消费者权益
你需要知道的
密码管理器

  • 复杂的加密使密码更强大,并通过向您的信息添加复杂层来增强您的整体在线安全。这使得被盗的加密数据无法使用。
  • 自动或单点登录允许您快速和安全访问您的所有帐户,并通过自动填写登录和表单节省您的时间。
  • AES-256加密和双因素身份验证是目前的行业标准。
  • 暗网监控交叉检查您的个人信息,以对抗已知的泄露和报告违规,以便您可以立即采取行动,以确保您的账户安全。
我们的方法

我们如何分析最好的密码管理器

特性
我们只回顾了满足当前行业标准的密码管理器:单点单击或自动登录、无限密码存储、跨平台设备同步和强大的内置密码生成器工具。
用户体验
我们寻找的是能够快速建立账户的系统。密码管理器数据界面的总体易用性是必不可少的。
价格
许多密码管理器提供免费选项,包括针对单个设备的基本功能。我们考虑了一些不免费的安全特性,这些特性可以提供真正的额外保护,不仅对你的密码健康,而且对你的整体浏览体验。
安全
我们检查了每个提供商的安全历史,以及他们如何管理过去的任何漏洞,他们纠正安全问题的速度有多快,或者他们如何积极寻找和修复安全漏洞。
支持
与许多软件应用程序一样,为了使程序适应您的浏览器或操作系统,可能需要进行一些故障排除。在初始设置或从以前的帐户导入数据时尤其如此。我们一直在寻找具有最新的社区博客、易于使用的常见问题解答部分以及通过评论或帮助请求回答问题的快速响应时间的服务。
人们发现这很有帮助。
有帮助的 没有什么帮助
我们从中得到补偿合作伙伴,这会影响它们在页面上出现的顺序。也就是说,我们网站上的分析和观点都是我们自己的我们相信社论的完整性。

我们的首选:密码管理器评论

密码管理器在我们的数字生活中越来越不可或缺。我们每天都在努力追踪我们管理的大量登录信息。然而,它们的实用性存在许多合理的问题。把所有密码都存储在一个地方真的是个好主意吗?密码管理器安全吗?我就不能把所有的登录记录在一个地方吗?简而言之,是的,你可以。但密码管理器也有显著的优势,可以大大增强你的帐户的隐私性。

有各种各样的密码管理选项,没有两个密码管理器服务提供相同的功能和服务。虽然大多数公司在保护你的信息安全方面都有良好的记录,但选择一个真正适合你的日常需求,而不会使你的个人数据管理进一步复杂化的网站是很重要的。

我们根据最适合特定受众的功能来安排我们的推荐。对于那些把手机作为网页浏览工具的人来说,考虑到手机的屏幕尺寸和移动特性,生物特征认证可能是获取密码和钱包信息的最快、最简单的方法。

文件夹共享工具对家庭来说是很有帮助的,特别是当不同的家庭成员经常访问你的账户时。您可以将使用的服务组织到不同的文件夹中,并将访问权限授予指定的用户。您可能只想与您的配偶共享购物或财务登录信息。同样,您可以为流媒体服务创建特定的密码文件夹,允许您的孩子访问特定的服务,但不能访问其他服务。一些密码管理器甚至允许你远程注销或限制某个特定网站的设备。

对家庭来说,另一个有价值的功能是建立紧急情况或遗产联系人的能力。这可以让你指定谁可以访问你的帐户,如果你发生了什么事。这个功能还可以作为一个主密码检索工具,以防您或您的家人失去他们的帐户访问权限。

业务特性都是关于整合团队,同时确保将适当级别的数据访问授权给组织的特定成员。最好的商业密码管理器提供可定制的安全策略和详细的数据活动报告。对文件夹的安全共享访问可以为特定的工作团队量身定制,并对敏感信息严加保密。

最后,我们考虑了两个专门的特性:开源和启用安全令牌的密码管理器。对于那些具有脚本编写能力并希望自定义或自托管密码管理的人来说,开放源代码是首选选项。安全令牌提供了切实的双因素身份验证解决方案。这对负责把关访问大量有价值数据的高级行政官员来说是非常有用的。这些用户是黑客希望访问更大的企业数据库的专门目标。这种量身定制的黑客攻击被称为捕鲸攻击,之所以这么叫是因为它们的目标有大量的赏金。

