保护密码的最佳工具

对于试图掌握密码管理的企业来说，好消息是，有一些产品可以帮助实现更强大的密码策略，用于登录到企业和个人web服务的终端用户，以及共享本地服务器登录的员工。

这里的目标是使密码处理更加安全，并允许用户登录到特定的资源，而不必记住所有的个人密码。

[注意:评估密码管理软件时要注意什么]

我们研究了六种产品，从面向消费者的到仅面向企业的。它们是:卡巴斯基纯，LastPass企业，利伯曼企业随机密码管理器，1Password, RoboForm企业，和TrendMicro DirectPass。（请观看对比产品的幻灯片．)

所有这些产品都使用主密码库以加密形式存储所有信息。除了TrendMicro，几乎所有的公司都有一种方法来生成复杂的密码，并将其插入登录过程中，这样用户就不需要自己去想密码了。这使得最终用户的生活更轻松，也消除了用户为所有登录选择一个密码所带来的安全问题。

[也:为什么只有密码的认证是不通过的］

为了包含在本文中，每个产品必须能够在不同的客户端和服务器集合之间同步密码。对于Lieberman来说，这意味着跨多个希望共享相同密码的用户同步登录到内部服务器。对于其他产品，这意味着让拥有多个设备的相同用户跟踪Web服务的密码。

因为我们包含了各种各样的工具，所以我们不能直接比较产品，也没有给软件程序评分或宣布一个总冠军。但以下是其中的亮点:

点击查看:价格图表

LastPass企业提供卓越的价格/性能和强大的管理功能。在我们测试的所有产品中，LastPass还有最广泛的桌面和移动平台支持。

Lieberman具有本地服务器密码管理的最佳特性，Lieberman工具是我们测试中唯一运行完美的工具。

卡巴斯基的Pure提供了一个基本的密码管理器，作为包括其他安全工具在内的更大套件的一部分。缺点是它只适用于Windows，这意味着你不能与非Windows设备同步你的保险库。

1Password是一款以消费者为中心的产品，它允许你在保险库里存储不止密码。

RoboForm在企业功能和强大的批量密码管理方面取得了很好的平衡，但我们在支持方面存在一些问题。

TrendMicro的软件是最不发达的，尽管下一个版本有望修复许多缺陷。

以下是个人评论:

卡巴斯基纯

和其他传统的杀毒软件供应商一样，卡巴斯基也加入了密码管理的行列。卡巴斯基有两种密码管理产品。其中一款是售价25美元的密码管理器(Password Manager)独立软件。这还不包括同步密码库的功能(尽管供应商承诺在今年秋天晚些时候包括它)。

我们决定审查一下Pure，这是卡巴斯基的安全套件。Pure包括各种工具，包括反垃圾邮件，备份，家长控制，数据加密，高级浏览器保护和密码管理器。后一个模块使用卡巴斯基网站上维护的基于云的账户同步密码。

Pure密码管理器很好地涵盖了基础知识，它有一个复杂的密码生成器和选项，可以在PC空闲后自动关闭保险库。您还可以在保险库中存储文本注释和联系信息。

Pure也有提高浏览器安全性的模块，这可能是购买它的更多原因，而不仅仅是为了密码保护和管理。例如，SafeMoney模块为网上银行和电子商务网站设置受保护的浏览器会话，而另一个模块可以安全地删除你的浏览器历史记录或分析你的ie设置。

Pure将在Windows 8上运行，还可以运行早前的Vista版本。密码管理器模块仅适用于32位pc。另一方面，有一长串支持的浏览器，其中一些我们甚至从未听说过。考虑到它的重点是Windows，这意味着同步功能的价值有限，因为你不能将你的金库传输到智能手机，也不能在mac和Windows pc之间移动。Pure售价65美元，最多可在三台个人电脑上获得授权。

LastPass企业

LastPass是一款企业级产品，附带一个独立的管理控制台。这个软件是基于网络的，这也是一个不错的尝试。它支持最广泛的客户端，从Windows(包括32位和64位，从XP到Windows 8)到各种智能手机。还有一个Web客户端，您可以在其中查看密码库内容。它还将消费品的最佳特性与坚实的企业风格相结合。

[本周表情包:密码恶作剧]

最好的企业安全产品具有灵活的策略创建和管理工具，这里就是这种情况。例如，您可以设置一个策略来覆盖默认的PC关机、屏幕保护模式、空闲或计算机被锁定时的自动下线保护。还有几十种策略可供选择，包括支持多因素令牌，如Yubikey、它自己的“芝麻”工具和谷歌认证一次性密码。您还可以通过限制特定国家的访问权限，以及排除使用Tor文件共享网络的任何人的访问权限，来加强对您的保险库的在线访问权限。

你也可以通过其他云服务(如Wordpress、Salesforce.com、Box和其他使用SAML的云服务)联合LastPass登录。可以设置一长串潜在的通知，包括拥有一定数量重复密码或空白密码的用户。它们带有预先编写的警告消息，可以方便地针对您的环境进行定制。该工具还提供了一些管理控制台提供的简单报告。它的报告引擎有API访问，这是一个很好的操作。

