比方说,你不希望任何人能够login到你的Windowsconfiguration文件。
我喜欢在我的网页浏览器中保存密码。
但是,我不是唯一拥有域pipe理员帐户的人。 其他人可以在AD中重置密码,然后他/她可以login到我的机器。
我怎样才能防止这个?
有一些应用程序可以强制额外的login或一些其他免费的解决scheme?
编辑:感谢您的build议,我的意思是额外的安全性,一般不太关注Web浏览器的密码。 看起来像encryption的主目录将解决我的问题。
这听起来像利用EFS(encryption文件系统)的好时机。 任何使用EFSencryption的文件在强制重置账户密码后将无法访问。
http://support.microsoft.com/kb/290260
设置您的浏览器,以便它将您的configuration文件存储在一个encryption的目录中,而且您还可以继续使用。
如果你不能相信其他域pipe理员,那么他们不应该是域pipe理员,出于同样的原因,如果你不能信任,你也不应该是一个。
如果有人要改变你的密码,这将被logging,发现和终止的人(我假设你已经启用审计)。
我个人不会担心,这可能不会发生。
如果担心,请在这里接受其他人的build议,不要保存您的密码。 如果保存,最终可以读取。
如果您要在Internet Explore中保存密码,则使用Protected Storage将密码与您的login密码进行encryption。 如果其他人更改密码,他们将无法获得任何东西。 ( http://support.microsoft.com/kb/290260 )
如果您正在使用备用浏览器,那么您可能需要查看该浏览器如何保护数据。 例如在Firefox中,你可以设置一个主密码。
全盘encryption可能是保护本地存储数据的最有效的select。
如果你不信任你的pipe理员,并担心他们偷你的密码,我build议你需要确保没有键盘logging器。 他们简单地加载一个键盘logging器会容易得多。 使用硬件键盘logging器,几乎没有办法检测到他们窃取您的密码。
虽然我通常会同意评论,如果你不能相信你的域pipe理员有一些需要在你的环境中修复,我可以看到一些很好的理由在某些情况下提供一个额外的访问控制层。
在任何情况下,即使你只是个人偏执狂,我build议你检查你的系统是否有一个内置的可信平台模块,如果供应商提供驱动程序和安全套件。 几乎所有的商务级个人电脑现在都具有合理的TPM能力,可以提供安全的凭证存储等等。 有一个体面的安全套装,它会给你[A]防御stream氓pipe理员和[B]抵御域密码重置(不像EFS)的能力。 联想在他们的Client Security Suite上写了一篇很好的文章,它利用Thinkpads中内置的TPM提供硬件安全凭证存储,并使用该凭证存储来保护密码pipe理器和encryption专用磁盘的密钥。 如果在没有Active Directory集成的情况下安装它,则可以使用其浏览器安全机制,或者只需从受保护的磁盘运行便携式浏览器安装,然后您将拥有所需的其他安全层。
对于特定的例子(保存在浏览器中的密码),我build议使用Firefox提供的主密码。 它encryption密码caching。
在KDE(和Gnome)中,有一些工具,比如电子钱包(Wallet),它还使用一个单独的密码为凭证提供安全的存储(例如浏览器,邮件应用程序,聊天客户端等)。 我相信类似的东西也可以用于Windows。
另一种方法是使用包含您的configuration文件和文档的容器文件,使用TrueCryptencryption您的主目录。
为什么有人在不告诉你的情况下更改密码? 这是发生在过去的事情吗?
另一种保存密码的方法是使用这个UPEK指纹识别器来记住它们。 这不是免费的,但很便宜。 每当您想将您login到保存的网站时,您都需要用手指进行身份validation。 我已经使用了几个月,现在没有问题。
请记住,指纹识别器不是不可能破解,但它会阻止偶然的黑客。