查找防未来密码管理器

Question

目前，我是一个Windows 10用户，使用Chrome的默认密码管理器，并让它为我自动填写密码。

显然，如果我无意中执行恶意软件，或者让某人以Windows用户的身份暂时访问我的计算机，他们不仅可以刮掉我所有的Chrome自动填充用户名、电子邮件和相应的网站，而且还可以使用CryptUnprotectData函数轻松地将我的所有密码解密为明文，因为所有信息都存储在本地的.db文件中。是否所有脱机密码管理器都有此问题？

我认为像LastPass这样的在线密码管理器将有助于防止这一点，因为所有的密码都存储在云端而不是本地，而且即使恶意软件的密钥记录了我的主密码，它仍然需要通过2FA才能到达我的密码。

我关心的另一个问题是密码的完整性。我现在并没有养成良好的安全习惯，我倾向于在30个网站上使用相同的几个密码，只是因为我能记住所有的密码。

如果我使用一个密码管理器(如LastPass )为每个网站生成一个随机的长字符密码，我如何能够确信应用程序将在可预见的将来安全地存储和记住我的密码？是什么简单地阻止了作者说，在5年内随机关闭应用程序，然后我将基本上失去所有的密码到我的帐户，并随机生成它们？这不太可能发生吗？在不太可能发生这种情况的情况下，有没有办法安全可靠地导出我的所有密码？

Answer 1

脱机密码管理器可以将密码存储在只能用“主密码”解密的加密文件中。因此，恶意软件需要执行以下操作之一：

• 执行密钥记录，以便监视您的主密码，然后找到密码文件，解密并解析它。
• 在运行时从内存中读取密码，当密码已经解密时

这为您提供了更多的安全性，因为这样的攻击不太可能是自动化的。恶意软件作者需要研究密码管理器的内在细节，才能执行这样的攻击。我认为广泛存在的Windows恶意软件更倾向于使用CryptUnprotectData，而不是针对特定的密码管理器。

关于可用性:永远不要在没有(加密)脱机备份功能的情况下使用密码管理器。

Answer 2

对你的问题的简短回答是，没有办法预测一个公司或一个开发团队的未来行动。

您可以克服的方法是寻找一种解决方案，允许您导出数据或使用不只是在云中的解决方案。哪些产品能做到这一点，哪些产品做得好，这是市场研究中的一个练习。

Answer 3

几年来，我一直在使用加密的USB闪存驱动器和便携式密码管理器。对我来说，这是在安全和方便之间的一个很好的折衷。然而，我意识到被恶意软件感染的计算机不能提供保护，所有可以访问的密码都应该被认为是被破坏的。在某个时候密码必须输入，智能恶意软件可以等待这一刻。在这种情况下，2因素身份验证可以提供保护。然而，在目标攻击中，可以绕过2FA，例如获取重置代码、拦截mTAN或社会工程。

如果您不想在密码管理器中生成30个不同的密码，那么至少应该确保不重要服务的登录数据永远不会相同，或者是重要服务的登录数据的变化。将服务分类为重要的和不重要的服务并不总是那么简单，所以我强烈建议您随意地生成这些服务。

外部密码管理服务是一个流行的目标，因为它们存储了许多用户的数据。我无法估计，用户数据在某个时候被窃取的可能性有多大，或者这样的服务会出现多长时间。比起互联网上的任何服务，我更相信一个离线、开源和经过审核的密码管理器。

如果LastPass被关闭，您可以在这里阅读仍然需要导出密码的选项。https://lastpass.com/support.php?cmd=showfaq&id=1376