开源与专有密码管理器

如今,我们都有大量的在线帐户和服务订阅。为了确保这些帐户的安全,每个帐户都必须具有唯一且稳定的密码。而且,真正强大的密码必须复杂,这意味着它们很难记住.

密码管理器锁

最好的解决方案是密码管理器,该密码管理器专门用于代表您记住所有密码。通过使用密码管理器,您可以为每个在线帐户设置强大的唯一密码,而不必记住所有密码.

但是,并非每个密码管理器都是平等创建的,在选择服务时需要考虑一些重要事项.

密码管理器-是否可以信任?

在选择密码管理器时,有一些主要的考虑因素使这些服务彼此之间或多或少地令人期望。其中最重要的一项是软件是封闭的还是开源的.

封闭源软件是专有软件,并且已被许可(受版权保护),这种方式不允许任何人使用,修改或分发。此外,封闭源代码软件以无法分析代码的方式被锁定(未经开发人员直接访问).

如果密码管理器的代码是封闭源代码,则无法进行第三方审核,并且无法验证其开发者的任何声明。这意味着当密码管理器告诉您密码管理器如何存储或传输数据时,您必须信任密码管理器的开发人员.

每当密码管理器处于关闭状态时,您就根本不知道该服务是否像开发人员所声称的那样安全,这可能会使您的隐私和安全性受到威胁.

查看我们最喜欢的密​​码管理器.

开源-黄金标准

尽管可以在线发布任何程序的源代码(例如,在Github上),但这可以使代码可用,但不一定是“开源”。开源软件不仅可以用于审核,还必须具有符合开源定义的开源许可证.

符合那些严格标准的软件必须可以自由地重新分发,必须提供对源代码的无限访问,并且必须遵守将源代码表征为“开源”的所有十个定义。遵守这些标准的软件创作者已通过知识共享许可(CCL)放弃了所有权利的确是真正的开源.

开源软件可以由任何第三方审核。这对于隐私和安全至关重要,因为这意味着安全专家(或任何想要的人)可以分析代码并验证没有错误,漏洞或故意的后门。这也意味着有关加密标准,密钥管理,如何将数据传输到公司服务器或如何跨设备同步数据的任何主张都可以得到验证。.

还要注意的是,尽管在该术语的最严格定义中,公开代码不一定是“开源”,但出于安全性和隐私目的,它还是令人满意的。这是因为它仍然允许安全专业人员分析和验证服务的源代码。.

其他重要考虑因素

如您所见,开源Vs。选择任何隐私软件时,封闭源代码是一个重要的考虑因素。但是,在密码管理器方面,可以说还有其他一些同样重要的事情(并且与封闭源代码/开放源代码辩论密不可分)。.

密码管理器有两种。服务,您可以加密自己的密码,只有您才能解密它们。以及您委托第三方为您加密密码的服务(第三方拥有代表您解密密码的密钥).

就用户体验而言,在线存储密码被认为是极好的-因为它允许从任何设备访问密码。而且,如果这些密码是使用端到端加密存储的,则此实现被认为是安全的,因为只有用户才有权解密其密码.

当然,如果您的密码存储在公司服务器上,这确实会增加被黑客入侵的风险(例如,黑客可能只是猜测您的主密码)。但是,只要您的主密码既唯一又复杂,并且/或者您使用密钥文件或其他形式的两因素身份验证(2FA),则这种风险极小。.

值得注意的是,如果密码管理器提供了真正的端到端加密(E2EE),则您的帐户将永远无法恢复。这是因为只有您才有权使用主密钥访问密码。如果丢失主密钥,则将永远被锁定密码。这可能与某些用户有关-他们担心丢失或忘记其主密码。但是,这实际上是更好的密码管理器的标志。.

任何想要真正安全的密码管理器的人最好选择永远无法恢复且仅拥有主密钥的服务。此外,为了真正值得信赖,密码管理器的软件应该是开源的.

如前所述,如果密码管理器是封闭源,则无法验证密码管理器是否为上述类型之一。因此,无法验证封闭源密码管理器没有秘密与第三方共享您的主密钥。.

理论上,任何声称拥有E2EE的封闭源密码管理器都可以代表NSA编译每个用户的密码收集。即使这似乎不太可能-也有可能-如果密码管理器是封闭源.

开源VS开源密码管理器

在下面,我们列出了流行的密码管理器列表,以便您可以查看它们是封闭还是开放源代码。此列表中的许多封闭源密码管理器都享有很高的声誉,根据您的威胁模型,有些可能是一个不错的选择.

但是,我们仍然向任何想要最佳安全性水平的人推荐不可恢复的开源管理器。.

  • 粘性密码-封闭源
  • KeePass-开源
  • LastPass-封闭源
  • 绕过-封闭源
  • 1Password-封闭源
  • Dashlane-封闭源
  • 守护者-封闭源
  • 密码安全-开源
  • SafeInCloud-封闭源
  • 钥匙串-开源
  • Roboform-封闭源
  • Myki-封闭源
  • Bitwarden-开源
  • 通过-开源
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me