PC、Mac及移动设备最佳密码管理工具一览

刘君

PC、Mac及移动设备最佳密码管理工具一览

刘君

虽然密码管理工具无法让你远离Heartbleed安全漏洞或美国国家安全局(NSA)的监视行为，但它却是确保你身份安全的非常明智的第一步，有助于加强保护你网上帐户的密码的强度，因为它会替你记住那些密码。密码管理工具甚至会随机生成强密码，不需要你识记，也不需要将这些随机的字符串记下来。这些强密码有助于防范传统的密码攻击，比如字典攻击、彩虹表攻击或蛮力攻击。

许多密码管理工具让你可以自动批量填充你的密码保险库(password vault)，只要使用浏览器插件捕获Web登录信息，并让你可以存储这些登录信息。批量填充密码数据库的其他办法包括：导入Excel电子表格，或者手动输入你的登录信息。此外，通常可以使用浏览器插件，让使用这些已存储的登录信息实现自动化。该插件可识别网站的用户名和密码字段，然后用适当的登录信息批量填充这些字段。

虽然几款浏览器在默认情况下提供了类似功能，但是许多密码管理工具提供了比内置浏览器功能更胜一筹的几项功能，包括加密、跨平台和跨浏览器同步、移动设备支持、安全共享登录信息，以及支持多因子验证。在一些情况下，用户名和密码必须从密码管理工具拷贝到浏览器中，因此降低了易用性，但是由于在访问所存储的登录信息之前需要输入主密码，所以提高了安全级别。

一些密码管理工具将你的登录信息存储在本地，另一些依赖云服务来提供存储和同步服务，还有些采取了混合方法。使用本地存储的一些方案(比如KeePass和1Password)仍支持通过Dropbox或其他存储服务实现同步。确定哪款密码管理工具最适合自己，归根到底取决于功能和易用性，另外取决于你对于将密码存储在网上是否放心。

如果将关键数据存储在云服务中让你忧心忡忡，那么KeePass、1Password或SplashID Safe(没有SplashID的云服务)提供了首要的选择。如果你把密码交给基于云的服务保管，而且相信对方会采用良好的安全做法和加密技术保护你的数据，那么LastPass、Dashlane或PasswordBox是最稳妥的选择。

在笔者看来，KeePass是使用本地存储的密码管理工具中的佼佼者。它是开源产品，免费，并辅以无数的插件，这更是让它成为一种非常灵活的方案。如果合理地结合使用插件，可以让KeePass做你要求密码管理工具做的几乎任何事情。我青睐的云方案是LastPass，这主要是由于它成本低，而且在所有客户机上实施了统一的功能特性。我测试的每个LastPass客户机都易于使用、运行稳定，从易用性的角度来看高度一致。另外，LastPass高级版帐户每月只要1美元，这让它成为一种极其诱人的方案。

但是其他这些方案中的某一个可能更适合你。其实，你选择这其中任何一款密码管理工具都不会错。

1 Password

1 Password可谓是AgileBits的杰作，AgileBits曾开发了面向OS X的备受欢迎的Knox加密工具。与Knox不一样，1Password支持多种平台，包括Mac、Windows、iOS和安卓等平台。

与KeePass一样，1Password也使用本地文件来存储经过加密的密码。AgileBits并不提供便于移动设备同步的云服务，但1Password确实使用Dropbox(面向所有平台)或iCloud(只面向Mac和iOS)，支持密码保险库的同步。1Password还支持通过无线网络，支持Windows、Mac和iOS客户机之间的同步。由于1Password密码保险库包含在单一文件中，你获得了便携式密码保险库带来的方便，没必要将密码存储在网上。

1 Password客户软件让你可以创建并维持多个密码保险库。多个保险库可用来与另一个家人或同事共享你的一些密码。支持1Password客户机之间的安全共享，让你有办法可以通过一条经过加密的通道，将登录信息(或任何敏感信息，比如信用卡号或网站安全问题的答案)传送给另一个被许可的1Password用户。还支持通过电子邮件传送明文格式的登录信息，但这种信息的安全性完全取决于邮件往来有多安全。