RoboForm审查

最好的业务

在所有为企业量身定制的密码管理器功能中,Roboform凭借其价值、可靠的管理和集成功能以及专门的支持而脱颖而出。密码管理服务的起价为每位用户每年39.95美元,规模较大的团体以及3年和5年的订阅会有折扣。培训网络研讨会和材料包含在服务协议中,用于员工入职。

https://www.roboform.com/ 11/4/2019截图

Roboform允许管理员通过导入逗号分隔的值源文件(CVS)和文档历史来创建单个或多个帐户。帐户可以被授予三种基于角色的权限级别中的一种,允许在个人或整个组之间安全地共享特定的文件。管理员还可以在任何时候实施集中的密码要求更改。

极具商业头脑的应用程序

Roboform允许管理员制定密码卫生策略,并为每个主密码更改定制复杂度和间隔时间。共享的加密数据只有在员工使用密码登录时才能访问。这允许管理员将数据活动追溯到特定的用户。管理员可以生成个人和组数据访问报告,使他们能够完全控制数据访问和使用历史。主密码也可以集成到目录程序中,以设置单点登录(SSO)选项。

专门的支持

Roboform for Business是为数不多的通过专门的支持团队提供帮助的服务之一。用户可以直接与电话代表通话,或使用聊天或电子邮件功能提交协助请求。

访问网站

Dashlane审查

最好的个人

Dashlane在一个非常用户友好的仪表盘中提供了一系列全面的功能。每月3.33美元(全年39.96美元),你不仅可以使用密码管理器的所有基础知识,还可以使用附加功能,如VPN和暗网监控服务。这两者对各种用户都非常有价值,尤其是对那些经常出国旅行或需要通过公共WiFi上网的用户。

多设备无缝集成

在一天中,大多数人会不假思索地访问三到四个不同的设备。在我们的日常生活中,跨多个设备同步帐户是必要的。Dashlane跨多个平台管理你所有设备上的密码,并集成了你的密码安全功能,所以你可以从手机到笔记本电脑,而无需记住和重新输入凭证。此外,如果您的设备无人看管,丢失或被盗,您可以远程访问您的帐户,并在任何人访问它们之前注销它们。

https://www.dashlane.com/ 11/4/2019截图

全面的安全特性

暗网监控检查您的数据,防止已知的泄露和未经授权的活动。它还为您提供个性化的提醒,为您提供工具,以快速解决安全漏洞,并将您的密码被泄露的可能性降到最低。定期监控你的数据效果更好,包括VPN功能,它允许你私下浏览网页,而不暴露你的浏览历史或IP地址。VPN还可以屏蔽您的实际服务器位置,这可以允许您访问在您本国受限的内容。

访问网站

NordPass审查

最好保护隐私和安全

NordPass竭尽全力确保其用户数据在任何时候都是安全的。它使用XChaCha20加密和双因素身份验证,以确保黑客无法访问您的数据。该公司还采用了零知识架构,这确保即使是NordPass也无法访问你的密码,因为密码在进入云端之前已被加密。该公司提供了“密码健康”功能,帮助用户识别需要修改的密码,因为它们是脆弱的、陈旧的或重复使用的——这三种情况使密码更容易受到攻击。此外,NordPass还提供了一个可选的数据泄露扫描功能,该功能可以扫描网页上可能影响到应用程序保护的密码之外的用户的数据泄露。个人付费计划的起价为每月2.49美元。如果您每次只需要保护一台活动设备,那么还有一种免费的计划,以及一种满足企业需求的业务用户计划。

直观的界面

NordPass的界面简洁,易于导航和搜索。你可以将密码和重要的笔记存储在不同的文件夹中,以便日后更容易找到它们。该软件使用了OCR技术,所以你可以保存重要的密码、笔记和信用卡号码,而无需将它们全部输入NordPass。只要使用该应用程序扫描和保存信息,你就可以从任何指定的设备访问它。

