密码管理软件如何工作

如果您只有一台计算机、一个用户并且没有互联网连接，那么一个单一的密码来保护对该计算机的访问可能就足够了。这正是早期家用计算机的特点。您可以将密码写在便利贴上，贴在显示器上，除非有人闯入您的家或办公室，否则没有人会发现。

然而，很快人们就找到了将计算机连接到网络的方法，从而产生了更好地保护每个系统上数据的方法的需求。突然间，您需要比显示器上能贴的更多的便利贴，才能记住网络上的所有用户名和密码。正如我们之前指出的，将这些东西写下来是有风险的。

为了解决这个问题，一种新型软件被设计出来：密码管理软件。从一开始，这些应用程序就有一个简单、直接的目标：管理账户列表以及每个账户的用户名和密码。在大多数情况下，这种软件还会保护该列表免受黑客攻击，无论是在本地计算机上还是通过网络连接。稍后，当我们浏览密码管理功能列表时，您将看到过去和现在的密码管理软件是如何实现这些目标的。

自20世纪90年代初以来，由于万维网的出现，密码管理问题呈指数级增长。每个网站都有自己的用户账户系统，需要用户名和密码。有些网站还设置了额外的门槛来阻止密码猜测软件。此外，许多网站要求用户遵循特定的密码长度和内容规则，这些规则在不同网站之间可能有所不同，迫使您创建多个不同的密码。例如，一个网站可能要求您在密码中使用感叹号或星号等特殊字符，而另一个网站则不识别或不允许这些符号。

移动计算也增加了密码管理的挑战。笔记本电脑让您可以随时随地轻松使用网络。然而，它们也增加了因损坏或盗窃而丢失数据的风险。再加上智能手机和平板电脑，您可能需要在多台设备而不是一两台设备上管理您的密码。

今天的密码管理解决方案考虑了这些网络和移动挑战。它们还增加了与网页浏览器的集成，例如当您访问在设置偏好中指定的网站时，自动填写登录表单。随着围绕云计算构建的Web应用程序取代了许多本地安装工具的需求，密码管理问题可能会持续增长。如今，您甚至可以找到以Web应用程序形式存在的密码管理软件。

既然我们已经探讨了密码管理的挑战，接下来让我们看看不同类型密码管理软件的基本功能。

软件开发人员在创建密码管理软件时采取了不同的方法，包括数据存储位置、如何保护数据以及应提供哪些用于保存和检索账户信息的附加功能。

以下是截至2011年可用的不同类型密码管理软件。首先，我们将探讨每种软件的功能和优点，以及您可能选择它的原因。稍后，我们将仔细研究它们的风险。

其他软件内的附加功能。操作系统、网页浏览器、杀毒软件和其他应用程序偶尔会包含密码管理器功能。一些例子包括Chrome、Firefox和Internet Explorer浏览器中的密码管理器，以及诺顿360全面安全套件中的身份管理功能。如果您对产品提供的安全性有信心，并且不觉得需要额外的保护层，那么可以使用这种类型的软件。

独立密码管理器。最早的密码管理软件是不与其他任何软件关联的独立应用程序。如今，许多此类应用程序仍然存在，包括KeePass和Aurora。Aurora拥有强大的加密功能，以及诸如网页表单自动填充、密码生成器和将密码导出为可读文件等附加功能。如果您主要在一台不与其他用户共享的设备上进行计算，可以尝试这种类型的密码管理软件。

使用嵌入式安全硬件的密码管理器。这是一种比其他类型密码管理更不常用的方法。此类软件需要设备上嵌入的硬件来保存和加密数据。例如，联想T系列ThinkPad笔记本电脑的主板上带有一个名为嵌入式安全子系统的芯片组。结合联想的密码管理软件使用时，您可以将密码和其他数据保存到设备中，并且这些数据经过加密，只有拥有密码、指纹（通过指纹读取器）或同时拥有两者的人才能检索到这些数据。由于信息存储在芯片组而非硬盘上，您还可以将计算机配置为要求密码或指纹才能启动机器。如果您的计算机面临物理黑客攻击或盗窃的高风险，请使用这种类型的密码管理软件；通常，如果您将其放在共享的生活或办公空间，或者经常带着它旅行，情况就是如此。