1 Password将你的密码存储在本地文件中，但支持使用Dropbox和iCloud实现设备之间的同步。

1 Password现在提供许多不同的工具，可以分析你的密码和它们确保安全的服务，目的是为了识别潜在的安全漏洞。虽然许多网站至此已给Heartbleed安全漏洞打上了补丁，但是1Password采取了这一防范措施：对照网站服务器打补丁的日期，比较上一次的密码变更。如果你的密码自打上补丁以来没有更改过，1Password会鼓励你通过更改密码来保护自己。还能识别可能存在隐患的方面，比如重复密码或弱密码。

使用1Password的费用与基于云的密码管理工具大不一样。用户必须为想要使用的每个平台购买客户软件，前期费用超过订购服务，但是从长远来看有望节省费用。PC或Mac版1Password的费用为49.99美元;Mac加PC捆绑套件的费用为69.99美元。iOS应用程序和安卓应用程序都免费，可以在应用程序内升级到专业版功能，只需9.99美元。

对于1Password我最担心的问题与Mac版和PC版之间功能是否相同有关。目前，这两个平台提供了相似的功能，这主要是由于就在本文发表前几天，刚对Windows版本进行了一次重大更新。之前，根本就没有安全共享或无线同步之类的功能。AgileBits兑现了将这些功能引入到所有平台的承诺，但是如果你主要还是PC用户，这种滞后可能让人担心。不管怎样，1Password是款强悍的密码管理工具。由于AgileBits与苹果社区有着紧密的联系，这对Mac和iOS用户来说尤其如此。

Dashlane

Dashlane集云服务和本地密码管理工具于一体，试图解决每个安全问题。你可以将密码数据库存储在Dashlane的服务器上，充分利用诸设备之间的同步，也可以将密码保险库存储在本地，放弃同步。这看你怎么选择了。

如果你将密码数据库存储在Dashlane的云端，你的主密码仍然只与你相伴。Dashlane声称使用你的密码只是用来在本地加密和解密数据，而不是将主密码的散列存储在其服务器上。由于这个原因，你在网上的密码数据库只能读取，只有在客户机上才能进行更改。

通过分两步走的过程，对已向Dashlane注册的设备执行验证机制，结合了你的主密码和通过电子邮件发送的设备注册码。为Dashlane用户提供了两档价位。免费版帐户允许通过你选择的单一设备来访问密码。高级版帐户每年收费39.99美元，让你可以在多个设备之间同步密码、执行帐户备份、共享五个以上的项目、让你可以访问只读性质的Web应用程序，并且让你有权利获得Dashlane的客户支持。

Dashlane会将你的密码数据库存储在云端，但你的主密码仍只与你相伴(可别弄丢了!)。与其他密码管理工具一样，Dashlane也会评估你所创建的密码具有的强度。

若使用Dashlane，主密码的保管至关重要。该公司声称，万一主密码丢失，它无力恢复，这也是它决定不以任何方式存储你密码副本的一个必然结果。还通过使用谷歌验证器(Google Authenticator)，支持双因子验证。必须通过Windows或Mac客户软件，启用支持双因子验证的功能，只能用在与互联网连接的客户机上。

Dashlane的团队功能让你可以与其他Dashlane用户安全地共享登录信息，为他们提供适当的访问级别来访问信息。为共享的项目提供了有限权限，这限制了更改许可权限或重新共享项目的功能，或者为共享项目提供了数据的全部权限。Dashlane还提供了指定紧急联络人的能力，因而万一发生紧急事件，很容易让家人或同事可以访问重要帐户或信息。与紧急联系人共享的数据可以微调，以便只将某些信息提供给特定的联络人。

由于Dashlane试图集基于云的密码管理工具和本地密码管理工具于一身，它的功能不如其他云方案来得全面，可能不会赢得害怕云服务的客户的芳心。然而，Dashlane非常注重安全防范措施，取得了非同寻常的成就。别因为Dashlane是基于云的服务就对它不屑一顾，认真看一下该公司的安全白皮书，白皮书详述了它所实现的概念和安全做法。