节省时间的设计

那些已经使用密码管理器的用户可以快速将数据导入NordPass,而不必经历手工输入数据的耗时过程。虽然你的信息被很好地加密了,一个主密码(或移动应用的生物认证)可以让你快速轻松地访问你的密码,内置的可信联系人功能可以让你快速地与你信任的家人或朋友分享你的密码。你的所有信息都会定期备份并同步到云端,这样你就可以无缝地从一个设备转移到另一个设备而不会遇到任何问题。

访问网站

粘性的密码检查

最好的免费选项

Sticky Password的免费选项涵盖了所有基础:自动登录和自动表单填写,强大的密码生成器,安全的数字钱包,安全的笔记和双因素认证。唯一的缺点是,和大多数免费服务一样,它不能在多台设备上同步你的登录信息。如果你经常需要更换设备,你可能会考虑他们的优质服务。每年29.99美元,粘性密码也是最好的预算选项之一。

伟大的安全功能,免费

你能从免费服务中真正得到多少?令人惊讶的是,很多。Sticky Password提供了其他免费选项所没有的强大功能,例如生物特征认证,它可以与配备指纹ID的设备集成。它还提供了一个支持windows的USB便携版本,对于使用多台电脑工作的人或那些需要离线工作的人来说非常有用。

https://www.stickypassword.com 11/4/2019截图

生物认证技术

Sticky Password优于其他密码管理服务,它在配备指纹识别的手机上包含生物识别认证。把你知道的东西(你的密码)和你唯一的东西(你的拇指指纹)结合起来,会让未经授权的人更难访问你的账户。这一额外的安全层为您的设备提供了更好的机会,以抵御入侵或攻击。

访问网站

密码老板审核

最好的家庭

我们选择Password Boss不仅仅是基于它的功能,更是基于它的整体价值和对家庭的便利性。每月4美元的费用,它可以为你提供最多5个个人账户,这些账户之间可以共享无限数量的文档和密码。Password Boss的家庭计划唯一的缺点是它不能为大家庭提供额外的账户。如果你需要5个以上的账户,你将需要购买另一个家庭许可证。

https://www.passwordboss.com/ 11/4/2019截图

如果你的家人需要5个以上的账户,你可能会考虑1Password,同样数量的用户每月收费4.99美元,还允许用户添加额外的家庭成员,每人支付1美元。除此之外,Password Boss还提供了所有密码管理器的基础知识,包括一些有用的附加功能。

管理你所有的家庭订阅和记录

密码老板允许你不仅存储,而且与朋友和家人分享特定的信息。您可以为家庭的不同成员指定不同的访问角色。例如,你可能希望你的孩子能够访问流媒体服务,但不是你的数字钱包。密码老板允许你设置特定的密码访问你的每个在线帐户,如果需要,撤销或删除远程设备访问。

紧急联系人

如果你失去了访问权限,无法找回加密的数据,安全存储你的记录、账户和其他重要数据对你来说毫无价值。“密码老板”允许您根据需要从共享到同一组帐户的联系人中指定尽可能多的紧急联系人。当您指定紧急联系人时,密码老板将存储您想要共享的项目的加密副本,其中可以包括您的主密码副本,并应指定人的请求提供给指定人。您可以设置一个等待期的信息发布或授予立即访问提供一旦批准的联系请求。这使得该功能既可以作为遗留工具,也可以作为万一您忘记密钥时的应急措施。

访问网站

Bitwarden审查

最佳开放源码密码管理器

如果你正在寻找自我托管,Bitwarden在广泛的桌面,网页浏览器和移动平台上提供了很好的功能。它包括一个用于访问和编码存储库的命令行界面(CLI)工具。该特性允许您编写和执行自己的脚本来定制保险库特性,以满足特定的安全需求。

