密码管理器如何工作以及您应该使用一个吗？

是否曾经努力记住您每天使用的所有社交媒体帐户和其他网站所需的所有密码？它是否会让您采取不安全的做法，例如重复使用或创建弱密码？密码管理器可能是您所有问题的答案。尽管您以前可能听说过它们，但您可能想知道——密码管理器是如何工作的？

在本指南中，我们将回答您的所有问题，例如：

• 什么是密码管理器？
• 不同类型的密码管理器如何工作？
• 使用密码管理器安全吗？
• 你应该使用密码管理器吗？
• 和其他常见问题解答。

什么是密码管理器？

简而言之，密码管理器是一种用于在单个安全位置管理多个密码的工具。通常，优秀的密码管理器使用不同类型的加密来安全地存储密码，因此它们很难被窃取或发现。反过来，您的密码管理器帐户通常使用单个主密码进行保护。目标是让用户更容易访问其所有不同在线帐户所需的大量强密码。您需要做的就是登录密码管理器并查找您需要的特定密码。

密码管理器如何工作？

首先，重要的是要知道存在三种不同类型的密码管理器。虽然不同类型的密码管理器的工作方式有所不同，但同一类型的不同产品的工作方式基本相同。

三种最常用的密码管理器类型是：

• 本地安装/离线
• 基于网络
• 无状态/基于令牌

本地安装/离线密码管理器

这是您实际下载并存储在设备上的应用程序或软件。密码通常在“加密保险库”中使用加密来保护。对于大多数商业用途，您可以找到使用 256 位 AES 加密来加密数据的工具。

如果您想知道密码管理器是如何工作的，这些是此类的典型步骤：

1.运行软件并使用您的主密码登录。
2.手动输入密码。大多数密码管理器还允许您添加密码所在的网站或应用程序的名称、URL 和描述。
3.当你想登录一个网站时，你再次打开应用程序，登录，然后搜索有问题的密码。然后您将其手动输入网站登录页面。

当然，离线密码管理器吸引了关注隐私的个人，他们不热衷于将密码存储在不受他们控制的数据库中，例如云或外部服务器。这是存储密码最安全的方法之一，因为除非您的物理设备被黑客入侵，否则没有人能够窃取您的密码。

然而，这种软件最大的缺点是，如果你丢失了你的设备，你就会丢失它的密码。这就是为什么其中许多服务允许您在不同设备（例如 PC、Android、iOS）上下载应用程序并在与您的帐户关联的所有应用程序之间同步密码的原因。此外，离线应用程序可能仍然容易受到键盘记录器恶意软件的攻击。

优点

• 通过离线存储来保护您的密码
• 许多软件是免费的或非常便宜

缺点

• 如果您丢失设备，可能会丢失密码
• 您需要在应用程序/网站中手动输入密码

基于 Web 的密码管理器

基于 Web（或基于云）的密码管理器将您的密码在线存储在云端或公共互联网服务器上。就像本地密码管理器一样，基于 Web 的密码管理器也使用加密来保护您的密码。然而，因为他们在线，所以“密码管理器可以被黑客攻击吗？”这个问题。常指这类管理者。

基于 Web 的密码管理器有多种不同的形式——简单的网站门户、浏览器扩展、基于桌面的应用程序或移动应用程序。对于后两个示例，本地安装的密码管理器和基于 Web 的密码管理器之间的区别可能变得模糊。浏览器扩展程序特别受欢迎且方便，因为它们可以检测到您何时登录已存储密码的网站，并提示您使用扩展程序自动填充密码。

这为您省去了在应用程序和网站之间来回切换并手动输入密码的麻烦。当然，与本地安装的密码管理器相反，主要问题是有些人对在线进行的密码保管感到不自在。与离线基于桌面的应用程序相比，用户还更担心他们的帐户、浏览器或扩展程序被黑客入侵。

