密碼管理員
密碼管理員或金鑰管理員是一類用於生成、檢索、儲存及管理複雜密碼、數位簽章的措施,可以由硬體或軟體實現。複雜密碼的生成一般按需要以隨機演算法產生,而密碼資料則儲存於一個以密碼、數位簽章等方式加密的資料庫內。它的作用類似於鑰匙圈,方便個人或企業組織集中管理密碼、數位簽章等身分管理要素。[1][2]
如今常見的密碼管理員有三類:
它們的主要區別是儲存密碼及數位簽章的加密資料庫是儲存在本機使用的,還是儲存在線上儲存服務的,還是儲存在特定儲存裝置的。一些密碼管理員,如GNOME 鑰匙圈、鑰匙串、大部分瀏覽器內建的密碼表單儲存功能等,既可在本機存取,也可在使用者經過設定以後能使用線上儲存服務的。一般密碼管理員會要求使用者至少需要一個「主控密碼」來解鎖經過該主控密碼加密的存有帳號密碼資訊的資料庫。[3][4]
本地安裝的軟體
密碼管理員通常以本地安裝的軟體應用程式的形式存放在使用者的個人計算機或行動裝置上,例如智慧型手機。這些應用程式可以離線使用,其中密碼資料庫獨立地儲存在與密碼管理員軟體相同的裝置上。或者,密碼管理員可以提供或要求在雲端儲存,其中密碼資料庫依賴於在線檔案代管服務並遠程儲存,但是由安裝在使用者裝置上的密碼管理軟體處理。
某些離線密碼管理員不需要Internet權限,因此不會因網路而洩漏數據。在某種程度上,完全離線的密碼管理員比在線密碼管理員更安全,但在便利性和功能方面可能差很遠。
基於Web的服務
在線密碼管理員是一個安全儲存登入詳細資訊的網站。它們是更傳統的基於桌面的密碼管理員的基於Web的版本。
在線密碼管理員優於基於桌面的版本的優點是可移植性(它們通常可以在任何具有網頁瀏覽器和網路連接的計算機上使用,無需安裝軟體),並且可以降低因盜竊或損壞而丟失密碼的風險。
在線密碼管理員的主要缺點是使用者信任代管站點並且鍵盤記錄器不在他們正在使用的計算機上。由於伺服器和雲端是網路攻擊的焦點,如何對在線服務進行身分驗證,並且儲存在那裡的密碼使用使用者定義的金鑰進行加密同樣重要。同樣,使用者傾向於為了方便而繞過安全性。另一個重要因素是:究竟是使用單向還是雙向加密。
有混合的解決方案。一些在線密碼管理系統分發他們的原始碼。它可以單獨檢查和安裝。
基於權杖的硬體裝置
安全權杖是基於權杖的密碼管理員的一種形式,其中本地可訪問的硬體裝置(例如智慧卡或安全USB閃存裝置)用於代替傳統的基於文字的密碼或者除了傳統的基於文字的密碼之外還對使用者進行認證。儲存在權杖中的數據通常是加密的,以防止探測和未經授權的數據讀取。一些權杖系統仍然需要在電腦上載入軟體以及硬體(智慧卡讀卡機)和驅動程式以正確讀取和解碼數據。
- 憑證使用安全權杖進行保護,因此通常通過組合提供多因素身分驗證
- 使用者擁有的東西,如移動應用程式,生成類似於虛擬智慧卡,智慧卡和USB記憶棒的滾動權杖,
- 使用者知道的東西(PIN或密碼)
- 使用者的生物識別,例如指紋,手,視網膜或面部掃描器。
參見
參考資料
- ^ Price, Rob. Password managers are an essential way to protect yourself from hackers — here's how they work. Business Insider. 2017-02-22 [2017-04-29]. (原始內容存檔於2017-02-27) (英語).
- ^ 密碼被駭屢見不鮮,我們該如何設定強健的密碼?. TechNews 科技新報. [2018-05-23]. (原始內容存檔於2018-05-24) (中文(臺灣)).
- ^ Opera 說明: 功能設定: 密碼管理員. help.opera.com. [2018-05-23]. (原始內容存檔於2018-05-24).
- ^ 密碼管理員 - 讓 Firefox 中記憶、刪除或變更已儲存的密碼 | Firefox 說明. support.mozilla.org.