隨著居家辦公成為新常態,思考如何確保您的個人及專業資料安全就顯得很重要。隨著網絡犯罪在全球日益猖獗,密碼就成為駭客經常竊取的主要資產之一。儘管大家都知道多個不同的應用程式及賬戶不應使用單一的密碼,但仍有許多使用者執意如此,這主要是基於更方便、更好記的原因。
但是,在您的個人系統上設定一個密碼庫或密碼管理器也很簡單。這樣,您就能規避資料洩露風險,而且您最終僅用記住一個密碼(「主密碼」)即可。繼續閱讀瞭解有關密碼庫及密碼管理器的完整指引。
甚麼是密碼庫?
密碼庫(有時也稱為密碼管理器、保存器或鎖櫃)為加密空間,用於將密碼及登入憑證(您用於線上存取應用程式及賬戶的資訊)、文件、圖片及其他敏感資訊等資料儲存在一個安全的數位地點。密碼庫通常僅使用一個主密碼,如果解密正確,使用者就能夠存取密碼庫中的其他密碼。密碼庫設計用於確保個人及專業使用者資料安全,免受網絡罪犯侵害。密碼庫主要用於防止使用者在不同數位平台中使用重複的密碼。
密碼管理器及密碼庫兩個術語在很多情況下是通用的,大多數密碼庫都設有管理軟體的功能,作為軟體自身功能的一部分。從技術上來說,密碼管理器可對您的密碼和敏感資料進行分類,同時啟用「一鍵」登入,提高工作效率。密碼庫指密碼管理器軟體的加密部分,用於數位儲存您的密碼及資料。
密碼庫通常有很多功能供使用者使用,可分為三個部分,即密碼庫、密碼安全中心及管理工具。密碼庫自身通常能夠儲存各種文件及圖片(不僅僅是密碼),可透過您的電腦、手機或平板電腦等裝置存取,非常簡單。密碼安全中心採用進階加密保護您的資料。密碼庫還設有「密碼生成器」、「密碼檢查器」以及「洩漏檢測」功能,分別用於創建新密碼或替換舊密碼/弱密碼、在您使用弱密碼或重複密碼時發出提示以及您的密碼在線上出現洩露時對您進行警示。密碼庫同時還具有「自動填寫」功能,可記住您使用不同網頁及應用程式時的密碼、賬戶詳細資料及地址。
密碼庫和密碼管理器是確保線上安全的關鍵部分,適用於專業及個人使用。其是數位生活的關鍵組成部分,可確保您的資訊安全,不受所用硬體及使用地點限制。
密碼庫安全嗎?
全球網絡安全專家一致認為,密碼庫是保護您的密碼及敏感資料最簡單且最容易的方式,非常安全。只要您的主密碼夠「強」,您的敏感資料被駭客入侵的可能性就很低。強密碼具有長度足夠長(10-12 個字符)的特點,由特殊字符、數字、大小寫字母等組成。
儘管如此,您還是要明白密碼庫及密碼管理器也會遭到駭客入侵,這點很重要。但是,由於在使用者一側進行了加密處理,然後,您可以透過安全的 https 協議進入雲,因此您的密碼是安全的。要破解比如 256 位 AES(進階加密標準)等工業標準加密幾乎是不可能的。因此,即便駭客進「入」密碼庫本身,這也不是說,其就能夠在裡面為所欲為。此外,大多數線上密碼庫都不儲存主密碼,亦不具有您的主密碼的存取許可,因此,進「入」的可能性更低。
密碼庫是如何運作的?