这就是为什么一些基于网络的密码管理器使用所谓的零知识技术，它实际上从不保存您的实际用户名/密码组合，只保存包含加密信息的加密密钥。其中许多服务还使用物理应用程序，这需要您在您的设备（例如 PC）上为您的登录信息创建一个条目，然后加密并上传到服务器。

所以，如果您真的担心密码管理器是否安全，您应该寻找一个基于 Web 的零知识密码管理器。基于 Web 的密码管理器的主要好处之一是，只要您拥有密码管理器帐户的主密码，您就可以随时随地从任何设备访问您的密码。

优点

• 随时随地在所有设备上访问密码
• 受益于自动填写
• 订阅通常很便宜
• 无需下载和安装软件

缺点

• 有些人更喜欢一次性购买而不是订阅
• 不如离线保险库安全
• 您需要互联网连接才能访问密码

无状态/基于令牌

这是迄今为止一种不太常见的密码管理器类型，并且不是很多人都熟悉的方法。此外，它颠覆了密码存储方式的传统概念。使用这种方法，您可以有效地将 USB 等外部存储设备变成您的个人密码管理器。

为此，您需要在 USB 上安装基于令牌的身份验证软件，这基本上会将它变成您的凭据的安全保险库。该软件也可以安装在 SD 卡或智能卡上。

使用基于令牌的身份验证，用户实际上无需输入用户名和密码即可访问特定网站、服务器或资源。相反，安装在设备上的身份验证服务会生成一个令牌，其中包含通过您连接到的资源识别您所需的所有信息。

那么，这种密码管理器的密码存储在哪里呢？嗯，由于这种类型的身份验证是“无状态的”，从技术上讲，您的密码不会存储在任何地方——令牌就是您所需要的！这使得黑客无法窃取您的密码，除非他们知道您的主密码。

令牌经过加密签名，因此无法被篡改，并且它们具有由身份验证服务确定的特定有效期。通常，基于令牌的身份验证系统是开源的或基于开源标准，例如 JSON Web 令牌 (JWT) 和安全断言标记语言 (SAML)。因此，它们通常是免费的，任何人都可以下载和安装。

主要问题是无论您要登录的服务器还需要使用该特定的身份验证服务。因此，这仅适用于特定情况下的密码管理解决方案，例如连接到工作服务器时，这当然不符合典型的密码管理器定义。

优点

• 黑客几乎不可能窃取您的密码

缺点

• 必须使用外部设备可能会很不方便
• 您可能无法通过设备访问您的密码
• 设置起来比较困难
• 专有软件可能非常昂贵

关键要点

• 密码管理器主要分为三种类型：本地安装/离线、基于 Web 和无状态/基于令牌。
• 如今，大多数专有密码管理器都提供离线应用程序、在线云存储、浏览器扩展和移动应用程序的混合方法。
• 用户在管理密码时通常需要在便利性和安全性之间做出完美的平衡，例如，他们是要使用云同步还是跨设备同步。
• 密码管理器还可以通过生成安全密码和提供一定程度的互联网安全来帮助您。

密码管理器安全吗？

答案是视情况而定——不同的密码管理器具有不同的安全级别，具体取决于它们的类型、品牌以及您的使用方式。例如，如果您的主密码很弱，即使是最安全的密码管理器也不是很安全。

让我们看看关于密码管理器需要牢记的一些安全方面。

消除不安全的密码做法

密码管理器被认为是安全的主要原因是它们可以防止不安全的密码做法，例如使用易于猜测或简单的密码，因为它们更容易跟踪或为您的所有帐户重复使用一个密码。所以，是的——根据我们的密码管理器定义，它们比依赖这些替代方案更安全。

以不同方式存储密码

密码安全性还取决于您使用的密码管理器的类型。如今，大多数专有密码管理器（如LastPass、KeePass或Dashlane）以各种方式存储和访问您的密码。虽然 LastPass 等一些密码管理器提供网站门户、浏览器扩展、基于桌面的应用程序和移动应用程序，用于以加密形式将您的密码存储在云中并将它们同步到您的所有设备，但其他密码管理器在密码存储方式上有所不同。