站点内托管和集成功能

你可以选择在你的电脑上托管Bitwarden,而不依赖外部云服务,这允许你在没有在线连接的情况下访问你的信息。此外,Bitwarden具有RESTful API访问和目录同步功能,允许通过Active directory、Azure、G Suite和Okta进行集成。

https://bitwarden.com/ 11/4/2019截图

友好的用户界面

Bitwarden提供了一个用户友好的界面,允许您有效地存储和检索信息。你可以同步你所有的设备和存储无限的项目,包括登录,笔记和信用卡。使用高级选项,您可以选择接收密码运行状况报告,或者使用YubiKey、Duo或Fido U2F设置两步登录。

其他开放源码选项

作为我们研究的一部分,我们在Río Piedras与Humberto Ortiz教授进行了交谈,他是波多黎各大学计算机科学系的网络安全和生物信息学专家。他个人推荐的是KeePass X,这是一个深受编程社区信任的选择。如果您正在寻找自托管,那么KeePassX和KeePassXC都是很好的开源选项,尽管它们的用户界面对于更习惯于类似应用程序的仪表板的用户来说可能有点过于简单。

访问网站

SplashID关键安全审查

口令最好的选择

基于令牌的安全选项作为双因素身份验证越来越受欢迎。SplashID Key Safe是一个拥有4GB存储空间的USB驱动器,并预装了完整版本的SplashID Pro,你可以插入任何运行Windows或Mac OS的计算机的USB端口。SplashID密钥包含您所有的密码和数据。Splash ID宣称,一旦钥匙被拔下,你的数据就会随你而去,不会在计算机设备上留下任何数据痕迹。

一把独一无二的钥匙

基于令牌的密码管理器的优点是,您可以随时携带主密码,而不会让服务器或设备中的黑客获得任何信息。这对您的数据安全来说是一个强大的优势,因为您拥有可以解锁您的加密个人信息的唯一密钥。缺点是,这些优势也有其局限性,因为你所面对的是一件可能丢失、被盗或停止工作的实物。

https://splashid.com/ 11/5/2019截图

一生的许可证

现在,SplashID提供免费的终身许可证,只要你购买一个钥匙保险箱(目前一个49美元,5个149美元)。我们要求Splash ID支持团队确认这个报价。我们很快得到了他们的回复,确认订阅包括设备寿命的SpashID Pro许可证。他们的促销活动还提供两年的退款保证,并承诺如果你对产品不满意,可以全额退款。

访问网站
我们的研究

更多关于我们方法论的见解

特性

我们研究了20多个领先的密码管理器,并在22个不同的功能上对它们进行了比较,对特定于产品的功能进行了个性化考虑。评估的一般功能包括跨浏览器和操作系统的编程标准和功能。我们只考虑清楚地识别其程序中使用的加密散列和密钥派生函数的密码管理器。我们还排除了不提供256位加密作为标准的服务。

此外,我们还确保所有审查的管理人员都包含自己的强密码生成器,以及这些生成器是否包含长度和字符自定义的密码强度检查。我们回顾的所有产品都允许存储无限数量的帐户,以及跨多个设备的同步。除了免费程序,所有的服务都提供这两种服务作为标准。其他重要的是自动填充功能和单点填充选项。

密码功能

然而,自动密码更改功能(可以设置为定期更改密码)被考虑过,但最终没有被确定为一个决定性因素。这些功能更多的是个人偏好的问题,而不是必须具备的功能。

关于安全性,我们寻找具有双因素身份验证以及生物特征验证功能、安全笔记存储、数字钱包、密码和数据导入导出功能的密码管理器。我们仔细检查了每个服务的可用技术支持以及离线访问功能,以及紧急情况或遗留联系功能。最后,我们研究了免费试用期的可用性和每年的总价格。

用户体验

显然,我们正在寻找的系统不仅有利于您的初始帐户设置,而且还提供用户友好的程序界面,以存储和检索您的个人信息。不同的密码管理器通过仪表盘、金库或简单的下拉菜单采用不同的组织策略。我们寻找完全集成的选项,不需要额外的扩展或外部应用程序来获得完整的功能。最终,易用性和简单性是决定是否推荐一个密码管理器而不是另一个的主要因素。安全地传输、存储和保管你的密码、数字钱包和安全笔记应该不是一件麻烦的事。

