列文章主要从密码管理器保护密码的安全性角度,分享一下相关的专业知识。密码管理器的安全性涉及到很多方面的知识,本系列文章只讨论对数据加密保护这个核心技术。
➊ TL; DR(太长了,不想读)
密码管理器已经进化了4代,每一代都带来安全性的巨大提升。
本文要讲解的是第一代密码管理器,总结如下:
- 安全技术: 有管理,无保护
- 典型代表: 小本本,记事本,浏览器集成的密码管理器,一些私密云笔记
➋ 起源
故事是这样开始的。
互联网服务越来越流行,大家要登录的网站越来越多,要记住的密码也越来越多了。
- 密码要长
要粗,哦不,要复杂,包含数字、字母、符号和表情包 - 不能使用相同密码
为啥不能使用相同的密码?请戳👉 密码重用的危害及规避方法 - 太多了记不住
于是人们就开始尝试各种管理密码的方法,
有人用小本子写得密密麻麻,有人则用记事本保存到文件。
现在云笔记开始流行了,还能写私密笔记。设一个密码,随时同步,真方便!
☝️ 黑客也这么看!
➌ 没有保护的密码管理器
大家使用浏览器上网经常要输入用户名和密码,浏览器就集成了记住密码和填写密码功能。
第一代密码管理器通常都没有加密,也就是说,和你用记事本保存在电脑上差不多。
密码明文集中保存!嘿嘿,你看看黑客的小心脏
浏览器厂商也知道这个问题很严重,慢慢都开始加密保存,现在打开浏览器保存密码的数据库文件看不到明文密码了。
可是,可是,没什么卵用啊…
比如Chrome浏览器在Windows上就使用 DPAPI 来加密,用户打开任何其他程序都可以调用 CryptUnprotectData 解密得到密码。
加密≠安全
甚至还有人写了开源程序,能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码,就在这里 Chrome-Password-Grabber
➍ 第一代安全技术
第一代密码管理器的安全技术:有管理,无保护。
- 根本没有加密保护
或者, - 很容易破解的简单加密保护
如果浏览器可以直接读取保存的密码,那其他应用程序也可以使用相同的方法读取。
所以,如果浏览器可以直接填充密码,而不要求输入独立的主密码解锁,那就没有真正的保护。
浏览器还是黑客们最主要的攻击目标之一,墙裂建议,不要使用浏览器自带的密码管理器!!!
- 举个知名浏览器的栗子: Opera服务被黑,用户数据和存储密码泄露
➎ 私密云笔记
记事本写密码大家都知道很不安全,输入密码才能查看的私密云笔记,却有很大的迷惑性,很多用户会误以为安全。
有些云笔记仅仅使用密码限制用户访问,而不是使用密码加密笔记内容。
就是防一下女朋友打开电脑时直接看到内容。
如果云端被黑客入侵,那你保存的密码就很可能被盗。
- 我不会告诉你,云笔记的开发者也可能偷看 😂
使用云笔记保存密码要非常小心,除非确信设置的密码用于加密内容。
(敬请期待下一篇,第二代密码管理器)
303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