例如，KeePass 为您提供了仅在设备本地存储密码的选项。您必须在所有设备上手动同步它们，但您可以放心，它们不会在线存储。Dashlane 是另一种选择，可让您选择是仅将密码存储在本地还是云端。

因此，用户需要在随时随地访问您的密码的便利性和放弃一点安全性之间做出权衡。只要密码管理器信誉良好并使用加密，云同步就不会成为交易破坏者。

内置浏览器密码管理器

作为最流行的网络浏览器，很多人都想知道谷歌密码管理器的安全性如何。如今，许多浏览器（例如 Google Chrome、Firefox 和 Microsoft Edge）都具有内置的密码管理器。这些可能是最不安全的，因为它们中的大多数都以未加密的形式存储密码。Firefox 可以加密您的密码，但不能生成随机密码或跨设备同步密码。

如果您想使用特定的浏览器，最好为它安装一个密码管理器。网上或 Extensionstore 上有许多 Google 密码管理器。但是，如果不能随处访问您的密码将使您使用不安全的做法或弱密码，则最好选择提供云同步的更方便的选项。

您应该使用密码管理器吗？

说实话，如果您像普通互联网用户一样，可能在各种网站和在线平台上拥有数十个帐户——尽管人的大脑擅长很多事情，但记住大量密码，甚至只是记住一个几个复杂的密码不是其中之一。

如果这些陈述中的任何一条适用于您，您可能应该考虑使用密码管理器：

• 您有太多的密码需要记住，并且常常忘记它们或因此无法访问您的帐户。
• 您使用许多非常基本或易于猜测的密码，或者您为多个帐户使用一个密码。

无论您的答案如何或密码管理器如何存储密码，几乎每个人都可以从使用密码管理器中受益，原因如下：

• 随机密码生成器

传统观点建议不要使用带有真实姓名或单词的密码，而应包括数字、大写字母和特殊字符。密码也应该很长。一些密码管理器会为您生成随机的强密码，这样您就不必再想新的了。

• 易于管理

当然，密码管理器的要点是它充当存储所有密码的安全库。您可以包括您的用户名、电子邮件或其他登录凭据以及特定密码所对应的网站或应用程序等信息。如果您想知道密码管理器是如何跨设备工作的，我们在上面进行了解释——访问和管理您的密码所需的只是一个主密码。

• 安全密码存储

大多数优秀的密码管理器不是仅仅在纯文本文档中列出您的密码，而是安全地加密您的密码和信息，从而使窃取您的信息变得更加困难。检查云提供商是否将密码存储在安全位置非常重要。

• 方便

现代密码管理工具通常可以让您在各种设备上安装应用程序，这样您就可以在所有设备上同步您的密码。有些，尤其是浏览器扩展，甚至具有自动填充和自动保存功能，因此您只需单击一下即可提供您的凭据。

• 安全

一些密码管理器，尤其是浏览器扩展，具有一些内置的安全功能，例如能够判断一组特定的凭据或您使用的网站何时被黑客入侵。他们还可以提醒您注意可疑或潜在的恶意网站。您通常还可以使用双因素身份验证来保护您的帐户。

如果您有疑虑，通常可以联系客户支持以了解密码的存储位置。这一点很重要，因为使用密码管理器的唯一真正缺点是您的所有密码都存储在一个地方，任何设法破解您帐户的人都可以访问您的所有密码。因此，您的主密码需要非常安全，并且您需要确保使用信誉良好的密码管理器。

结论

您现在应该能够自信地回答密码管理器是如何工作的。密码管理器对于那些努力为大量帐户使用安全密码进行管理的人来说是必不可少的工具。当今最好的密码管理器不仅仅用于存储密码——它们还提供了一系列工具来让您的生活更轻松，例如随机密码生成器、跨设备同步，甚至是自动填充或自动保存。对于那些想要更安全地行事而没有很多不便的人来说，它们是完美的工具。