基于网络的密码管理器。这种最新类型的密码管理器是一种Web应用程序，您可以从任何连接互联网的设备上使用。像RoboForm和PasswordSafe这样的应用程序与Aurora具有相似的功能，并额外提供了从运行在不同桌面和移动操作系统上的各种Web浏览器访问这些功能的便利。例如，只需使用一个密码登录RoboForm，您就可以检索在那里保存的所有密码。如果您有多台具有不同操作系统的计算机或移动设备，并且需要从每台设备检索所有密码，请使用这种类型的密码管理软件。

那么，既然您已经了解了密码管理软件的选项，让我们来权衡它们的优点和风险。

您的密码和您的钱包、车钥匙一样重要——您绝不想丢失它们，也绝不想让它们落入坏人之手。既然如此，您就不应该把密码管理随便托付给任何软件。在开始将密码保存在管理应用程序中之前，请务必了解该应用程序如何保存您的数据，以及使用它会带来哪些风险。

使用任何密码管理软件最大的风险是，您的所有密码都集中在一个地方。将密码管理软件想象成您的家：您所有的物品都在里面，而一把钥匙就能打开您拥有的一切。如果您的密码管理应用程序需要一个主密码或一个加密密钥，那么一个黑客只需那个密码或密钥就可以访问您的所有私人账户凭证。

您可以做很多事情来最大程度地降低黑客获取或使用此主密码或密钥的风险。无论您使用哪种密码管理软件，请采取以下预防措施：

回到房屋的比喻，我们可以将这些建议总结为：“锁好所有的门，不要丢失钥匙，并选择一个非常难撬开的锁，以至于小偷很可能会放弃并转向下一所房子。”但是，如果小偷决定直接撞开门或打破窗户呢？有时，让您处于危险的不是锁，而是房子本身。接下来，我们将探讨特定类型密码管理方法所特有的潜在问题。

到目前为止，我们详细说明的风险均匀地影响所有类型的密码管理软件。然而，我们之前列出的每种类型都带有一些额外的危险。

任何本地存储密码的软件都面临着一个威胁：恶意软件。您计算机上的每个应用程序都会以特定格式将密码藏在文件系统中的特定位置。恶意软件可以被设计成扫描您的计算机以查找密码数据，定位这些位置并将发现的任何内容发送给互联网上的黑客。您可以使用可靠且经常更新的杀毒软件来抵御这些以及其他恶意软件攻击。

网页浏览器的密码管理器因其存储和保护保存密码的方式而臭名昭著地具有风险。然而，您已经采取的防止互联网和恶意软件访问您系统的措施应该可以避免此类风险带来的危险。例如，Firefox 已知会对其保存的密码进行加密和编码，但随后会将编码后的密码写入一个简单的文本文件，并附带其对应的URL。通过物理安全、用户密码、屏幕锁定、杀毒软件和防火墙来保护对本地文件的访问，应该足以保护该文件以及您的Firefox密码。

一些浏览器正在使用集成安全方法。例如，Windows中的Internet Explorer会创建一个Windows注册表项来存储密码，该注册表项利用了系统的三重DES加密。显示这些已保存的密码需要管理员级别的Windows注册表访问权限。如果您使用前面列出的一些方法来阻止对Windows账户的访问，特别是防范恶意软件，那么您应该能够轻松保护这些已保存的IE密码。

嵌入式安全芯片和其他加密硬件并没有带来新的风险，它们更多地是放大了一个现有风险：丢失您的主密码。这些安全系统包含了要求密码才能启动操作系统的附加选项。如果您设置了启动密码然后忘记了，您将完全无法启动计算机。由于今天的计算机可以连续运行数天或数周而无需重启，您有足够的时间忘记密码。此外，如果您将硬盘移动到另一台机器，您可能可以绕过启动密码，但访问硬盘上经过硬件加密的数据将很困难，甚至不可能。如果您认为记住主密码可能会有问题，请检查硬件制造商是否在这种情况下提供了恢复步骤。

最后一个风险考量来自于最新类型的密码管理软件——Web应用程序。Web应用程序带来了与我们文章云计算如何工作中描述的相同的安全和隐私问题。您依赖于Web应用程序背后的公司来保护您的数据安全。一个特别的担忧类似于银行和政府网站的情况：公司本身可能成为黑客和身份窃贼的目标，他们寻求更大的“得分”，而不是针对单个用户。最小化这种风险的唯一方法是在选择使用哪个基于Web的密码管理软件时要特别小心。研究产品背后的公司，并阅读测试过该软件的安全专家的评估。您可能会发现，使用特定的Web应用程序所带来的便利大于其潜在风险。

想了解更多关于密码管理软件的信息吗？请翻到下一页。