什么是密碼管理器？它安全嗎？

密碼管理器或密鑰管理員是一類(lèi)用于生成、檢索、保存及管理復雜密碼、數字簽名的措施，可以由硬件或軟件實(shí)現。因此，密碼管理器一般也稱(chēng)作密碼管理軟件。

復雜密碼的生成一般按需要以隨機算法產(chǎn)生，而密碼數據則保存于一個(gè)以密碼、數字簽名等方式加密的數據庫內。它的作用類(lèi)似于鑰匙圈，方便個(gè)人或企業(yè)組織集中管理密碼、數字簽名等身份管理要素。

近日，“云密碼管理軟件LastPass數據泄露引發(fā)全球恐慌”事件在業(yè)內引起了廣泛關(guān)注。

12月23日，密碼管理器廠(chǎng)商LastPass透露其云存儲設施遭黑客入侵，大量客戶(hù)保險庫敏感數據疑遭泄露。這是LastPass自2022年年初以來(lái)披露的第二起安全事件，此前該公司曾在8月份確認黑客使用泄露的開(kāi)發(fā)人員賬號訪(fǎng)問(wèn)了其開(kāi)發(fā)環(huán)境。

根據LastPass的最新通告，最新泄露事件中攻擊者使用的正是8月份從其開(kāi)發(fā)人員環(huán)境中竊取的“云存儲訪(fǎng)問(wèn)密鑰和雙存儲容器解密密鑰”訪(fǎng)問(wèn)了Lastpass的云存儲設施。

為什么LastPass的數據泄露安全事件，會(huì )引發(fā)全球恐慌呢？

Lastpass是一個(gè)知名在線(xiàn)密碼管理器和頁(yè)面過(guò)濾器。據了解，LastPass在全球擁有超過(guò)3300萬(wàn)個(gè)人用戶(hù)和10萬(wàn)家企業(yè)用戶(hù)，其用戶(hù)數據大規模泄露引發(fā)了全球性恐慌，甚至波及其他密碼管理器產(chǎn)品的用戶(hù)。

據LastPass首席執行官Karim Toubba表示，攻擊者非法訪(fǎng)問(wèn)了用戶(hù)的基本帳戶(hù)信息和相關(guān)元數據信息。包括公司名稱(chēng)、最終用戶(hù)名稱(chēng)、賬單地址、電子郵件地址、電話(huà)號碼以及客戶(hù)訪(fǎng)問(wèn)LastPass服務(wù)的IP地址。（編者：此部分信息為明文未加密）

而且，攻擊者還從加密存儲容器中復制了客戶(hù)保險庫數據的備份，保險庫數據以專(zhuān)有的二進(jìn)制格式存儲，其中包含未加密的數據，例如網(wǎng)站URL，以及完全加密的敏感字段，例如網(wǎng)站用戶(hù)名和密碼，安全注釋和表單填寫(xiě)的數據。（下圖虛線(xiàn)部分）

雖然Karim依舊強調，在沒(méi)有用戶(hù)本地存儲的唯一加密秘鑰的情況下無(wú)法解密密碼，但他也依舊提醒用戶(hù)，黑客可能會(huì )使用暴力窮舉、釣魚(yú)網(wǎng)站等方式獲取主密碼。因此，如果用戶(hù)曾經(jīng)、或是現在仍在使用LastPass，那么最好更改下密碼，以確保安全。

同時(shí)，雖然LastPass宣稱(chēng)泄露的是加密后的用戶(hù)數據庫，黑客破解很困難。但慢霧科技創(chuàng )始人余弦認為用戶(hù)面臨的風(fēng)險依然很高。他在推特上建議LastPass的企業(yè)用戶(hù)立刻更改在該密碼管理器中存儲過(guò)的賬戶(hù)密碼。

另外，余弦還表示，雖然之前推薦了1Password和Bitwarden，但不排除二者將來(lái)也有可能發(fā)生類(lèi)似的數據泄露安全事故，因此密碼管理器用戶(hù)應該提高警惕，時(shí)刻做好響應的準備。

目前，密碼管理器/軟件基本分為在線(xiàn)云同步版、本地版。其中，LastPass就是云密碼管理軟件。但本地版（本地密碼管理軟件）也不意味完全安全，例如，2021年，澳大利亞企業(yè)級密碼管理器Passwordstate的開(kāi)發(fā)廠(chǎng)商Click Studios發(fā)布警告稱(chēng)，有攻擊者破壞了這款應用程序的更新機制，成功入侵其內部網(wǎng)絡(luò )后以供應鏈攻擊的形式大肆傳播惡意軟件。

