使用密码管理器安全吗？了解它们是否真的安全，发现使用密码管理器的好处和风险。
是的。与其他方法相比，密码管理器是一种更安全的管理和保护密码的方法。密码管理器也许并不完美，但有什么办法可以替代–在电脑屏幕上张贴纸条、在桌面上保存密码文件、反复使用相同的两三个密码并加以变化，或者坚持使用 “admin ”或 “1234 ”等默认密码？

黑客最喜欢使用这些方法，因为它们比密码管理器生成的复杂随机密码更容易破解。想想所有电影中，想要访问电脑的人都会使用出生日期或最喜欢的运动队来破解登录密码。

这并不是说密码管理器没有弱点。一旦知道了主密码，就可以访问所有相关账户。但是，遵守最佳实践（如添加双因素身份验证）可以将这些风险降到最低。

密码管理器如何工作？
密码管理器基本上是一个存储密码的应用程序或保险库，因此无需记住密码。用户只需使用主密码登录密码管理器。一旦解锁，密码管理器应用程序就会使用其加密库中存储的密码访问所有其他用户账户。对于账户设置或首次登录，密码管理器会为每个网站或应用程序生成长而复杂的密码，并将其自动输入网站和应用程序。

建议使用密码管理器的用户开启并始终使用双因素身份验证。开启后，知道主密码的罪犯将无法访问用户数据和登录信息，因为他们无法提供 2FA 所要求的代码或生物特征输入。此外，密码管理器用户应创建一个强大的密码作为主密码，这个密码既要容易记住，又要足够长，还要包含不同的大小写字母、符号和数字，以阻挡黑客。

在 Keeper 中创建主密码。图片：Keeper

购买密码管理器后，需要将其下载到电脑和/或移动设备上。你将经历设置主密码、激活 2FA 和选择最佳验证方法、为浏览器添加密码扩展、登录各种账户更改现有密码等阶段。更改后的密码由密码管理器生成、加密并存储在其安全库中。

查看：为团队打造的最佳密码管理器（TechRepublic）

如果读者对视频版本的说明感兴趣，我强烈建议您查看我们的密码管理器 101 专题，该专题现已在 TechRepublic 官方 YouTube 频道上推出。

在视频中，我们介绍了密码管理器的不同功能和优势、什么样的企业或个人可以从这些产品中受益，以及使用密码管理器解决方案时应该遵循的一些最佳实践。

密码管理器的类型

1Password Watchtower 密码健康功能。图片： 1Password

密码管理器有几种类型：基于云（在线）、离线和无状态。它们之间存在灰色地带，有些供应商提供的产品跨越了其中两个类别。进一步的区分方法与各种解决方案对某些平台和操作系统（如 MacOS）的适用程度有关。不过，这三大类产品涵盖了大部分领域。

云密码管理器
云密码管理器也称为在线密码管理器。所有密码都存储在云端，通常在提供商的服务器上。一些免费或廉价的消费者密码管理器缺乏全面的安全保护措施。它们可能加密功能较弱或没有加密功能，也没有 2FA，而且它们的密码保险库可能缺乏企业级保护功能。最好的密码管理器采用零知识方法，在用户将数据发送到提供商的网络之前对其进行加密。

Dashlane 桌面应用程序。图片： Dashlane

查看： LastPass 2024 年回顾：它还安全可靠吗？(TechRepublic）

安全责任由云提供商和用户分担。提供商要确保其系统不会被外界未经授权的窥探者访问。它提供加密功能来保护数据。然而，用户则要防止主密码泄露，采取措施避免被键盘记录器感染，并保持 2FA 处于开启和安全状态。

1Password、Dashlane 和 Keeper 都是提供云服务的密码管理器。

优点

• 可在任何地方通过任何设备访问您的密码库。
• 方便且用户友好。
• 内置随机密码生成器。
• 可在所有设备上同步密码。

缺点

• 密码库可供第三方尝试访问。
• 键盘记录恶意软件可用于获取主密码。

查看：苹果的 iCloud Keychain 安全吗？(TechRepublic）

离线密码管理器
离线密码管理解决方案可将密码直接存储在用户设备上，无论是智能手机、个人电脑还是笔记本电脑。密码存储在本地加密库中。管理和存储密码无需依赖外部服务器。

