什麼是密碼管理器？它安全嗎？

密碼管理器或金鑰管理員是一類用於生成、檢索、儲存及管理複雜密碼、數字簽名的措施，可以由硬體或軟體實現。因此，密碼管理器一般也稱作密碼管理軟體。

複雜密碼的生成一般按需要以隨機演算法產生，而密碼資料則保存於一個以密碼、數字簽名等方式加密的資料庫內。它的作用類似於鑰匙圈，方便個人或企業組織集中管理密碼、數字簽名等身份管理要素。

近日，“雲密碼管理軟體LastPass資料洩露引發全球恐慌”事件在業內引起了廣泛關注。

12月23日，密碼管理器廠商LastPass透露其雲端儲存設施遭駭客入侵，大量客戶保險庫敏感資料疑遭洩露。這是LastPass自2022年年初以來披露的第二起安全事件，此前該公司曾在8月份確認駭客使用洩露的開發人員賬號訪問了其開發環境。

根據LastPass的最新通告，最新洩露事件中攻擊者使用的正是8月份從其開發人員環境中竊取的“雲端儲存訪問金鑰和雙儲存容器解密金鑰”訪問了Lastpass的雲端儲存設施。

為什麼LastPass的資料洩露安全事件，會引發全球恐慌呢？

Lastpass是一個知名線上密碼管理器和頁面過濾器。據瞭解，LastPass在全球擁有超過3300萬個人使用者和10萬家企業使用者，其使用者資料大規模洩露引發了全球性恐慌，甚至波及其他密碼管理器產品的使用者。

據LastPass執行長Karim Toubba表示，攻擊者非法訪問了使用者的基本帳戶資訊和相關元資料資訊。包括公司名稱、終端使用者名稱、賬單地址、電子郵件地址、電話號碼以及客戶訪問LastPass服務的IP地址。（編者：此部分資訊為明文未加密）

而且，攻擊者還從加密儲存容器中複製了客戶保險庫資料的備份，保險庫資料以專有的二進位制格式儲存，其中包含未加密的資料，例如網站URL，以及完全加密的敏感欄位，例如網站使用者名稱和密碼，安全註釋和表單填寫的資料。（下圖虛線部分）

雖然Karim依舊強調，在沒有使用者本地儲存的唯一加密秘鑰的情況下無法解密密碼，但他也依舊提醒使用者，駭客可能會使用暴力窮舉、釣魚網站等方式獲取主密碼。因此，如果使用者曾經、或是現在仍在使用LastPass，那麼最好更改下密碼，以確保安全。

同時，雖然LastPass宣稱洩露的是加密後的使用者資料庫，駭客破解很困難。但慢霧科技創始人餘弦認為使用者面臨的風險依然很高。他在推特上建議LastPass的企業使用者立刻更改在該密碼管理器中儲存過的賬戶密碼。

另外，餘弦還表示，雖然之前推薦了1Password和Bitwarden，但不排除二者將來也有可能發生類似的資料洩露安全事故，因此密碼管理器使用者應該提高警惕，時刻做好響應的準備。

目前，密碼管理器/軟體基本分為線上雲同步版、本地版。其中，LastPass就是雲密碼管理軟體。但本地版（本地密碼管理軟體）也不意味完全安全，例如，2021年，澳大利亞企業級密碼管理器Passwordstate的開發廠商Click Studios釋出警告稱，有攻擊者破壞了這款應用程式的更新機制，成功入侵其內部網路後以供應鏈攻擊的形式大肆傳播惡意軟體。

據瞭解，Passwordstate是一款支援本地部署的密碼管理解決方案，類似1Password，在全球贏得了29000家企業與超過37萬名安全/IT專業人士的青睞。在其客戶名單中，有不少還是財富五百強成員，具體涵蓋政府、國防、金融、航空航天、零售、汽車、醫療保健、法律與媒體等等。

不管是雲密碼管理軟體，還是本地密碼管理軟體，使用密碼管理器或許都存在這樣的安全風險：

所有敏感資料集中在一處，就如“將雞蛋放在一個籃子裡”。

如果發生資料洩露，可能需要耗費大量時間來阻斷所有支付選項，並更改所有賬戶的密碼，而這些時間足夠攻擊者造成重大破壞。

備份並非總是可行。

如果伺服器出現故障，使用者將唯一的希望寄託在提供商身上，期待他們已經制作了備份副本；如果使用者將儲存庫在一臺裝置上保持離線狀態，這種風險會成倍增加。同樣地，將自己的備份儲存在未受保護的磁碟驅動器或保護不佳的雲服務上也無濟於事。

並非所有裝置都足夠安全。

駭客利用相同的漏洞便能在一次攻擊中獲取使用者的所有登入資訊。如果使用者裝置感染了惡意軟體，密碼管理器也可能會被黑。在這種情況下，使用者輸入主密碼會被記錄下來，從而使網路犯罪分子獲得對儲存資料的完全訪問許可權。這就是密碼管理器使用者應該首先投資保護他們所有的裝置以降低風險的原因所在。

不使用生物特徵認證。

生物識別身份驗證是增加額外安全防護層的好方法。如果使用者將密碼管理器配置為請求指紋或面部掃描，那麼有人侵入儲存庫的機會就會變得非常渺茫。而且，觸控指紋掃描器也比輸入主密碼容易得多。

不要使用具有較弱加密功能的密碼管理器。

如果一款密碼管理器具有較弱的加密功能，提供的功能很少，並且使用者反饋很差的話，就不應該再使用它。

忘記主密碼。

在使用者是唯一知道主密碼的人，同時密碼管理器沒有重置功能的情況下，可能需要逐個恢復每個登入。或者，可以將主密碼（或提示）儲存在某個物理上安全的地方，例如保險箱。

那麼，有什麼辦法能預防密碼管理器的安全風險呢？

據GoUpSec諮詢多位安全專家後，總結了密碼管理器個人使用者的六大風險預防與緩解建議，如下：

1。 如果可能，只用開源且不能上傳伺服器的密碼管理器，或者關閉雲同步功能（例如僅使用1Password的本地同步功能），避免使用瀏覽器外掛等“方便的密碼管理器擴充套件功能”。該方法雖然會犧牲一些（團隊管理）功能和便利性，但是對於個人使用者來說，安全性更好。

2。 設定一個足夠強大和獨特的主密碼（Master Password），並且單獨（物理）記錄和存放，不可以任何格式（包括圖片）儲存在任何聯網裝置中。

3。 在密碼管理器中不要在明文區域儲存敏感資訊。

4。 給密碼管理器中儲存的密碼“加鹽”（密碼的一部分片段為密寫或者用符號代替的子密碼，子密碼獨立於密碼管理器記錄和儲存）。

5。 開啟密碼管理器的多因素認證，並且使用硬體金鑰或APP認證程式等認證因素而不是簡訊密碼。

6。 面對類似LastPass的使用者資料洩露事件，請立刻更改所有儲存在密碼管理器中的賬戶密碼，並遵循以上安全建議。