等级 B1 – 中级CEFR B1
3 分钟
170 字
密码管理器帮助用户记住大量密码,并把敏感登录信息保存在加密的“保险库”中。云端服务方便同步和共享,但也带来额外风险。
苏黎世联邦理工学院(ETH Zurich)应用密码学小组的研究人员对 Bitwarden、Lastpass 和 Dashlane 展开测试。团队在模拟被攻破的服务器环境中进行研究,展示了多种攻击方式,攻击目标从单个用户的保险库到组织内所有保险库不等。在大多数测试中,研究人员能访问用户密码,并在某些情况下修改密码。
团队发现,为提高用户体验而加入的功能(例如密码恢复和共享)增加了代码复杂性并扩大了攻击面。他们按负责任披露的程序联系了相关提供商并给予 90 天的修复时间;大多数厂商配合,但并非所有公司都迅速行动。研究人员建议厂商改进更新和迁移流程,并提高安全透明度。
难词
- 密码管理器 — 保存和管理多个账号密码的软件
- 保险库 — 用来安全保存敏感信息的地方
- 云端服务 — 通过互联网提供的远程服务
- 同步 — 在多个设备间保持数据一致
- 攻击面 — 系统可能被攻击的所有部分
- 负责任披露 — 把安全问题通知厂商的做法
- 密码恢复 — 忘记密码时取回访问的方法
提示:在文章中将鼠标悬停、聚焦或轻触高亮词语,即可在阅读或听音频时快速查看简要释义。
讨论问题
- 你会考虑使用密码管理器来保存密码吗?为什么?
- 密码恢复和共享功能各有哪些优点和风险?请举例说明。
- 厂商应该如何改进更新和迁移流程以提高安全性?你有什么建议?
