it-swarm.cn

仅浏览器的密码管理器的安全性

有类似 KeePass 的密码管理器,它将所有密码存储在本地计算机上的加密容器中。我将不得不将该容器复制到其他计算机上,以便在那里也能拥有我的密码。

然后是本质上类似于KeePass的密码管理器,但是在线存储密码容器。

然后是算法密码生成器,它们基于主密码为运行中的当前访问的网站创建密码。这种在线密码管理器的示例是 SupergenPassPWDHash 。我需要随身携带的是一个很小的小书签(可在浏览器之间进行同步)和主密码。

在使用第三类在线密码管理器时,在安全方面有什么优点或缺点?是否有一个在线密码管理器可以解决这些缺点,同时又具有优势?

12
akira

我个人更喜欢托管管理器,只要安全实施正确即可。以LastPass为例(我最喜欢的),它们不会存储您的主密码的未加密版本,因此即使您没有故意破解您的密码,甚至网站主机也无法访问您的信息。当然,这仅取决于您对第三方的信任,而这正是安全性问题发挥作用的地方。长话短说,只要他们不保留您的密码的原始副本,我就不介意使用托管的密码管理器。

5
Brad Gardner

2018更新

自最初编写此答案以来的8年中,我学到了很多东西。我曾经以为是一个安全的密码 真的不是那么安全 。今天,我将1Password与“ diceword”样式生成的密码一起使用。出于相同的原因仍处于脱机状态,但比基于域名的智能算法更安全。我只需要记住的唯一密码就是登录我的计算机的密码,以及打开我的1Password保险库的密码-万一我发生什么事情,这两个密码都会在我妻子的1Password保险库中注明。其他一切仅需按键即可。

使用托管的密码管理器意味着您的密码存储在云中的某个地方,而该密码附近的某个地方(在创建/编辑/使用它们的代码中)是有关如何解密它们的明确说明。如果该网站遭到入侵,访问数千个帐户将很困难。

因此,我对在线密码管理器不屑一顾。我个人使用的解决方案是我自己准备的:我有一个简单易用的算法,可以根据域名生成安全密码(大写和小写字母,数字和特殊字符)和我选择的用户名。

此外,我会尽可能尝试使用oAuth和OpenId,以便记住的密码更少,并且可以确保的网站可以做到拥有我的密码(例如Facebook和我的OpenId提供程序)正确保护了它的密码(盐+哈希等)。

如果我必须使用某种密码存储实用程序,则我可能会选择使用KeePass并将加密的文件存储在Dropbox中以在计算机之间进行同步。

1
Adam Tuttle

嗯,它们的实现方式有所不同,有些更安全,有些更少。

例如,我使用 Clipperz

Clipperz的工作方式是加密/解密服务器存储的加密blob 在javascript中。这意味着,如果您的Blob找到了一个邪恶的黑客,他们将无法解密(如果您确定了合理的密码)

它的代码是开源的,这使我充满了信心,因为我可以对其进行审核。

LastPass 使用相同的方法,因此相当安全。

我不太可能使用 https://www.pwdhash.com/ 之类的东西,因为这意味着如果我想更改主密码,则需要在所有站点上进行更改。同样,它的安全性也不高,好像人们知道我用来构建密码的规则,他们可以强行使用我的主密码一样。

1
Sam Saffron