价格

尽管大多数服务都是按月收费,但绝大多数都是全年收费。除了免费选项和Zoho Vault (Zoho Vault提供现收现付选项),大多数密码管理器都需要提前全额付款。这就是为什么我们坚信免费试用产品或减少功能的免费选项是非常有价值的:它们允许你在投入整整一年的服务之前测试服务。当检查两个具有相同基本功能和相似服务历史记录的服务时,我们一贯建议选择性价比更高的服务。

安全

我们采访了三位独立的网络安全专家,讨论了网络安全的理论和实际考虑。我们就所宣传的安全功能的实际好处和性能提出了直接的问题,并澄清了一些关于密码管理器行业的神话。我们就过去的漏洞提出了尖锐的问题,并质疑这些服务是否值得信任。我们还调查了所宣传的功能是否达到标准,是否提供了他们声称提供的保护。

支持

与大多数软件应用程序一样,为了将程序调整到您的浏览器或操作系统,可能需要进行一些故障排除,特别是在初始设置期间或从以前的帐户导入或导出数据时。我们寻找具有最新的社区博客、易于使用的FAQ部分和快速响应帮助请求的服务。我们还考虑了网络上的消费者评论和担忧。

有关密码管理器的有用信息

来自网络安全专家的见解

我们采访了三位独立、公正的网络安全专家和承包商,讨论了密码管理公司对其服务的许多安全声明。他们的普遍共识是称赞密码管理器增强存储数据和浏览器安全性的能力。以下是我们提出的一些问题,以及他们提供的一些见解:

使用密码管理器服务有真正的好处吗?

我们询问了昆汀·罗德斯-埃雷拉,进攻安全经理重要的开始这是一家专门从事计算机和网络威胁管理检测和响应的安全公司。他谈到了密码管理器提供的许多优势:“几乎在每次渗透测试中,都会发现一个账户的密码非常弱。有时这些帐户是提升帐户,例如域管理员。使用密码管理器,您可以创建非常复杂的密码,如果密码散列被泄露,则需要数十年甚至更长时间才能破解。使用密码管理器的缺点是,您有一个主密码,可用于访问所有其他密码。因此,您必须确保密码足够复杂,以阻止任何攻击者。如果公司使用密码管理器来管理服务账户,那将大大提高他们的安全状况。这是因为攻击者和评估者经常攻击服务帐户,因为它们很少更改密码,通常设置的密码相当弱。密码管理器还可以防止密码重复使用,这对大多数用户来说仍然是一个大问题。”

数据的安全性

更多并不总是更好,特别是在软件安全方面。每增加一个特性,就需要编写更多的代码。这对你意味着什么?我们不仅在寻找强大的加密技术,还在寻找精心设计的程序,定期审计数据并测试可能被利用的弱点。简单地说,如果黑客有更多的空间来测试错误,他们就有更多的机会在你的周围找到漏洞,波多黎各大学计算机科学系的Humberto Ortiz Zuazaga教授解释道。“密码数据库的加密是必不可少的。我通常推荐功能较少的管理器,以减少攻击面。另一个基本功能是可以在看不到密码的情况下粘贴密码。”

这些服务可以合法地提供什么安全保证?

“没有一个系统是完全安全的,”独立安全专家Arturo Geigel说,他是机器学习、自然语言处理和数据挖掘领域的研究员和顾问。“这取决于它旨在保护的威胁模型。也就是说,他们可以添加一些安全层来进一步增加使用密码管理器的事务的安全性。但当他们添加这些层时,例如基于机器特征(如IP地址、Mac地址、序列号等)的限制,就限制了移动性和易用性。这些措施,再加上监视环境中偏离正常的可疑活动,可以帮助防止妥协

消费者应该信任曾经被黑客攻击过的密码管理器吗?