據了解，Passwordstate是一款支持本地部署的密碼管理解決方案，類(lèi)似1Password，在全球贏(yíng)得了29000家企業(yè)與超過(guò)37萬(wàn)名安全/IT專(zhuān)業(yè)人士的青睞。在其客戶(hù)名單中，有不少還是財富五百強成員，具體涵蓋政府、國防、金融、航空航天、零售、汽車(chē)、醫療保健、法律與媒體等等。

不管是云密碼管理軟件，還是本地密碼管理軟件，使用密碼管理器或許都存在這樣的安全風(fēng)險：

所有敏感數據集中在一處，就如“將雞蛋放在一個(gè)籃子里”。如果發(fā)生數據泄露，可能需要耗費大量時(shí)間來(lái)阻斷所有支付選項，并更改所有賬戶(hù)的密碼，而這些時(shí)間足夠攻擊者造成重大破壞。

備份并非總是可行。如果服務(wù)器出現故障，用戶(hù)將唯一的希望寄托在提供商身上，期待他們已經(jīng)制作了備份副本；如果用戶(hù)將存儲庫在一臺設備上保持離線(xiàn)狀態(tài)，這種風(fēng)險會(huì )成倍增加。同樣地，將自己的備份保存在未受保護的磁盤(pán)驅動(dòng)器或保護不佳的云服務(wù)上也無(wú)濟于事。

并非所有設備都足夠安全。黑客利用相同的漏洞便能在一次攻擊中獲取用戶(hù)的所有登錄信息。如果用戶(hù)設備感染了惡意軟件，密碼管理器也可能會(huì )被黑。在這種情況下，用戶(hù)輸入主密碼會(huì )被記錄下來(lái)，從而使網(wǎng)絡(luò )犯罪分子獲得對存儲數據的完全訪(fǎng)問(wèn)權限。這就是密碼管理器用戶(hù)應該首先投資保護他們所有的設備以降低風(fēng)險的原因所在。

不使用生物特征認證。生物識別身份驗證是增加額外安全防護層的好方法。如果用戶(hù)將密碼管理器配置為請求指紋或面部掃描，那么有人侵入存儲庫的機會(huì )就會(huì )變得非常渺茫。而且，觸摸指紋掃描儀也比輸入主密碼容易得多。

不要使用具有較弱加密功能的密碼管理器。如果一款密碼管理器具有較弱的加密功能，提供的功能很少，并且用戶(hù)反饋很差的話(huà)，就不應該再使用它。

忘記主密碼。在用戶(hù)是唯一知道主密碼的人，同時(shí)密碼管理器沒(méi)有重置功能的情況下，可能需要逐個(gè)恢復每個(gè)登錄?；蛘?，可以將主密碼（或提示）存儲在某個(gè)物理上安全的地方，例如保險箱。

那么，有什么辦法能預防密碼管理器的安全風(fēng)險呢？

據GoUpSec咨詢(xún)多位安全專(zhuān)家后，總結了密碼管理器個(gè)人用戶(hù)的六大風(fēng)險預防與緩解建議，如下：

1. 如果可能，只用開(kāi)源且不能上傳服務(wù)器的密碼管理器，或者關(guān)閉云同步功能（例如僅使用1Password的本地同步功能），避免使用瀏覽器插件等“方便的密碼管理器擴展功能”。該方法雖然會(huì )犧牲一些（團隊管理）功能和便利性，但是對于個(gè)人用戶(hù)來(lái)說(shuō)，安全性更好。

2. 設置一個(gè)足夠強大和獨特的主密碼（Master Password），并且單獨（物理）記錄和存放，不可以任何格式（包括圖片）存儲在任何聯(lián)網(wǎng)設備中。

3. 在密碼管理器中不要在明文區域存儲敏感信息。

4. 給密碼管理器中存儲的密碼“加鹽”（密碼的一部分片段為密寫(xiě)或者用符號代替的子密碼，子密碼獨立于密碼管理器記錄和存儲）。

5. 開(kāi)啟密碼管理器的多因素認證，并且使用硬件密鑰或APP認證程序等認證因素而不是短信密碼。

6. 面對類(lèi)似LastPass的用戶(hù)數據泄露事件，請立刻更改所有存儲在密碼管理器中的賬戶(hù)密碼，并遵循以上安全建議。