KeePass

作为一种成熟的开源项目(GNU GPL版本2)，KeePass是一款免费的密码管理解决方案，支持Windows、OS X或Linux等平台，可直接在Windows上运行，需要Mono用于支持其他平台。KeePass具有开源软件常见的许多优点，包括可移植到其他客户机操作系统和成熟的插件生态系统。由于插件为KeePass提供了可扩展性，你可以改变加密算法、通过浏览器实现自动登录、集成屏幕上键盘，甚至编写可针对KeePass运行的脚本。

KeePass旨在存储密码保险库的本地副本。可通过可与Dropbox、Google Docs和微软OneDrive等云服务协同运行的插件，获得云备份和支持多设备之间的同步。KeyPass等本地密码数据库的一个附带好处就是，多个用户能够共享数据库，或者一个用户可以保管多个数据库，一些数据库共享，另一些数据库保持私密。

有了KeePass，你可以结合使用密码、密钥文件和Windows验证，给密码保险库上锁。

KeePass对移动设备的支持不如一些商用方案来得强大。支持面向iOS、安卓和Windows Phone的移植;但是同步支持成了一大问题。并非所有移动移植版都支持云同步;确实支持的也只支持一小批云选项。一些移动KeePass客户软件要花钱，不过大多数在1美元在2美元之间。

如果相比移动客户机和设备同步，你更关心密码保险库的安全性，那么你会很高兴地获悉，KeePass在默认情况下支持多种验证方法。KeePass数据库文件可以由密码、密钥文件和Windows用户帐户用户共同锁起来。借助存储在U盘等可移动介质上的密钥文件，双因子验证可以用来保护对重要密码的访问。

KeePass的最大缺点就是很复杂。获得竞争对手提供的所有先进功能将需要一番研究、安装和维护。虽然KeePass是一款很适合喜欢开源、最大灵活性和免费软件的开源爱好者的解决方案，但是它显然不如本文介绍的一些基于云的服务来得简单直观。

LastPass

LastPass可能是这次测评的密码管理工具当中最受欢迎的，这归功于丰富的功能、支持众多移动平台以及简单的许可模式，更不用说猛烈的营销攻势。与KeePass不一样，LastPass绝对以云为中心，使用自己的云服务来存储用户信息和同步数据。

LastPass最近的一则安全通告表明了基于云的密码管理工具存在的一个缺点：它成为了吸引黑客的诱人目标。虽然没有用户帐户被访问，保险库数据也没有被窃取，但攻击者确实搞到了帐户电子邮件地址及可能用于针对性攻击的其他数据。一言以蔽之：LastPass用户应该更改主密码。

LastPass为消费者提供了免费和高级两档价位，高级版服务每月收费1美元。免费版用户可获得有望从基于云的服务获得的许多基本功能，包括针对多款浏览器的插件支持、任何地方都可以访问，甚至在安卓或iOS设备上使用谷歌验证器支持多因子验证，或者在Windows Phone上使用微软验证器支持多因子验证。移动设备支持需要高级版帐户，但包括了对iOS、安卓、黑莓和Windows Phone的支持。连Dolphin和Firefox Mobile等一些移动浏览器也能与LastPass高级版协同运行，实现用户名和密码的输入自动化。最后，高级版用户可求助于LastPass支持团队，而不是被扔给用户论坛、敷衍了事。

LastPass是一款以云为中心的密码管理工具，拥有大量的功能和移动客户软件。

LastPass提供了使用方便的功能，便于与亲朋好友共享帐户。免费服务让你可以有所选择地与其他LastPass用户共享帐户登录信息，让他们可以使用你的信息通过验证、进而访问单个的Web应用程序，又不让他们直接获取你的密码。高级版帐户订户可访问家庭文件夹(Family Folder)，这项功能让你可以指定与最多另外五个LastPass用户共享具体哪些登录信息。LastPass对桌面系统的支持有点让人困惑。下载Windows的基本安装工具后，提供了浏览器插件、一个导入工具(用于从另一个密码保险库或电子表格迁移过来)以及LastPass Web应用程序快捷方式。高级版订户还可以将LastPass用于应用程序，让你可以自动登录进入到桌面应用程序，比如Skype或企业VPN客户软件，进而增强了实用性。