这个问题在我们咨询的专家中引起了一些分歧。Geigel和Rhoads的发言支持代码的不断改进,但是ortizz - zuazaga坚持他个人对先前妥协的程序的不信任。

对此,盖格尔不得不说:“这是(漏洞)程度的问题。这完全取决于那些密码验证的资产。如果资产的价值是最小的,而服务提供额外的易用性,那么它比把它写在人们可以得到和滥用的纸上要好。最后,这是一个[评估]每个用户的具体情况来决定做出哪个决定....的问题它将根据环境、系统的暴露程度和用户的风险承受能力而变化。”

Rhoads-Herrera补充道:“那些密码管理器(OneLogin和LastPass)的功能中包含了漏洞,这些漏洞被供应商迅速修复。据我所知,这些错误都没有导致存储在用户密码库或供应商基础设施内的数据库中的所有密码泄露。与大多数产品一样,总会发现漏洞。消费者应该看看LastPass等供应商是如何处理这些漏洞的,比如他们打补丁的速度有多快?他们有bug赏金计划来积极确保他们的产品是安全的吗?在一天结束的时候,用户不可能记住一个完全随机的18个字符的密码,并且每次登录都使用一个随机的密码是不可能的。有一个密码管理器,你可以记住一个密码,使用MFA访问密码库,设置完全随机的复杂密码是一个更安全、更强大的方法。”

然而,当被问及是否信任被泄露的密码管理器时,ortizz - zuazaga简单地回答说:“我不相信。”

密码管理器常见问题

什么是密码管理器?它是如何工作的?

密码管理器旨在创建和管理复杂的密码和登录信息,并保存笔记和文档的加密副本。密码管理器自动填写您的帐户登录信息,包括用户名和密码,将您的浏览体验变成基于单个主密码的单点登录过程。

如何知道选择哪种密码管理器?

有三种类型的密码管理器:本地计算机或浏览器软件、在线服务和基于令牌的应用程序。最好的密码管理器是最适合你的数字生活方式的。许多最好的服务都提供免费试用期,允许您在使用特定产品之前测试功能。

密码管理器安全吗?

密码管理器有着可靠的记录。即使是那些过去有过入侵记录的公司,也只暴露了从已迅速解决的漏洞中检索到的密码信息。到目前为止,就公众所知,没有任何个人消费者数据被泄露。存储的数据是加密的,这使得它比普通的文档和文件要复杂得多。即使您的加密数据以某种方式被恶意获取,如果没有您的加密密钥,这些数据也没有用,因为加密密钥与您的主密码或令牌密钥绑定。

为什么我需要一个密码管理器?我就不能把密码写下来吗?

你当然可以把密码写下来,自己保存起来。然而,平均每个人有大约90个不同的网络账户,包括社交媒体、新闻订阅、网上购物和大量基于网络的服务。跟踪如此大量的信息很容易成为一种麻烦,特别是在保持健康的数据卫生习惯(如定期更改强任意密码)时。

如果我出了什么事,我的家人能查看我的账户吗?

许多密码管理器允许您设置一个紧急情况或遗留联系人,以便在任何不可预见的情况下检索对您的帐户的访问权,如果需要授予家人或指定的一方访问您的登录数据的权限。

如果主密码丢失了,我该怎么办?

如果您已经建立了紧急联系人或与某人共享访问权限,他们将能够为您检索帐户。否则您将失去访问权限和所有存储的信息。请记住,大多数服务不会保留您主密码的副本,只有加密的信息才会被程序操作员访问,如果没有您的密码密钥,这些信息将是无用的。安全专家建议你使用一个只有你自己能记住的个人短语,以确保你总能找回你的账户。如果访问权限丢失,您将无法检索您的信息。

我如何知道我的密码是否已被泄露?

许多服务提供密码审计服务,帮助您保持密码卫生。大多数还提供暗网监控,根据泄露的密码数据库和已知的数据泄露来检查你的密码。您也可以通过访问https://haveibeenpwned.com/来验证您的电子邮件地址是否已被泄露

我们的密码管理器回顾总结

公司名称 最好的
Dashlane密码管理器 为个人
RoboForm密码管理器 为企业
粘性的密码管理器 自由的选择
密码老板密码经理 对家庭来说
Bitwarden密码管理器 开源选项
SplashID密钥安全密码管理器 基于符号的选择
我们从中得到补偿合作伙伴