《華爾街日報》：最安全的密碼存儲方法

Cordilia James

2022-06-07

安全訪問在線賬户的第一步：為每個賬户創建複雜且唯一的密碼。第二步：切實記住這些密碼，或將它們安全存儲。

有許多工具可以幫助完成第二步，其中一些比其他更安全。有些人使用密碼管理器，而另一些人則使用手機上的加密筆記。還有一些人將密碼寫在紙上或依賴記憶技巧。

我們評估了這四種流行的密碼管理策略的安全性。繼續閲讀以瞭解哪些方法有效，哪些無效，以及如何加強您的密碼存儲策略。

安全：密碼管理器

專家表示，保存密碼的最佳方法是將其鎖定在密碼管理器中，例如Dashlane、Keeper Security或LastPass。這些工具允許您為所有賬户設置唯一密碼，而您只需記住讓您進入密碼管理器保險庫的主密碼。

然而，許多人並不使用它們。在2022年密碼管理器Bitwarden的一項全球調查中，只有30%的受訪者表示使用密碼管理器。

密碼管理器並非無懈可擊。但專家表示，黑客入侵併竊取您的信息的可能性很小。管理器不會在其服務器上存儲主密碼，因此黑客在那裏挖掘會一無所獲。

如果您將主密碼保存在設備上不安全的位置，可能會面臨風險。但除此之外，黑客要入侵您的賬户，要麼需要破解加密（通常是一個不太可能、緩慢且昂貴的過程），要麼需要猜測主密碼，Jeremi M. Gosney表示。他此前是一家初創公司的首席執行官，該公司在疫情期間關閉前曾向企業、機構和軍事客户銷售密碼破解設備。

“除非您使用的密碼簡單得離譜，”Gosney先生説，否則不太可能有人能猜到它。“即使嘗試一百萬次猜測某人的主密碼，所需的成本和時間也是天文數字，”他説。

Gosney先生表示，您的瀏覽器或操作系統內置的密碼管理器，如Google的密碼管理器或Apple的iCloud鑰匙串，是存儲憑據的另一個相對安全的地方。這裏的最大風險是由惡意軟件引起的瀏覽器安全漏洞，或者使用您設備的人在您登錄時可以訪問您的密碼。

在選擇密碼管理器時，請確保您選擇的工具有密碼生成器，可以為您的賬户創建複雜密碼。為了想出一個您能記住的強大主密碼，您可以使用生成器來幫助，或者想出一個使用隨機單詞的密碼短語。（如果其中一些單詞是不同語言的，那就更好了。）如果您忘記了主密碼，可以重置它。

專家還鼓勵使用雙因素認證，這要求您在輸入密碼後，還需要響應發送到您的計算機或手機的提示才能獲得權限。

相對安全：記憶系統

Bitwarden的調查顯示，約55%的受訪者表示有時依賴記憶管理密碼，這使其成為全球最流行的密碼存儲方式。該策略有其優勢：黑客無法獲取你大腦中的信息，即使有搜查令，當局也無法獲取。

但根據Dashlane的數據，美國網民平均擁有150個需要密碼保護的賬户。除非你有過目不忘的記憶力，否則可能會反覆使用相同密碼，這會帶來重大安全風險。

其他潛在問題：專家指出，有些人為了便於記憶而設置簡單密碼，通常使用最低要求的字符數——這使得密碼更容易被破解。將個人信息以及"123"、“QWERTY"或網站名稱納入密碼也很常見，這些技巧對黑客來説都極易破解。

網絡安全公司Sphere Technology Solutions首席執行官Rita Gurevich表示，正如不應在多個網站使用相同密碼，也不應使用相似變體。例如，僅以"123"和"456"結尾的密碼差異並不明智。即使你確信自己的系統萬無一失，黑客只需一兩次數據泄露就能識破規律。

雖然記住所有賬户密碼不太可能，但可以記憶幾個最重要的密碼。創建強密碼後，通過定期手動輸入來訓練大腦記住它們。

相對安全：實體副本

許多人直接將密碼寫在紙上。Bitwarden調查顯示約32%的受訪者表示會採用這種方式記錄密碼。

紙質密碼被竊取的概率較低——除非你將密碼條貼在電腦等顯眼處。書面密碼應存放在你易取用但他人難以接觸的地方。

採用此方法前需評估自身處境。專家不建議在工作場所（如辦公桌下或鍵盤下）存放實體密碼。即使在家中存放也存在風險，尤其對可能遭受家暴者而言。可考慮使用隨身攜帶鑰匙鎖住的抽屜或容器。

也可將密碼清單存放在可信家屬能在緊急情況下找到的位置。Gosney先生建議將清單置於冰箱中，以增加其在火災等意外中的存活幾率。

不安全：文檔與應用

Bitwarden調查中約23%的受訪者承認有時會將密碼存儲在電腦文檔中。

密碼保護的文檔雖優於未加密文檔，但兩者均非良策。Gosney指出，攻擊者無需直接接觸設備，通過惡意軟件或社會工程學手段獲取遠程訪問後，即可在驅動器或內存中搜索密碼文檔及憑證。

從文檔中複製密碼並粘貼到網站登錄框的行為同樣可能導致賬户遭受黑客攻擊。網絡安全公司Delinea的首席安全科學家約瑟夫·卡森指出，設備上能訪問剪貼板的應用程序可能會以明文形式查看密碼。

而部分密碼管理器已內置防護措施。例如1Password能自動清除剪貼板中的密碼，防止第三方獲取已複製的驗證碼。Keeper Security技術總監克雷格·盧瑞表示，自動填充功能由於完全規避了剪貼板操作，可能是更安全的選擇。

本文作者科迪莉亞·詹姆斯是《華爾街日報》駐紐約記者，聯繫方式：[email protected]。

專家表示，保存密碼的最佳方式是將其鎖定在密碼管理器中。插圖：克里斯·加什刊載於2022年6月8日印刷版，原標題《最安全的密碼存儲方式》。