Dan*_*her 4 security password-management lastpass
我正在查看以下内容:
1password(喜欢UI,不介意价格),lastpass(喜欢yubikey,讨厌界面),keepass(更讨厌界面)。
我想使用 1password 但是我害怕以下情况,因为我的 GMail 最近被“黑了”。
我有 2 台电脑 + iPhone。(一台 MBP,一台 PC)。
我并不担心我的 MBP,但是如果我在计算机之间同步 Dropbox 中的 1password 文件并且有人拿到我的 PC,他们可能会记录我的主密码,然后从 Dropbox 获取我的文件,然后他们可以访问密码列表中的所有内容。
我是不是太偏执而不能这么想,还是那种类型的向量值得害怕?正因为如此,这让我觉得我真的很想要一种多因素身份验证方法来真正保护我。
想法?
您建议的场景理论上是可能的。您可以通过使用 Dropbox 客户端而不是通过网络访问 Dropbox 来最大程度地降低风险。您的帐户将与您的计算机预先关联,并且您不会输入您的 Dropbox 密码,因此他们用键盘记录器获取它的可能性很小。另一种可能性是将您的密码数据库保存在 Truecrypt 加密的 USB 密钥上,或者在您的 iPhone 上以某种方式加密而不是在线文件共享服务,这使得获取您的密码文件更加棘手,因为它永远不会存储在任何地方除非你的身体在哪里。当然,如果他们有足够的权限来安装键盘记录器,他们很可能有足够的权限从本地存储中获取数据库文件。
如果您想完全避免使用密码管理器但仍然拥有令人难忘的密码,那么我推荐剑桥大学安全研究员罗斯·安德森 (Ross Anderson) 提倡的方法。使用长短语的第一个字母创建密码,因为这将使您能够生成仍然令人难忘的长(即难以破解)的密码。我实际上使用这种技术(经过修改以通过包含数字和标点符号来增加熵)来创建我能记住的非常安全的主密码。有关更多详细信息,请参阅http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf。
您采取的任何安全措施都将在便利性和安全性之间进行权衡。高度偏执的用户永远不会从他们无法控制的机器上输入密码,而只会通过 https 通过 Internet 发送密码。当然,这将限制您可以访问受密码保护的内容的位置数量。
除非您认为某人特别有可能想要您的特定数据,否则对您的密码安全性的任何攻击都可能是低级拖网,以获取低垂的果实。因此,黑客很可能会使用自动化工具,并且不太可能特别努力找出您使用的密码管理器、获取密码文件等。如果您认为自己很可能成为目标攻击,记住所有敏感帐户的单独高熵密码,并且仅从您控制的带有最新防病毒和反恶意软件的 PC 访问它们可能是最好的前进方式。
| 归档时间: |
|
| 查看次数: |
347 次 |
| 最近记录: |