密码管理应用程序已经存在了几十年。如今,有数十个合法候选人可以胜任处理您的在线凭据的工作,并且它们都以相同的基本架构开始:您的用户名、密码和其他机密存储在受以下保护的数据库(通常称为保险库)中:强加密。要解锁该保管库,您需要输入主密码。
事实上,这种模式非常普遍,以至于该类别中一些领先产品的名称都受到了它的启发。例如1密码,它承诺您只需要记住一个密码,而不是数十个或数百个。 最后通行证 声称您的主密码将是"您需要的最后一个密码"。
该类别中最好的产品提供无密码选项,作为输入主密码来解锁密码库的替代方案。通常,这意味着在受信任的设备上使用生物识别技术(面部识别或指纹 ID)或硬件密钥。但在所有这些情况下,主密码仍然可以用作备份解密方法。
这就是有些人对将所有这些秘密委托给密码管理器感到紧张的地方。如果有人可以窃取您的主密码,他们就可以接管您的整个在线存在。通过多重身份验证,您可以使攻击者的工作变得更加困难,但从架构上来说,它仍然是一个弱点。
但是,如果您可以完全摆脱主密码,仅使用密钥来证明您的身份呢?今天,任何使用 Dashlane 创建新帐户的人都可以使用该选项,竞争对手1Password 正在提供公开测试版,以允许其客户测试类似的功能。(两家公司均表示,拥有现有个人账户的客户以及任何想要设立企业账户的人都必须等到 2024 年的某个时候才能让他们的账户完全无密码。)
您应该完全放弃主密码吗?我尝试了Dashlane 和1密码,并设置了免费测试帐户来看看体验如何。
我的结论:您的未来将会有一个无密码的密码管理器,但只有技术成熟的客户才应该在今天投入使用。
设置无密码帐户
这两种产品都遵循类似的工作流程来启用无密码帐户。对于 Dashlane,您首先需要在移动设备(iOS 或 Android)上安装 Dashlane 应用程序,然后使用无密码选项以及成为您的用户名的电子邮件地址设置新的个人帐户。(不一定是主电子邮件地址,但您需要在完成设置之前确认该地址。)
Dashlane 是第一个推出完全无密码密码管理器的开发商
1Password 要求您使用其 移动 或 桌面 链接加入公开测试版;创建新的个人账户后,您可以按照提示创建密码。(如果您使用的是 iPhone,请确保您已将 iCloud 钥匙串设置为存储密钥的位置。如果您使用的是 Android 设备,请继续阅读。)
1Password 使用密钥来启用无密码帐户,这会导致一些问题
完成这些任务后,您可以导入现有密码并添加新密码。更重要的是,您现在拥有了一个设备,可以用来在其他设备上设置对密码库的访问,而无需主密码。
设置附加设备
大多数现代密码管理器将加密的密码数据库存储在云中,以便您可以跨设备同步和共享凭据。Dashlane 和 1Password 采用截然不同的方法来配置其他设备。
在 Android 设备上设置无密码 Dashlane 帐户后,我发现设置其他设备很容易,包括 iPhone 和 iPad、MacBook Air 以及多台运行 Windows 10 和 Windows 11 的电脑。以下是其工作原理。
在移动设备上,安装 Dashlane 应用程序;在 PC 或 Mac 上,安装 Dashlane 浏览器扩展。然后输入您用于帐户的电子邮件地址开始登录过程。在已签名的设备上,转到Dashlane 应用程序中的"设置" > "添加新设备" ,并确认是的,是您在尝试登录。
在新设备上,Dashlane 显示由五个随机单词组成的安全挑战,这些单词取自电子前沿基金会的密码短语大型单词列表;该列表也会出现在您已登录的设备上,其中一个框为空。填写缺少的单词,点击"确认",您的新设备就已设置完毕。
Dashlane 要求您通过输入其他设备上显示的缺失单词来通过此挑战
我希望我可以说使用 1Password 测试版的过程同样简单,但最重要的是不是,至少在我的跨平台世界中不是。1Password 使用密钥来启用无密码登录,这意味着您需要一种在设备之间共享密钥的方法。
如果您启用了 Apple 的 iCloud 钥匙串,则在 Mac、iPhone 和 iPad 上执行此操作非常容易,但 Windows PC 和 Android 设备会出现问题。事实上,1Password 的文档指出,您需要 Windows 11 22H2 或更高版本(抱歉,Windows 10),并且"即使在受支持的 Android 版本上,某些设备也可能不支持保存 1Password 帐户的密钥。"
我使用 QR 码设置 iPhone 没有遇到任何问题,但当我尝试在 Mac 版 Microsoft Edge 上设置 1Password 扩展时,我轻松地尝试了六次才成功。首先,我必须向 1Password 解释我的三星手机上没有密钥,之后它会弹出一个我用 iPhone 扫描的二维码,以启用钥匙串中的密钥提示。然后我必须批准一个弹出窗口,确认确实是我。然后 1Password 向我展示了一个代码,我应该在隐藏在其他窗口后面的浏览器窗口的对话框中输入该代码。
但在 Windows 或 Android 上设置无密码帐户又增加了全新的挫败感。这是我尝试在 Windows 11 电脑上登录时出现的默认错误消息。
Windows 不提供共享密钥的方法,这使得 1Password 更难设置
可能能够使用 Google Chrome 密码管理器来共享我的密钥,但是使用其他人的密码管理器来启用 1Password 功能真的有意义吗?
事实证明,激活我的无密码帐户的最佳方法是使用我开始使用的三星设备上的当前帐户在 1Password 中保存密钥,然后使用其主密码和密钥将该帐户附加到新设备上的 1Password,然后(最后!)在那里添加新帐户。因为 1Password 支持将多个帐户附加到单个设备,所以这是可行的,但它非常混乱,并且它有助于解释为什么这个应用程序还没有接近发布的价值。
然而,当我尝试从新的无密码帐户导出密码时,对我来说,问题就来了。1Password 的测试版应用程序要求您在开始导出之前输入主密码(当然,该帐户不存在该主密码)。技术支持代表确认当前测试版中缺少此功能。
考虑到这些令人头疼的测试版问题,我决定删除我的无密码 1Password 帐户,并在几个月后重试。但 Dashlane 的表现足以让我认真考虑转行。
有什么风险?
当您拥有无密码帐户时,访问密码的唯一方法是在受信任设备的帮助下建立您的身份,您已经在其中通过密码管理服务器确认了您的凭据。
那么,如果您无法访问任何这些受信任的设备,会发生什么情况?你被锁在外面了,可能是永远的。零知识凭证管理器的全部意义在于,只有您才能解锁该保险库。如果没有主密码,您就没有后备方法来恢复对加密保管库的访问。
Dashlane 和 1Password 都提供了恢复密钥形式的替代方案。这是随机生成的字母数字代码(Dashlane 的密钥长度为 28 个字符;1Password 使用 56 个字符的恢复密钥),您可以将其打印出来并存储在安全的地方。如果您遇到没有登录帐户的电脑或移动设备的情况,您可以打破玻璃并使用恢复密钥作为最后的手段。但在正常情况下您永远不需要输入它,这意味着它可以抵御网络钓鱼、键盘记录程序和其他黑客工具。
您应该切换到无密码帐户吗?
毫无疑问,无密码帐户代表着未来,但不是现在。目前,只有 Dashlane 一家公司在运输产品上提供该功能,并且仅适用于新的个人帐户。如果您对当前的密码管理器感到满意,那么现在还不是考虑切换的时候。