[[340071]]

【51CTO.com快譯】密碼有許多問題：太短、太復雜、太常使用、太多了記不住。斯坦福大學現在使用數字密鑰代替登錄/密碼，以便廣大學生、員工和教授訪問大學網絡。IT團隊正在考慮使用無密碼解決方案，以減輕管理訪問和身份的負擔。

個人可以使用密碼管理器來兼顧安全和便利。然而，這些服務有自身的安全風險。下面基于四位技術新聞記者各自的經驗和分析來闡述密碼管理器的優缺點。

密碼管理器的優點

技術記者Rob Pegoraro先嘗試使用LastPass，隨后改用為記者們提供免費服務的1Password。他還將iCloud Keychain用于一些帳戶;至于一些不大重要的登錄，他使用谷歌內置到Chrome和Android中的密碼管理服務。他認為，端到端加密服務是記住許多復雜密碼的理想選擇。

他說：“與人腦或瀏覽器的自動填充功能相比，密碼管理器存儲密碼來得更可靠更安全——只需您設置好讓它記住復雜的密碼，啟用兩步驟驗證即可。最后一道防線不能通過短信來實現，短信很容易遭到SIM交換帳戶攻擊;每款可靠的密碼管理器都應通過USB安全密鑰來提供該功能，這種安全密鑰無法被網絡釣魚攻擊偽造。”

Pegoraro的確對密碼管理器作了一個重要的補充：他并不將最重要帳戶的密碼保存在密碼管理器中。

IT咨詢公司總裁David Strom多年來一直使用LastPass來存儲數百個登錄信息。

“我不停地換著使用Mac、Windows筆記本和iPhone，我可以從所有三種設備訪問所收集的密碼。”

Strom表示，這項服務的好處壓倒了相關的安全風險。

他說：“由于我擁有受MFA保護的可靠的主保險庫密碼，因此我有理由相信自己很安全，比在諸網站之間重復使用密碼安全得多。”

密碼管理器還可以幫助志愿者技術支持。

Pegoraro說：“作為向親戚提供技術支持的主要來源，我還意識到，密碼管理器中的安全筆記功能是存儲家人最重要密碼的好地方，以防他們忘記密碼或需要帳戶方面的幫助。”

Pegoraro希望蘋果為臺式機Mac添加生物特征識別身份驗證機制，那樣他不必每次都要輸入主密碼才能解鎖1Password。

他說：“在我的Windows筆記本上使用這項Mac優先的服務來得比較輕松真是愚蠢。”

密碼管理器的缺點

試過幾款密碼管理器并撰寫泄密文章之后，技術記者Sean Michael Kerner采用了一種技術含量低的方法來管理其密碼：紙張。

他說：“我對任何密碼管理器絕對沒有信心，這不可避免地存在風險。紙張技術含量低，但管用。”

Kerner使用YubiKey進行多因子身份驗證。

ExtremeLabs公司的創始人Tom Henderson不使用密碼管理器，因為他認為使用密碼管理器的公司是黑客的主要攻擊目標。

Henderson說：“依靠密碼管理器會成為習慣，這帶來了危險的安全感。”

Henderson使用四個YubiKey作為密碼的輔助手段，補充道他認識該公司的所有者和創始人。

他說：“可能很方便，但是所有可能的設備使用同樣的密鑰可能會帶來不便。”

管理密碼的貼士

除了使用多因子身份驗證外，Henderson建議將密碼和安全證書保存在文本文件中，并取個易于記住的名稱，比如good_recipes.txt或school_dates.txt。用戶應經常更新密碼，刪除該文件的舊版本。

他說：“在閃驅上拷貝一份，放到別處保管起來，那樣萬一發生不測，至少你還有密碼。”

幾位新聞記者建議每月關注一次HaveiBeenPwned，看看有效密碼是否泄露。

Strom表示，他希望LastPass與該網站集成起來，防止用戶使用泄露的密碼，1Password提供這項功能。

原文標題：Extra security or extra risk? Pros and cons of password managers，作者：Veronica Combs

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】