LastPass可以与标准的Windows登录过程集成，自动创建新用户并登录现有用户。

我们喜欢LastPass的一个地方是，在安装时(你也可以在安装后运行这个安全检查)，它会告诉你浏览器(或密码库)已经保存了哪些不安全的密码，并让你选择删除它们。

另一个是它通过自己的云服务同步你的登录:一旦你创建了一个登录到它的云，事物就会更新你的各种条目。有时更新需要几分钟在互联网上传播。除了登录，他们的保险库还可以安全地存储文本笔记，并可以自动填写在线表格。

LastPass会自动安装它的浏览器插件，你可以手动将站点或注释添加到它的库中，以及其他配置任务。

软件中还包括一个复杂的密码生成器，它有一些有趣的选项，比如可以设置一个易于发音且复杂度最低的密码。您可以从浏览器插件菜单或Web客户端中调出它。

LastPass对个人用户是免费的，通过这种方式您可以获得该工具的全部功能，因此IT经理可以轻松地查看它并了解它是如何工作的。一旦你准备好升级到企业版本，你可以开始一个为期两周的免费试用，在此之后，你需要为每个用户每年支付24美元。这包括使用其所有智能手机客户端;否则你将需要订阅一个高级帐户，每个用户每年12美元。我们喜欢这种简单和易于熟悉的产品。

最后，与我们回顾的大多数其他工具相比，LastPass的各种客户端模块之间具有更好的接口一致性。

利伯曼企业随机密码管理器

利伯曼的密码解决方案针对的是一个不同于本文中大多数其他产品的市场。他们的想法是加强特权帐户和共享管理访问关键的本地Windows和Linux服务器。通常，许多用户访问相同的特权帐户，他们都需要知道密码。

考虑到许多企业有数十台甚至数百台服务器，很容易忽略其中许多服务器的管理帐户陈旧或不知道它们的位置。一种常见的情况是能够定期更改所有本地管理密码。

利伯曼工具发现并加强所有服务器密码，然后对它们进行加密，并将它们存储在一个特殊的数据库中。您还可以选择从128到256位的AES加密长度。ERPM创建了独特而复杂的密码，您不需要记住这些密码，并根据密码策略的要求经常更改它们，如果您非常偏执的话，可以每天更改。每个帐户登录都有不同的时间表和复杂性要求。

ERPM处理Windows服务帐户、IIS帐户、SQL Server和Oracle数据库帐户、SharePoint、目录服务、Linux和其他主要平台的密码，包括物理和虚拟服务器。作为一个企业产品，它被设计用来与各种配置管理存储库(如CA、IBM和BMC的CMDB软件)以及系统管理工具(如Microsoft system Center、HP Operations Center和Arcsight)一起工作。

发现所有这些帐户都不需要在单个服务器上安装任何代理。一旦找到这些账户，ERPM将自动检测密码更改，并在所有不同的系统和设备上进行更新。

安装是有点麻烦的，因为支持它的服务的必备软件有一大堆。我们将它安装在一个运行Windows 8.1早期版本的机器上，并选择默认的mySQL数据库作为密码存储。但一旦你完成了这个过程，就很容易维护了。它的优点之一是可以持续、实时地自动发现潜在的目标账户。您还可以从您的活动目录存储中添加帐户，从扫描特定的IP地址范围，或单独添加帐户。新帐户被放置到一个批处理“更改控制”作业中，可以定期运行该作业来更新密码集合。

ERPM还包括各种审计报告，因此您可以满足各种合规要求，并可以将其信息输出到各种文件格式，以供安全管理软件进一步处理。许多预先配置的报告随软件而来，让您开始。

利伯曼支持多种多因素身份验证工具，包括RSA SecurID和YubiKey，以及其他一次性方法。用户也可以被授权恢复或重置特定的密码。

ERPM的一个漂亮特性是能够通过其Web客户端恢复密码。任何具有正确访问权限的用户都可以使用它，并且这些请求也会被记录下来。您还可以设置相当复杂的工作流来批准特权升级请求。

Lieberman还使用第三方工具Balabit的Shell Control Box(活动监控设备)来限制用户对特权资源的访问。

ERPM最大的缺点是它的成本。入门级的价格高达2.5万美元，但这包括无限的用户和账户。考虑到ERPM相当独特的市场地位，这可能是它如此昂贵的一个原因。

Agilebits 1密码

1Password是一个没有任何企业管理能力的个人消费产品。它有Windows系统的版本，包括Windows 8、Mac、iOS和Android手机。Windows 8对非IE浏览器的支持很好:如果你使用IE，你必须从桌面而不是Metro界面打开它，尽管他们正在努力修复这个问题。

该软件设置一个本地密码库，然后使用各种基于云的外部服务(如Dropbox或iCloud)同步密码库。我们在初始化同步时遇到了一些问题，因为指令有些模糊。但一旦设置好，它就会像预期的那样工作。当你打开应用程序——无论是在你的桌面，在你的移动智能手机，或浏览器插件——你被要求提供你的主金库密码来解锁它。然后，您可以添加新的服务或从保险库中召回特定的密码或信息。

1Password最大的优势之一是，它拥有大量不同种类的信息，可以在它的保险库中保护这些信息，包括信用卡号码、文本注释和软件许可信息以及通常的登录身份。在保险库中放置的所有东西都可以通过其他平台访问，非常方便。你也可以在每个登录记录中添加文件附件，把电子邮件或合同签名的复印件作为方便的参考资料会很有用。