LastPass支持几种形式的双因子验证。我已经提到，对免费帐户而言，微软验证器和谷歌验证器都得到支持，使用移动设备提供了简单的集成。高级版帐户则支持Yubikey这种USB硬件验证设备和Sesame这种可从USB存储设备运行的软件验证工具。

如果你在Web应用程序中需要简单的密码管理，使用免费的Lastpass帐户不会错。想获得粒度更细的登录信息共享和移动设备支持功能，LastPass高级版最适合，你每月只要花1美元。

PasswordBox

PasswordBox与Dashlane存在诸多相似之处。主密码既不存储也不传送，这意味着密码数据在整个过程中都得到了保护;重置密码严格上来说不可能。PasswordBox甚至采取了额外的措施，以其他方式确保你信息的安全，比如说符合PCI标准的数据中心，并提供了这一功能：使用在其网站上发布的PGP密钥，发送该公司加密的电子邮件。

PasswordBox目前缺少Dashlane所具有的一些功能，比如双因子验证，但是双因子验证和基于指纹的验证功能据说很快就会有。你可以在该公司的安全白皮书中了解PasswordBox保护密码数据所采用的安全措施。

PasswordBox在Windows和Mac上并不使用独立式客户软件，而是选择了浏览器插件(Chrome、Firefox和Internet Explorer)，但为iOS和安卓系统都提供了移动应用程序。另一个奇特之处是：PasswordBox并不提供Web应用程序来查看或编辑密码或者管理你的帐户——一切都通过移动应用程序或浏览器插件来处理。

PasswordBox将你的密码存储在其服务器上，但是这些密码在服务器上根本就不加以解密。使用浏览器插件或移动客户软件，只能查看和编辑密码。

PasswordBox的价格与其他基于云的密码管理工具相比颇有竞争力。免费版帐户最多可支持25个存储的密码，包括同步和全面共享功能。高级版帐户每年费用为12美元，为你提供了无限制的密码存储服务。如果推荐五个朋友使用，你能获得终生使用的高级版帐户。

PasswordBox让用户(免费版或高级版)可以在诸帐户之间无缝地共享所保存的登录信息，即便密码是看不见的。即使密码变更后，共享的登录信息也依然存在;它们随时可以撤消。PasswordBox的一项值得关注的独特功能是遗产锁柜(Legacy Locker)，万一你不幸过世，它让你可以事先指定一个或多个责任方可以访问你的帐户信息。只有在出具并核实死亡证明后，才可以进行使用遗产锁柜的帐户转移。

PasswordBox现在是英特尔安全家族(Intel Security Family)的一员，这意味着它的未来充满了变数。眼下，英特尔安全部门向新老用户提供免费的高级版订购服务。

SplashID Safe

SplashID涉足密码管理工具行业已有多年。其产品SplashID Safe在移动设备上尤为常见。目前，SplashID Safe支持通过Web和客户应用程序来访问，这些客户应用程序支持Windows桌面、Windows、Mac、iOS、安卓、黑莓10和Windows Phone等平台。

其他密码管理工具不是本地就是基于云，而SplashID Safe支持任何一种方案。SplashID在版本8中多少简化了其许可结构。基本的SplashID帐户免费，但只能用在一个设备上，不允许共享或备份。SpashID专业版帐户让你可以同步密码保险库，每月1.99美元或每年19.99美元。SplashID专业版支持数量无限制的设备、通过互联网和无线网络进行同步、共享和自动备份。它还随带客户支持。

每月每个用户多出5美元，家庭或企业就能使用SplashID Safe团队版本，该版本增添了管理员面板，让你可以控制谁可以访问每个记录，既可以为单个用户赋予记录，也可以为一组用户赋予记录。