桌面上的 Enpass 密码库。图片： Enpass

Enpass 和 KeePass 是离线密码管理器的典范。这些工具提供离线密码管理；密码离线存储在安全加密的保险库中，登录时需要主密码。

优点

• 降低外部人员入侵密码库的风险。
• 除非与主设备同步，否则其他设备无法访问密码。
• 远离公共网络，实现更高级别的控制和隐私保护。
• 即使没有 Wi-Fi 也能随时访问。

缺点

• 需要定期备份。
• 无法在多个移动设备之间无缝同步。
• 如果丢失设备，就会丢失保险库。
• 查看：为什么企业需要网络安全意识培训（TechRepublic Premium）

无状态密码管理器
无状态密码管理器（又称基于令牌的密码管理器）为每个网站或服务生成唯一的密码，而不是直接存储密码。生成的密码取决于主密码和一个标识符或令牌，如 USB 密钥、验证器生成的代码或手机短信代码。谷歌泰坦安全密钥和 Dashlane 使用的就是这种方法。要使用这些无状态解决方案，设备之间不需要同步，因为没有数据库或保险库可访问。

优点

• 凭证存储在单独的设备上。
• 无需同步不同设备。
• 黑客没有保险库或已知密码可破解。

缺点

• 如果设备丢失，访问权限也会丢失。
• 这种方法通常需要专有的硬件和软件。

免费密码管理器安全吗？
有很多免费的密码管理器，包括 KeePass、Bitwarden、RoboForm 和其他开源选项。

还有一种基于浏览器的密码管理器，与特定浏览器紧密集成。虽然方便易用，但从另一个浏览器访问存储在一个浏览器密码管理器中的密码可能并不容易。
此外，一旦黑客获得设备访问权限，他们就可以访问所有密码，因为浏览器会假定用户已获得授权。

查看：最佳免费密码管理器（TechRepublic）

Bitwarden 浏览器扩展。图片 Bitwarden

免费密码管理器主要是为个人或家庭用户设计的，不过有些也适用于小型企业。但由于安全功能有限、缺乏企业功能以及用户数量限制等原因，这些产品都存在缺陷。建议任何处理敏感信息或在商业环境中运营的人选择企业级密码管理器。

值得为密码管理器付费吗？
是的，密码管理器值得购买。在数据泄露会给企业造成数百万美元损失的今天，拥有专门用于保护和存储密码的软件是非常划算的。

密码管理器的一个优点是种类繁多。有许多解决方案可以满足不同的预算和功能要求。如果您需要基于云的解决方案，这里有适合您的优质选择。如果离线密码管理器是你的首选，也有强大的供应商可供选择。

虽然密码管理器并不完美，但它们能大大提高密码和凭证的整体防御能力，使其免受威胁者和黑客的攻击。有鉴于此，我认为优质的密码管理器服务非常值得购买。

2024 年最安全的密码管理器
以下是我们为个人、小型团队和大型企业推荐的最安全的密码管理器。

图片： ManageEngine
ManageEngine Password Manager Pro 包括一个安全的保险库、强大的访问控制、安全的远程位置和定期的密码轮换。

图片：Norton 诺顿
Norton Password Manager 具有 256 位 AES 加密、TLS 安全连接和本地数据加密功能。

图片：诺顿 Dashlane
Dashlane 提供专利安全架构和 AES 256 位加密，以及无限制密码共享和暗网监控。

图片 1Password
1Password 具有单点登录、简化配置、自定义策略管理和 Secrets Automation 工具等功能。

图片 Keeper
Keeper 的高级功能包括 2FA、加密保险库、生物识别登录以及单点登录选项。

图片：Bitwarden Bitwarden
Bitwarden 可以为所有账户生成、整合和自动填充强大而安全的密码，创建和管理独特的密码和密钥，并直接安全地共享加密信息。

密码管理最佳实践
密码管理器可以消除在线操作中固有的大部分风险。但并非全部。以下是一些可以加强安全性并最大限度降低漏洞发生几率的最佳实践。

使用多因素身份验证
多因素身份验证应与密码管理软件结合使用，以确保安全和整体保障。通过在输入主密码后增加一个额外的步骤，如需要输入生物特征、验证器或基于文本的代码，黑客即使知道主密码也很难获得访问权。

实施设备安全
有些密码管理器使用手环或 U 盘来访问密码。还有一些则要求输入主密码。但设备本身应独立安全。确保需要密码或生物识别才能打开设备，并设置设备在几分钟未活动后自动锁定。

确保主密码安全
如果用户将主密码写在便签纸上或与他人共享，密码管理器的所有好处都会付诸东流。请妥善保管您的主密码。