。该事件对于诸如RoboForm等密码管理者来说，意味何在？

　　当前，你访问的安全Web网站日益增多，和RoboForm都能帮助你创建和使用强密码来登陆这些站点。但是，依赖于单一服务来记录你的密码是否具有某些与生俱来的弱点？RoboForm的用户是否需要关注任何有可能泄露其信息的异常现象？

　　Bill Carey, RoboForm市场副总裁

　　为了回答这些问题并更多地了解RoboForm如何保护用户数据安全，记者近期RoboForm市场副总裁Bill Carey。

　　记者：Bill，相信你已经了解了LastPass最近的动态，你怎么看？

　　Carey：我认为并不是所有人都了解到底发生了什么事。我读了一些文章，也读了一些他们的博客文章，他们说有一些异常情况，有人在某个时间段内进入了他们的并有可能已经窃取了数据。当然，我现在还没有真正了解到底发生了什么，因此也不敢妄加评论。但我非常感谢你能站在我们的立场上写这篇文章，因为没有人真的会想到“好吧，如果别人处在那个位置上将会保护他们的数据安全？”

　　记者：是的，我希望能切入更多要点。假设LastPass有一些数据遭到窃取和恶意破坏，你能谈下RoboForm对此的安全策略吗？RoboForm用户采取了相似的手段来数据和密码，你要给用户们什么建议？

　　Carey:首先也是最重要的就是，我们和LastPass最大的不同在于RoboForm默认将你的信息存储在你的电脑上。而且它在你的电脑上是加密的，并且随时能在电脑上使用。我们提供了可选的RoboForm Everywhere服务，这样你能将你的密码同步到云中。但从根本上来说，我们将始终坚持将你的电脑看成是你的信息中心，放在你的电脑里自然比放在云中更为安全。攻击私人电脑的可能性要低于其攻击将密码存在云端的1万名用户，这也意味着将密码存在个人电脑上会比存在云中更为安全。因此，我们的注意力主要还是在电脑上。

　　记者：也就是说，如果密码只被保存在电脑上，那么就由用户负责密码保管及其安全。

　　Carey: 在电脑上有一个管理员密码，这样就需要由用户保障其电脑的安全。但是更为重要的是，就黑客的性质而言，如果他能攻击一个有1万名用户的服务器，他不会攻击一台私人电脑。

　　记者：接下来让我们谈谈RoboForm Everywhere。它是如何保证安全性的？对于哪些选择使用该服务并将他们的密码存在云端的用户，你有什么建议？

　　Carey: 我们相信我们的RoboForm Everywhere服务是非常安全的。我们不会将客户的管理员密码存在云中的任何地方，因此你能拥有与将密码保存在电脑上一样的安全性。如果有人想从外面进入服务器并将你的数据下载到他们电脑上，他们依旧需要知道你的管理员密码才能解密这些信息。我记得LastPass曾说过他们很担心用户的管理员密码遭到暴力攻击。

　　记者：我想他们或许是认为如果用户有一个很强的非字典化的管理员密码，他们将无所畏惧。但如果某人的管理员密码较弱，而且非常容易被破解，那就着实令人担忧了。

　　Carey:确实如此。我想最根本的就是，无论你使用RoboForm还是LastPass，如果你有一个很强的管理员密码，那别人就很难获得这个能得到你数据的密码，。目前来说，RoboForm的密码不那么容易被暴力破解的原因在于要通过RoboForm软件需要抹去暴力破解密码的痕迹，而在判断密码是否正确时软件会回复一个值。所以如果没有RoboForm这一层，暴力破解密码实现起来更快，这是阻碍攻击的额外保护。

　　RoboForm和LastPass的另一个不同点在于即使使用RoboForm Everywhere服务，所有RoboForm的信息仍是存储在你的个人电脑里。

　　因此即使我们遭到某种意外攻击，如断电，你依旧能够像往常一样登陆你的Web站点。而LastPass的用户却不能。在RoboForm Everywhere上不会发生这种情况，因为所有存在你电脑上的个人文档都会有本地备份。

　　记者：你会给你的用户哪些建议？显然，首先就一定要使用管理员密码。

　　Carey:是的。一定要使用管理员密码。所有通常的安全措施都与管理员密码相关。这个密码最好很难让别人猜到，但自己却容易记住。通常是字母和数字的组合，如果你能记住的话，最好再加上特殊字符。你也能把RoboForm Everywhere的密码跟你的管理员密码设置的不一样。两个不同的密码将带来双重的保护。RoboForm管理员密码提供了加密技术，而你的权限控制是通过你的RoboForm Everywhere的密码来实现。

　　我们也会通过Tier-1托管设备来保证我们服务器的安全性。我们做了所有的权限控制。所有电脑和服务器的数据都被加密。然而只要你需要处理服务器上的东西，就会存在固有的安全威胁，总有人想要攻击你。但我们的强安全策略将阻止这类事件的发生。

　　记者：使用密码进行保护的整套概念是否需要重新思考？一直都有其他认证方法的讨论，如、指纹等技术。你是否认为本行业需要向着比密码更远的方向走，或者这些生物识别方法目前更多是出现在科幻小说中？

　　Carey:我认为像视网膜扫描和生物识别等方法就目前来说还停留在科幻小说中。我不认为它们已经适用于我们的用户了，它们现在还不能确保安全。有许多器能够识别你的指纹，但是黑客能够进行袭击并绕开这些生物识别技术。当你扫描指纹时，指纹器将回复一个真/假的反馈值，黑客也能够通过欺骗手段获得真/假的反馈值。因此我认为指纹识别器并不是必然安全的。目前来看，我觉得把指纹识别与密码结合使用更好。这样你就有了双重要素验证，使破解变得更为困难。

　　记者：RoboForm将指纹识别和管理员密码作为两个并列的可选项还是一个二选一的选项？

　　Carey: 我们现在已经部分支持指纹识别，并且也在不断提升该技术。而且通常我们会将指纹识别与现存的密码管理同时使用。因此只要你刷指纹，就能获得权限。或者你可以将之作为一个选项，这样你需要同时提供指纹和管理员密码才能获得权限。

　　记者：由于LastPass事件，RoboForm用户有没有希望产品能更加安全，或者你对现在的安全很放心？

　　Carey:目前来说，我们对我们现在的安全措施很放心。与此同时我们也不会止步不前。我们一直在思考新的办法以塑造更为安全和坚固的权限。我们也就需要改变的地方进行了几次会话，如果有的话，我们现在也还没有立即的行动。