親愛的tl80，我正在尋找一個密碼管理器，在你說服我之後，我真的需要為每個網站使用真正隨機和唯一的密碼。我的瀏覽器總是詢問我是否要儲存登入名。我應該說“是”然後用它嗎？或者我需要一個專用的密碼管理器？如果是，哪個密碼管理器最安全？救命啊！

已簽名，登入次數過多

親愛的TML，密碼管理器的設計都是為了消除記住數百個唯一密碼的痛苦，如果你想把安全風險降到最低，這是必要的。不過，有很多選擇，包括瀏覽器內建的密碼儲存功能。讓我們看看這些工具，以及它們在安全性方面是如何相互競爭的。

在瀏覽器中儲存登入名

IE、Chrome、Firefox和其他瀏覽器可以儲存您的登入名和基本資訊，以便自動填寫表單。這很方便，因為您不必下載或設定其他應用程式，但它不是最安全或最健壯的選擇。

工作原理：瀏覽器將您的密碼儲存在加密的資料庫中，或儲存在本地計算機上的登錄檔項中。如果瀏覽器具有在計算機和其他裝置之間同步資料的功能，則資訊將以加密格式儲存到線上帳戶（例如，如果您在Mozilla上使用Chrome或Firefox同步帳戶，則使用Google）。

安全弱點：在瀏覽器中儲存密碼的最大問題是，有人可以訪問你的電腦，也可以訪問你的所有密碼。例如，在Chrome中，您（或任何侵入您電腦的人）只需進入瀏覽器的設定，然後單擊“首選項”選項卡中的“顯示”按鈕即可顯示任何已儲存的密碼。Internet Explorer更安全，因為它不允許您檢視儲存的密碼，也不允許跨計算機同步資料。不過，IE和Chrome都使用您的計算機登入密碼作為加密資料的密碼。正因為如此，你的密碼很容易被Nirsoft的WebBrowserPassView等工具洩露。如果像這樣的第三方實用程式可以恢複資料，那麼在您的使用者帳戶下執行的惡意軟體也可能能夠訪問資料。

最安全的選擇：WebBrowserPassView無法檢索用主密碼加密的密碼。這使得Firefox成為這三種瀏覽器中密碼管理最安全的瀏覽器，因為你可以用一個主密碼來加密和密碼保護你在Firefox中的登入。但是，如果您不在Firefox中設定主密碼（預設情況下不啟用主密碼），那麼如果您的計算機落入壞人之手，您也會受到同樣的安全問題的攻擊。

基於web的密碼管理器

基於Web的密碼管理器比在瀏覽器中儲存登入名有了很大的進步。這些webapp提供了更強大的功能，比如生成隨機的安全密碼、審核你的密碼以及儲存額外的機密資訊（信用卡、保險號碼、票據等）。

它們的工作原理：像LastPass和Roboform這樣的線上密碼管理器無處不在地加密你的密碼資料庫，並以只有你知道的主密碼的形式給你唯一的金鑰。所有的加密和解密都在本地計算機上進行。因為這些公司沒有加密金鑰，即使他們的伺服器遭到駭客攻擊，作惡者也無法解密你的資料。。。

安全弱點：……除非你的主密碼不是很強，或者你在其他網站上使用相同的密碼（但是，嘿，這不是你使用密碼管理器試圖避免的嗎？）。去年，LastPass遇到了一個可能的安全問題，這可能是一個漏洞，但它告訴使用者，只要他們使用的是強大的、非基於字典的主密碼，他們就可以得到保護。另外，雖然LastPass（和其他線上密碼管理公司）對安全問題非常直截了當，而且由於您持有加密金鑰，風險也降到了最低，但當您的資料（甚至加密的）儲存在其他伺服器上時，您仍然需要有信心。

最安全的選擇：LastPass是線上密碼管理器中的佼佼者，因為它既易於使用，又可以被緊緊鎖定。LastPass安全選項允許您新增更強的雙因素身份驗證、按國家/地區限制登入以及啟用其他功能，例如專用安全電子郵件地址和受限移動訪問。

不過，新人達什蘭是一個可能的競爭者。雖然它沒有LastPass提供的所有安全調整和選項，但使用Dashlane，您可以選擇僅將密碼資料儲存在本地，或者有選擇地同步各個功能。這使得它既是一個基於web的管理器，又是一個桌面管理器。

本地（桌面）管理器

您的密碼儲存在網上不舒服？最安全的管理器不會在web上儲存任何資料，而是計算機已用完。不過，這樣做，您會犧牲一些方便性和可用性。

工作原理：本地密碼管理器的工作原理與線上密碼管理器類似。它們具有類似的密碼生成、自動表單填充和安全註釋功能。他們只是將加密的密碼資料庫儲存在您的計算機上，而不是儲存在web上。流行的有KeePass、1Password、SplashID和桌面版Roboform。

安全弱點：桌面密碼管理器最大的弱點是缺乏可訪問性。如果沒有一些解決方法，您就無法從任何裝置方便地同步和即時訪問您的登入，這可能會妨礙人們一直使用這些密碼管理器。這甚至可能意味著你無法登入其他裝置（因為最安全的密碼是你記不住的）。

對於其中許多，您可以使用Dropbox跨計算機同步資料庫，但這會帶來雲端儲存的風險。另一方面，您仍然有多個安全層：駭客需要首先侵入您的Dropbox帳戶（如果您設定了雙因素身份驗證，則很難），然後還需要侵入您的加密密碼資料庫。發生這種情況的可能性可能比丟失膝上型電腦要小。

最安全的選擇：KeyPass之所以獲勝，不僅因為它是唯一的開源軟體，還因為它擁有大量的安全特性和最深入的安全資訊。該程式可防止針對主密碼的字典攻擊，在程式執行時對密碼進行加密，並具有增強安全性的密碼編輯控制元件。您可以使用金鑰檔案而不是主密碼來提高安全性，或者結合金鑰檔案和密碼方法來真正鎖定資料。KeePass也是可移植的，支援大量外掛。

其他程式是最好的密碼管理器之一，也有很強的安全性。你可能更喜歡其中一個的特點。SplashID是最便宜的，可以透過Wi-Fi在桌面版和移動版之間進行同步(SplashID表示，他們正在開發一個雲同步版本，它不依賴於Dropbox或iCloud等第三方雲服務。）1Password有點貴，但它有很好的介面和出色的瀏覽器整合。它比KeePass更不笨重，也更容易使用。Roboform的桌面應用程式僅限於Windows，但它擁有可靠密碼管理器的所有功能，包括瀏覽器自動填充、瀏覽器整合和隨機密碼生成。

那你應該用什麼呢？

簡而言之，像KeePass這樣的桌面密碼管理器是最安全但最不方便的選擇。與基於瀏覽器的選項相比，基於雲的選項（例如LastPass）無疑更方便、更安全地防止本地密碼被盜，但您無法控制資料的儲存位置。

以下是價格和功能的比較，以方便您（單擊檢視整個圖表）：

無論你選擇哪一個，最重要的是要有一個真正安全的主密碼和一個強大的密碼保護您的計算機帳戶了。

愛你，生活駭客

有問題或建議問生活駭客？傳送給[email protected].