问：作为小企业，我正在考虑像1password、Roboform或lastpass这样的程序。对于提供PC与Mac程序的兼容性，你有什么建议吗？这些程序能否保证敏感信息的安全？以及，如果可能的话，是否能为多个用户提供服务，并且允许某些人访问特定的密码和信息？这些程序是否可以在多台计算机上和网络上使用？

　　答：我要说的是，我并不非常热衷于密码安全库（password security vaults）。许多用户想用一个简单的方法来创建和维护许多系统的验证信息，我理解你们这种心情，但这些工具都仅仅只是对错误进程和非集成系统的本地认证起到一个“创可贴”的作用而已。密码库是来减轻严格密码政策的负担的，严格的密码政策要求很复杂的密码，以至于用户无法记住或者必须要把它们写下来。这个密码库也可以用来解决密码过多的问题，这是由每个商业应用程序都要存储自己的证书而造成的。

　　在执行一个密码库时，我建议你再看一遍你的组织策略。如果他们由于过期时间短或者密码很长而过于繁琐的话，那么它们会造成更多的安全风险，而不仅仅是没有集成。如果是后一种情况，即应用程序没有被集成，那么我会寻找一个单一登录（SSO）的产品，而不是一个密码库来解决这个问题。SSO允许用户提供一个密码来访问多个系统，并且不必对基础设施进行过大改动。

　　在重要的身份管理过程中，SSO比保持一个密码库并要求用户保持多个密码要容易实现得多，风险性也会更小。此外，两者之间的成本差异不大，因为两者都需要整合、维护和管理支持。不过，如果你还想深究密码库这条路线的话，我想你已经发现了一些更好的为小企业准备的产品，而我很可能会看lastpass，之后是RoboForm程序，不过这还需要更多的信息来进行选择。

　　除此之外，仍然还有许多问题需要搞清楚：你的用户将要登入的是什么样的终端系统和操作系统？用户要存储多少密码？你在问题中提及的“某些人”指的是谁？你的预算是多少？不管你做什么，请你记住，当你在走向一个更加一体化的认证基础设施时，密码库只是其中的一小步而已，你不应该把它视为一个长期的解决方法。