《华尔街日报》：最安全的密码存储方法

Cordilia James

2022-06-07

安全访问在线账户的第一步：为每个账户创建复杂且唯一的密码。第二步：切实记住这些密码，或将它们安全存储。

有许多工具可以帮助完成第二步，其中一些比其他更安全。有些人使用密码管理器，而另一些人则使用手机上的加密笔记。还有一些人将密码写在纸上或依赖记忆技巧。

我们评估了这四种流行的密码管理策略的安全性。继续阅读以了解哪些方法有效，哪些无效，以及如何加强您的密码存储策略。

安全：密码管理器

专家表示，保存密码的最佳方法是将其锁定在密码管理器中，例如Dashlane、Keeper Security或LastPass。这些工具允许您为所有账户设置唯一密码，而您只需记住让您进入密码管理器保险库的主密码。

然而，许多人并不使用它们。在2022年密码管理器Bitwarden的一项全球调查中，只有30%的受访者表示使用密码管理器。

密码管理器并非无懈可击。但专家表示，黑客入侵并窃取您的信息的可能性很小。管理器不会在其服务器上存储主密码，因此黑客在那里挖掘会一无所获。

如果您将主密码保存在设备上不安全的位置，可能会面临风险。但除此之外，黑客要入侵您的账户，要么需要破解加密（通常是一个不太可能、缓慢且昂贵的过程），要么需要猜测主密码，Jeremi M. Gosney表示。他此前是一家初创公司的首席执行官，该公司在疫情期间关闭前曾向企业、机构和军事客户销售密码破解设备。

“除非您使用的密码简单得离谱，”Gosney先生说，否则不太可能有人能猜到它。“即使尝试一百万次猜测某人的主密码，所需的成本和时间也是天文数字，”他说。

Gosney先生表示，您的浏览器或操作系统内置的密码管理器，如Google的密码管理器或Apple的iCloud钥匙串，是存储凭据的另一个相对安全的地方。这里的最大风险是由恶意软件引起的浏览器安全漏洞，或者使用您设备的人在您登录时可以访问您的密码。

在选择密码管理器时，请确保您选择的工具有密码生成器，可以为您的账户创建复杂密码。为了想出一个您能记住的强大主密码，您可以使用生成器来帮助，或者想出一个使用随机单词的密码短语。（如果其中一些单词是不同语言的，那就更好了。）如果您忘记了主密码，可以重置它。

专家还鼓励使用双因素认证，这要求您在输入密码后，还需要响应发送到您的计算机或手机的提示才能获得权限。

相对安全：记忆系统

Bitwarden的调查显示，约55%的受访者表示有时依赖记忆管理密码，这使其成为全球最流行的密码存储方式。该策略有其优势：黑客无法获取你大脑中的信息，即使有搜查令，当局也无法获取。

但根据Dashlane的数据，美国网民平均拥有150个需要密码保护的账户。除非你有过目不忘的记忆力，否则可能会反复使用相同密码，这会带来重大安全风险。

其他潜在问题：专家指出，有些人为了便于记忆而设置简单密码，通常使用最低要求的字符数——这使得密码更容易被破解。将个人信息以及"123"、“QWERTY"或网站名称纳入密码也很常见，这些技巧对黑客来说都极易破解。

网络安全公司Sphere Technology Solutions首席执行官Rita Gurevich表示，正如不应在多个网站使用相同密码，也不应使用相似变体。例如，仅以"123"和"456"结尾的密码差异并不明智。即使你确信自己的系统万无一失，黑客只需一两次数据泄露就能识破规律。

虽然记住所有账户密码不太可能，但可以记忆几个最重要的密码。创建强密码后，通过定期手动输入来训练大脑记住它们。

相对安全：实体副本

许多人直接将密码写在纸上。Bitwarden调查显示约32%的受访者表示会采用这种方式记录密码。

纸质密码被窃取的概率较低——除非你将密码条贴在电脑等显眼处。书面密码应存放在你易取用但他人难以接触的地方。

采用此方法前需评估自身处境。专家不建议在工作场所（如办公桌下或键盘下）存放实体密码。即使在家中存放也存在风险，尤其对可能遭受家暴者而言。可考虑使用随身携带钥匙锁住的抽屉或容器。

也可将密码清单存放在可信家属能在紧急情况下找到的位置。Gosney先生建议将清单置于冰箱中，以增加其在火灾等意外中的存活几率。

不安全：文档与应用

Bitwarden调查中约23%的受访者承认有时会将密码存储在电脑文档中。

密码保护的文档虽优于未加密文档，但两者均非良策。Gosney指出，攻击者无需直接接触设备，通过恶意软件或社会工程学手段获取远程访问后，即可在驱动器或内存中搜索密码文档及凭证。

从文档中复制密码并粘贴到网站登录框的行为同样可能导致账户遭受黑客攻击。网络安全公司Delinea的首席安全科学家约瑟夫·卡森指出，设备上能访问剪贴板的应用程序可能会以明文形式查看密码。

而部分密码管理器已内置防护措施。例如1Password能自动清除剪贴板中的密码，防止第三方获取已复制的验证码。Keeper Security技术总监克雷格·卢瑞表示，自动填充功能由于完全规避了剪贴板操作，可能是更安全的选择。

本文作者科迪莉亚·詹姆斯是《华尔街日报》驻纽约记者，联系方式：[email protected]。

专家表示，保存密码的最佳方式是将其锁定在密码管理器中。插图：克里斯·加什刊载于2022年6月8日印刷版，原标题《最安全的密码存储方式》。