亲爱的tl80，我正在寻找一个密码管理器，在你说服我之后，我真的需要为每个网站使用真正随机和唯一的密码。我的浏览器总是询问我是否要保存登录名。我应该说“是”然后用它吗？或者我需要一个专用的密码管理器？如果是，哪个密码管理器最安全？救命啊！

已签名，登录次数过多

亲爱的TML，密码管理器的设计都是为了消除记住数百个唯一密码的痛苦，如果你想把安全风险降到最低，这是必要的。不过，有很多选择，包括浏览器内置的密码保存功能。让我们看看这些工具，以及它们在安全性方面是如何相互竞争的。

在浏览器中保存登录名

IE、Chrome、Firefox和其他浏览器可以保存您的登录名和基本信息，以便自动填写表单。这很方便，因为您不必下载或设置其他应用程序，但它不是最安全或最健壮的选择。

工作原理：浏览器将您的密码存储在加密的数据库中，或存储在本地计算机上的注册表项中。如果浏览器具有在计算机和其他设备之间同步数据的功能，则信息将以加密格式保存到在线帐户（例如，如果您在Mozilla上使用Chrome或Firefox同步帐户，则使用Google）。

安全弱点：在浏览器中保存密码的最大问题是，有人可以访问你的电脑，也可以访问你的所有密码。例如，在Chrome中，您（或任何侵入您电脑的人）只需进入浏览器的设置，然后单击“首选项”选项卡中的“显示”按钮即可显示任何已保存的密码。Internet Explorer更安全，因为它不允许您查看保存的密码，也不允许跨计算机同步数据。不过，IE和Chrome都使用您的计算机登录密码作为加密数据的密码。正因为如此，你的密码很容易被Nirsoft的WebBrowserPassView等工具泄露。如果像这样的第三方实用程序可以恢复数据，那么在您的用户帐户下运行的恶意软件也可能能够访问数据。

最安全的选择：WebBrowserPassView无法检索用主密码加密的密码。这使得Firefox成为这三种浏览器中密码管理最安全的浏览器，因为你可以用一个主密码来加密和密码保护你在Firefox中的登录。但是，如果您不在Firefox中设置主密码（默认情况下不启用主密码），那么如果您的计算机落入坏人之手，您也会受到同样的安全问题的攻击。

基于web的密码管理器

基于Web的密码管理器比在浏览器中保存登录名有了很大的进步。这些webapp提供了更强大的功能，比如生成随机的安全密码、审核你的密码以及存储额外的机密信息（信用卡、保险号码、票据等）。

它们的工作原理：像LastPass和Roboform这样的在线密码管理器无处不在地加密你的密码数据库，并以只有你知道的主密码的形式给你唯一的密钥。所有的加密和解密都在本地计算机上进行。因为这些公司没有加密密钥，即使他们的服务器遭到黑客攻击，作恶者也无法解密你的数据。。。

安全弱点：……除非你的主密码不是很强，或者你在其他网站上使用相同的密码（但是，嘿，这不是你使用密码管理器试图避免的吗？）。去年，LastPass遇到了一个可能的安全问题，这可能是一个漏洞，但它告诉用户，只要他们使用的是强大的、非基于字典的主密码，他们就可以得到保护。另外，虽然LastPass（和其他在线密码管理公司）对安全问题非常直截了当，而且由于您持有加密密钥，风险也降到了最低，但当您的数据（甚至加密的）存储在其他服务器上时，您仍然需要有信心。

最安全的选择：LastPass是在线密码管理器中的佼佼者，因为它既易于使用，又可以被紧紧锁定。LastPass安全选项允许您添加更强的双因素身份验证、按国家/地区限制登录以及启用其他功能，例如专用安全电子邮件地址和受限移动访问。

不过，新人达什兰是一个可能的竞争者。虽然它没有LastPass提供的所有安全调整和选项，但使用Dashlane，您可以选择仅将密码数据存储在本地，或者有选择地同步各个功能。这使得它既是一个基于web的管理器，又是一个桌面管理器。

本地（桌面）管理器

您的密码存储在网上不舒服？最安全的管理器不会在web上存储任何数据，而是计算机已用完。不过，这样做，您会牺牲一些方便性和可用性。

工作原理：本地密码管理器的工作原理与在线密码管理器类似。它们具有类似的密码生成、自动表单填充和安全注释功能。他们只是将加密的密码数据库保存在您的计算机上，而不是保存在web上。流行的有KeePass、1Password、SplashID和桌面版Roboform。

安全弱点：桌面密码管理器最大的弱点是缺乏可访问性。如果没有一些解决方法，您就无法从任何设备方便地同步和即时访问您的登录，这可能会妨碍人们一直使用这些密码管理器。这甚至可能意味着你无法登录其他设备（因为最安全的密码是你记不住的）。

对于其中许多，您可以使用Dropbox跨计算机同步数据库，但这会带来云存储的风险。另一方面，您仍然有多个安全层：黑客需要首先侵入您的Dropbox帐户（如果您设置了双因素身份验证，则很难），然后还需要侵入您的加密密码数据库。发生这种情况的可能性可能比丢失笔记本电脑要小。

最安全的选择：KeyPass之所以获胜，不仅因为它是唯一的开源软件，还因为它拥有大量的安全特性和最深入的安全信息。该程序可防止针对主密码的字典攻击，在程序运行时对密码进行加密，并具有增强安全性的密码编辑控件。您可以使用密钥文件而不是主密码来提高安全性，或者结合密钥文件和密码方法来真正锁定数据。KeePass也是可移植的，支持大量插件。

其他程序是最好的密码管理器之一，也有很强的安全性。你可能更喜欢其中一个的特点。SplashID是最便宜的，可以通过Wi-Fi在桌面版和移动版之间进行同步(SplashID表示，他们正在开发一个云同步版本，它不依赖于Dropbox或iCloud等第三方云服务。）1Password有点贵，但它有很好的界面和出色的浏览器集成。它比KeePass更不笨重，也更容易使用。Roboform的桌面应用程序仅限于Windows，但它拥有可靠密码管理器的所有功能，包括浏览器自动填充、浏览器集成和随机密码生成。

那你应该用什么呢？

简而言之，像KeePass这样的桌面密码管理器是最安全但最不方便的选择。与基于浏览器的选项相比，基于云的选项（例如LastPass）无疑更方便、更安全地防止本地密码被盗，但您无法控制数据的存储位置。

以下是价格和功能的比较，以方便您（单击查看整个图表）：

无论你选择哪一个，最重要的是要有一个真正安全的主密码和一个强大的密码保护您的计算机帐户了。

爱你，生活黑客

有问题或建议问生活黑客？发送给[email protected].