Безопасность браузера только парольные менеджеры [закрыто]

12

Есть менеджеры паролей, такие как KeePass, которые хранят все пароли в зашифрованном контейнере на локальном компьютере. Я должен был бы скопировать этот контейнер на другие машины, чтобы иметь возможность хранить там и мои пароли.

Тогда есть менеджеры паролей, которые по сути похожи на KeePass, но хранят контейнер паролей онлайн.

Кроме того, существуют алгоритмические генераторы паролей, которые на основе мастер-пароля на лету создают пароль для посещаемого в настоящее время веб-сайта. Примеры таких онлайновых менеджеров паролей являются SupergenPass и PwdHash . Все, что мне нужно носить с собой, - это крошечный букмарклет (который синхронизируется между браузерами) и главный пароль в моей голове.

Каковы преимущества или недостатки с точки зрения безопасности при использовании онлайн-менеджеров паролей 3-й категории? Существует ли онлайн-менеджер паролей, который устраняет эти недостатки и обеспечивает преимущества?

Акира
источник

Ответы:

5

Лично мне нравится размещенный менеджер немного лучше, если безопасность реализована должным образом. Возьмите, например, LastPass (мой любимый), они не хранят версию хешированного кода без хэша, поэтому без преднамеренного взлома ваших паролей, даже хост сайта не сможет получить доступ к вашей информации. Это, конечно, только в той мере, в которой вы доверяете третьей стороне, в которую входят вопросы безопасности. Короче говоря, до тех пор, пока они не хранят незашифрованную копию вашего пароля, я не против использовать размещенные менеджеры паролей.

Брэд Гарднер
источник
хорошо, но дело не в этом. Я упомянул две другие категории менеджеров паролей, чтобы объяснить интересующую меня категорию: не хранить пароль вообще, а «создавать» его на лету.
Акира
1

Ну, все они реализованы по-разному, некоторые более безопасны, а некоторые меньше.

Например, я использую Clipperz .

Работа Clipperz заключается в том, что он шифрует / дешифрует зашифрованный большой двоичный объект, который сервер хранит в javascript . Это означает, что если ваш блоб найдет путь к злому хакеру, он не сможет его расшифровать (если вы выбрали разумный пароль)

Код для него с открытым исходным кодом, что наполняет меня большей уверенностью, потому что я могу его проверить.

LastPass использует тот же подход, поэтому он довольно безопасен.

Я бы с меньшей вероятностью использовал такие вещи, как https://www.pwdhash.com/, потому что это означает, что если я хочу изменить свой главный пароль, мне нужно будет изменить его на всех сайтах. Кроме того, он менее безопасен, так как если бы люди знали правила, которые я использую для создания пароля, они могут грубо взломать мой главный пароль.

Сэм Шафран
источник
если вы решили сменить пароль для сайта, вы должны сообщить об этом сайту. Если ваш главный пароль для такого размещенного решения будет взломан, вам также придется сменить пароль для каждого сайта.
Акира
1

Обновление 2018

Я многому научился за 8 лет, с тех пор как я написал этот ответ. То, что я когда-то считал безопасным паролем, на самом деле было не так уж и безопасно . Сегодня я использую 1Password с паролями, сгенерированными в стиле «diceword». Все еще в автономном режиме и по тем же причинам, но более безопасным, чем мой ментальный алгоритм, основанный на доменном имени. Единственные пароли, которые мне нужно запомнить, - это пароль для входа в мой компьютер и тот, который открывает мое хранилище 1Password - оба они записаны в хранилище 1Password моей жены на случай, если со мной что-то случится. Все остальное только несколько нажатий клавиш.

Использование размещенного менеджера паролей означает, что ваши пароли хранятся где-то в облаке, а где-то поблизости (в коде, который создает / редактирует / использует их) есть явные инструкции о том, как их расшифровать. Если сайт будет взломан, не составит труда получить доступ к тысячам учетных записей.

По этой причине я с подозрением отношусь к онлайн-менеджерам паролей. Лично я использую решение, которое я разработал для себя: у меня есть алгоритм, который достаточно прост для запуска в моей голове, который генерирует безопасный пароль (символы верхнего и нижнего регистра, цифры и специальные символы) на основе имени домена и выбранное мной имя пользователя.

Кроме того, я пытаюсь использовать OAuth и OpenId везде , где это возможно, так что у меня есть меньше паролей , чтобы помнить и может быть уверенней , что сайты , которые DO имеют свой пароль (например , Facebook, и мой провайдер OpenId) надлежащим образом закрепив его (соль + хэш , и т.д).

Если бы мне пришлось использовать какую-то утилиту хранения паролей, я бы, вероятно, пошел с KeePass и сохранил зашифрованный файл в Dropbox для синхронизации между компьютерами.

Адам Таттл
источник
1
supergenpass и hashpwd не хранят пароли вообще. они «запускают алгоритм в jscript, основанный на мастер-пароле, на сайте, на котором вы сейчас находитесь, и транслируете через md5»
Акира