SplashID Safe至少拥有我们希望所有基于云的服务都会实施的一项功能：能够将登录配置为只可以本地登录，这样你就能防止最敏感的数据被存储在网上。其想法是，如果你的某些登录信息或其他敏感数据不放心放到网上，可以防止该信息被上传到SplashID的服务器。

SplashID Safe支持共享登录信息的两种方法。与拥有SplashID云帐户的用户共享时，登录信息直接导入到对方帐户中。没有SplashID云帐户的用户会收到一封内有链接的邮件，以便安全地获取信息。共享信息的链接用密码加以保护(密码可能包含在电子邮件中，或者使用另一种方法来共享)，有效期只有24小时，用过一次就后失效。

注册新设备时，SplashID中支持双因子验证的功能提供了另外一层安全，要求你输入通过电子邮件发送的六位代码。虽然辅以密码的已注册设备严格满足双因子验证的定义(你拥有的东西和你知道的东西)，但它还是不如对谷歌验证器或其他双因子方法提供支持的服务。SplashID Safe提供了一项图案解锁功能，以代替主密码，不过我发觉这项功能的表现有点不太稳定。

其他

如果支持安全产品的是与计算机安全划上等号的品牌，那总是好事;赛门铁克的诺顿Identity Safe无疑具有这个有利因素。Identity Safe的另一个优点是，它完全免费。现在有众多免费的密码管理工具可供选择，但是没有一个是由积累了数十年信誉的软件厂商运营的云服务。诺顿Identity Safe过去是诺顿安全套件的一部分，但现在它是一项独立服务，拥有Web前端程序和支持Windows、iOS和安卓的客户软件。

RoboForm是一款颇受欢迎的密码管理工具和填表工具，但它在几个方面不如市面上的主要几个竞争对手。虽然它在多个平台上提供同步，但没有Web应用程序，没有双因子验证，也没有共享功能。可以直接购买单个的RoboForm桌面许可证，支持Mac或PC，价格为29.95美元;面向USB存储介质的Windows便携式版价格为39.95美元。RoboForm还提供基于订购的许可模式，每年收费19.95美元，提供了同步以及通过iOS、安卓、Windows 8和Windows Phone上的移动应用程序来访问这两项功能。

KeePass并不是唯一的开源密码管理工具。还有Password Safe，目前支持Windows，既有可安装版本，也有便携式版本;还支持Linux，不过是测试版。Password Safe完全不如KeePass来得功能丰富或成熟，我也很难给出一个使用它而不是KeePass的理由。话虽如此，Password Safe还是一种切实可行的选择;如果你只需要本地密码管理工具，归根到底取决于你觉得哪款软件用起来更容易。结果可能是Password Safe。

My1Login既有免费版，又有专业版，前者受广告支持，附有合作伙伴网站的推广链接;后者没有广告和推广链接，每月收费2美元。My1Login提供了其他竞争对手通常具有的功能，比如安全共享和强密码创建。My1Login的问题在于，整个服务基于Web，只能通过移动Web应用程序才能获得移动设备支持。虽然My1Login由于没有客户软件而热衷于尽量降低安装要求，但我觉得从长远来看这种方法用起来更困难。

Keeper Backup是一款功能完备的密码管理工具，支持多种客户机平台，包括Mac、Windows、iOS、安卓和Windows Phone。Keeper Backup提供的安全功能包括双因子验证和安全共享。Keeper提供了三档价位，首先是免费版：只支持一个设备，无法共享，数据量有限;Keeper Backup提供了无限制的存储量、可使用Keeper Web应用程序、安全共享和求助于支持团队，每年费用为9.99美元。Backup Unlimited增添了支持设备间同步的功能，每年收费29.99美元。

趋势科技的DirectPass有一个免费选项，只支持五个密码。趋势科技的订购服务费用为一年14.95美元或两年24.95美元，支持数量不限制的密码和设备。提供了支持PC和Mac的桌面客户软件，并提供了支持iOS和安卓的移动客户软件。虽然DirectPass没有什么不妥，但它在功能或成熟度方面还是比不过其他竞争对手。