问密码管理器在云PC (虚拟机)上仍然有效吗？

EN

这在很大程度上取决于具体情况。

情况1: VM被关闭.

您提到了可以打开或关闭特定的VM。我将假设通过控制面板关闭它会关闭VM，这意味着所有的RAM都将被删除。

在这种情况下，如果攻击者打开VM并登录，他们可能盗用了密码管理器数据库。此数据库使用主密码或密钥文件进行加密。

在主密码的情况下，它取决于数据库被破坏之前密钥派生函数集的准确配置。有了足够严格的参数和相当长的密码/密码，强制数据库几乎是不可能的。

如果使用了密钥文件，并且攻击者可以访问时，密钥文件从未传输到VM，那么攻击者实际上也不可能攻击数据库。

这通常是最好的情况。

情景2: VM是在妥协期间使用的.

在这种情况下，攻击者可以通过您的密码管理器主动尝试收集密码，方法是等待所需的密钥材料(密码/密码、密钥文件等)。将被供应。

虽然这在理论上是可能的，但它需要攻击者专门针对密码管理器。我不可能说他们是否做过。

密码管理器是否比记忆的密码更安全？

密码管理器的设计是为了防止另一种攻击。在绝大多数情况下，使用密码的服务器被黑客攻击，这些密码的哈希被窃取。在这种情况下，由密码管理器生成的长而完全随机的密码几乎是不可能破解的，而人工记忆的密码则更容易破解。当然，有些密码/密码是很难破解的，但与之相比，它们就显得微不足道了。

QZHvqfxKU7MB9UU?KaktEC2^qe*-VF2W++%tqagj

在存储密码被泄露的计算机中，密码数据库仍然是加密的，这意味着攻击者要么需要等待密码数据库被解密，要么他们需要自己破解主密码。

相比之下，如果要使用人性化的可记忆密码，攻击者将需要等待用户手动输入密码。根据您的习惯(重复使用密码，使用密码模式等)，这意味着攻击者只需获取几个密码即可访问您的帐户。

在这种情况下，遵循所有准则(所有唯一、强密码)并在机器被破坏时从不使用的人性化可记忆的密码，将比密码管理器更好。

然而，这种情况比通过SQL注入漏洞被窃取的散列要少得多。因此，使用密码管理器仍然是最佳做法。

，你现在该怎么做？

首先，更改受损数据库中所有帐户的所有密码。为提供的任何服务启用多因素身份验证。即使密码被破解，如果第二个或第三个因素未被破坏，攻击者也不能危及您的帐户。

最后，不要在VM中托管密码管理器。如果可能的话，在本地托管一个密码管理器，然后将它们配置为自动键入击键。这意味着攻击者永远无法直接访问密码管理器数据库。当然，他们仍然可以访问您输入的任何密码，但如果您的VM被破坏，这是不可避免的。

这是一个非常具体的情况，也是一个非常普遍的问题。

我建议是的，即使在你不拥有的电脑上使用密码管理器也是一个好处。我假设它不是一个通用的工作站(这是个坏主意)。在云工作站上使用的密码管理器将只包含您在该平台上需要使用的密码，当然不需要使用银行业务。这样你就能控制你的损失了。

最好是将明文文件或密码记住，因为我们知道结果是什么。