密碼庫及密碼管理器透過加密您的憑證運作。然後,密碼庫使用主密碼封鎖。如果出現洩露的情況,由於有主密碼,駭客僅能竊取加密行代碼。如今,大多數好的密碼管理器都是採用了現代強大的加密算法 256 位 AES,對您的資料進行加密。256 位 AES 於 2005 年全球採用,是一種加密密鑰,透過現代數位技術,得到普遍使用。
進階加密標準是一種加密規範,256 位表明隨機字串有 256 種可用組合。組合越多,暴力破解找出正確組合的難度就會越大。這種加密密鑰被稱為「私鑰加密算法」,且認為其安全性要高於「公鑰加密算法」。公鑰加密採用公鑰對您的資料進行加密,採用私鑰對其進行解密。但是,私鑰加密採用同一私鑰對您的資料進行加密和解密。簡單說,私鑰不會離開您的裝置,安全性更高。
這是理解密碼庫如何運作的一個方面。但是,界定密碼庫的內部運作情況也取決於您正在使用或有權使用何種密碼庫。習慣上,有三種類型的密碼庫:本地、線上及令牌/USB。
本地密碼庫
顧名思義,本地密碼庫及密碼管理器的運作方式是加密您的登入憑證及其他資料,然後將其儲存在您本地裝置上。本地密碼庫有時稱為「線下」密碼庫,加密資料可儲存在您的電腦、手提電腦、平板電腦或手機上。儲存密碼的加密檔案通常儲存在密碼管理器程式本身以外。線下儲存密碼是一種非常有用的方法,因為這樣,駭客僅有在您在線上的時候,才能夠存取您的密碼。因此,只要不偷走您的裝置,您的密碼就是安全的。但同時,這也是一個很大的缺陷。如果您的裝置被盜或丟失,您的密碼庫也就不見了。另外,本地密碼庫也會造成裝置同步性困難。這是因為所有裝置都需要在同一時間在線,才能進行同步或更新。
線上密碼庫
線上或基於網頁的密碼庫是企業及個人使用者使用最為普遍的一種密碼管理器。這種密碼庫能夠將您的加密資料儲存在您供應商伺服器的雲上。因此,這樣您就能夠存取您的密碼,不受地點及時間限制,更為方便。這種密碼庫甚至可透過一個稱為「零知識」的原則過程,進行保護,確保不受供應商的影響。這就是說,在將您的資料傳送到供應商的伺服器前,您的密碼庫會對您裝置上的資料進行加密。所以,您的供應商也無法存取您的密碼資料。在很多情況下,您可以使用供應商的密碼管理器客戶端、簡單的瀏覽器擴展程式或供應商網站提供的網頁應用程式,就能存取您的密碼庫。如有緊急情況,您可以在任何地方存取您的密碼。最大的缺陷在於,您始終需要網路連接進行身份認證(存取您的密碼及其他文件)。
令牌/USB 密碼庫
令牌/USB 密碼庫,有時也稱為「無狀態密碼庫或密碼管理器」,具有一個類似 USB 驅動的硬體,其包含可解鎖您特定線上賬戶的密鑰。在這種情況下,密碼庫通常不是真的存在,因為只要您存取特定賬戶,就會有新的令牌被創建(在外部裝置上)。這就是說,您的所有敏感憑證都儲存在獨立的裝置上,免去了與您其他裝置同步的問題。在您添加主密碼到這個裝置上時,您就獲得了雙因素身份認證。主要缺陷是眾多用來創建這些無狀態密碼庫的軟體都是開源的,且對於專家以外的人士來說,設定或排除故障都過於複雜。
我需要密碼庫嗎?
自新冠疫情以來,我們的生活受到影響,全球眾多公司及其員工已轉為長期遙距工作。遺憾的是,由於個人網路及大公司所使用的基於雲的軟體即服務 (SaaS) 應用程式存在薄弱點,網絡攻擊成功的數量呈大幅增加之勢。2021 年,網絡攻擊的平均數量增加了約 15%。鑒於此,我們建議您在家及工作時,使用密碼庫,尤其是在使用個人電腦工作的情況下。
密碼庫不僅可以讓您瞭解所有密碼,還可以用於生成新密碼,將舊版本變更(或導入)到當前密碼庫中,並在新密碼不足以用於新應用程式時通知您。研究表明,被歸入「弱」的密碼短時間內就會被駭客破解,不需要甚麼知識,也不費甚麼力。例如,使用暴力破解攻擊,其涉及自動向網站登入門戶注入偷竊而來的用戶名及密碼對。一旦用戶名及密碼對匹配成功,駭客就能非法存取您的賬戶及個人資料。針對任何使用者系統的最大漏洞之一,密碼管理器可以免去您在線上運作時的所有辛苦工作及風險。
Kaspersky 的密碼管理器有一個採用 AES-256 位加密技術保護的保險庫(有 256 種可用組合,這意味著黑客解鎖密碼所需的時間比宇宙存在的時間還要長)。它還附帶一個自行定義主密碼(可以是你自己建立的密碼,也可以是我們的產生器建立的密碼,還可以是透過流動裝置上的指紋和面部 ID 建立的密碼)。Kaspersky Password Manager 免費版具備高級版的所有功能,但最多只能儲存 15 個密碼和機密文件。
相關產品: