放松。网络密码簿也可以

目前，密码是社交媒体上的热门话题，因为重新出现了关于良好密码管理实践的讨论。

有一种财富密码管理可供选择的选项，有些比其他的更可取。网上的主要推荐通常是基于软件的管理工具。其中一些包括在线同步和浏览器扩展。还包括与Dropbox等服务同步密码。

这是在我们接触到台式机爱好者的记事本，或在办公室显示器上使用便利贴这一由来已久的传统之前。今天，我们来谈谈可能是最有争议的密码存储方法。

密码书

有一个密码管理工具，它遇到了嘲笑的公平份额 - oft-maligned互联网密码书。正如您所希望的那样，这些物理书籍几乎不止在前面的“互联网密码书”的空白笔记本。有些人允许所有者按类别进行分组，或者添加额外的注释，因为它们看到适合。

由于各种原因，你通常会在社交媒体上看到它们被认为是最糟糕的密码管理工具。这是一场充满激情的辩论，每6个月左右就会重新活跃起来。最近一年两次的兴奋之情由BBC科技记者Zoe Kleinman揭开序幕:

你能听到的声音是Infosec Squad的集体尖叫声pic.twitter.com/e3kdpma4pz.

——佐伊·克莱曼(@zsk)3月30日，2021年3月30日

这些书籍是否应该使用这些书籍的一个重要方面是一个称为威胁模型的东西。如果你希望简要落在威胁模型是什么，那么很棒的新闻......这正是我们要做的事情。

威胁模型

我见过的最佳描述是威胁建模由此组成的。在一个凯蒂·尼克尔斯的文章谁说这是“弄清楚你有什么对手关心的过程”。

我们都没有面对同样的风险，我们并不需要采取相同的预防措施。当你看到新闻中最新的复杂国家攻击时，这是糟糕的。但是，像大多数人一样，你可能会继续如什么发生的。聪明的羽毛钓鱼攻击针对全世界十几个人？

它是全世界的十几个人。

你永远不会看到它，而且几乎肯定不会从谷歌接收消息关于它。这不在你的威胁模型里。

我的个人安全问题是基于对我来说重要的基础，我想安全的是什么，我不打扰哪些比特，以及绝对是关键的所有费用。这是我的威胁模型。

调整你的对手

你可能不需要担心国家攻击，但几乎可以肯定的是，你已经为600人做好了准备^th假的退税发票在你的邮箱里。这是您的业务面临的威胁模型的一个方面，您知道他们的目标是什么，并且您已经制定了适当的解决方案来抵御它。它可能是也可能不是你的组织所面临的最重要的威胁，或者它可能是中等水平的。每个地方都不一样，这很好。

当我们看到显示臭名昭着的密码预订时，我们往往会发生什么，是我们申请一个尺寸适合的方法，并将其解雇为愚蠢或糟糕的做法。

嗯，它绝对可以是使用敏感数据的人的次优。还有更好的方式那些以扩大他们可能面临的威胁的方式，保障他们的数字需求。另一方面，也有很多人是这本书的完美选择:

• 对计算机只是不熟悉或不舒服的人。这并不罕见。
• 那些有可访问性或认知问题．
• 在将所有密码鸡蛋放入一个（数字）篮子时，人们感到缺乏控制。

密码管理

糟糕的密码实践的两大支柱是重用和糟糕的密码选择。基于软件的密码管理器是处理这两个问题的优秀工具，这就是为什么它们被广泛推荐的原因。它们非常适合创建越来越复杂的密码，所有这些密码都依赖于各种安全登录方法。从2FA到区域登录锁定都是你的选择。太好了!选择越多越好。

即便如此，许多人还是不愿使用密码管理器。

也许他们选择太多，或者他们知道的工具不满足特定的操作需求。也许他们真正想要使用的工具没有浏览器扩展，或者只是离线，而不是在线同步。也有可能他们只是觉得整个事情太繁琐或太复杂，或者根本不知道它们的存在。

根据操作系统，设备类型和功能集，应该轻松的东西可以很容易地成为苦差事。从那里，坏习惯可以开始设置，包括最终删除密码管理器。然后它是一个短跳回到密码123。

密码管理书籍：有什么作用和没有什么

一些常见的反对密码簿的意见如下:

• 如果你在出门时丢失了这本书，你已经失去了对一切的访问。
• 读书时必须输入密码，而不是让密码管理器为你操作，这可能会鼓励人们使用简单的密码，而不是复杂的密码。
• 随着时间的推移，书籍变成了一种被抛弃的软件，条目丢失，页面被撕毁，在线上的登录被更改而没有更新，其他的登录根本就不会出现在书中。

这些点的计数器很长，所以它们有自己的部分:

丢失或盗窃密码书

由于技术问题，忘记了主密码或其他无法预见的事件，在家庭外面丢失了本书并没有与丢失对密码保险库的访问不同。在这两种情况下，有些东西出了问题。至少在本书的情况下，它可能会在家里保持并依赖于多个现实世界的物理安全层。

这比“密码管理工具让他们的数据库被匿名罪犯闯入了更可靠，并且您可以对此无法做到这一点”。如果你的家被窃贼，你有比担心你的登录越来越大的鱼。此外，现实主义地，窃贼正在寻找他们可以采取的昂贵物品，然后卖掉。他们不关心衣服的密码书。

密码书:鼓励简单的密码?

书籍可以鼓励简单的密码吗？这很可能。有些人可能会发现它相当加重，只要他们登录，就会从页面敲出几十个复杂的密码。在我的经​​验中，人们写下密码往往会让更多的兴趣成为使一切成为独特的兴趣。毕竟，没有人用“password123”填写30页的密码书。重点是什么？当然，我们最终可以使用各种密码1234 / 5/6，但它仍然比替代方案更具变化。

我还看到人们只写密码 - 不是页面上的用户名或服务/网站。他们所做的是，与某些服务相关联的某些页面。这是防止盗窃或损失的巨大防御，但我担心忘记订单。这也是一个重大的如果书的主人去世了，而他的家人需要尝试某种形式的数据恢复，那么答案是否定的。你会从哪里开始呢?

纸张格式的放弃软件？

放弃书籍，是什么概念。我认为这对此有一些优点，但我也认为它提供了一丝希望的希望。我认识某人做到这一点，而发生的事情是对软件密码经理的缓慢过渡。如果在书中填充一些密码是踩踏石头，某人需要对移动登录移动到PC的普及，对它们进行更多的电力。有些人也可能从书籍中键入了这么多次的密码，无论如何他们都能记住重要的。

这结论了我漫长的对立面部分。

也许毕竟他们不是最糟糕的想法

这里的要点是，我们正在处理一个不完美的，不完美的解决方案，为了一个混乱的，不完美的要求，使用我们的帐户。在朋友或亲戚不愿意使用密码管理器的情况下，这可能是一个不错的(如果不是唯一的!)选择。这取决于个人，以及将登录从屏幕拖到页面的安全程度。密码本并不适用于所有人，但肯定适用于某些人，我认为这很好。