Захист менеджерів паролів лише для браузера [закрито]


12

Є менеджери паролів, такі як KeePass, які зберігають усі паролі у зашифрованому контейнері на локальній машині. Мені доведеться скопіювати цей контейнер на інші машини, щоб там також були мої паролі.

Потім є менеджери паролів, які по суті схожі на KeePass, але зберігають контейнер паролів в Інтернеті.

А потім є алгоритмічні генератори паролів, які на основі головного пароля створюють пароль для відвідуваного на даний момент веб-сайту. Прикладами таких менеджерів паролів в Інтернеті є SupergenPass і PWDHash . Все, що мені потрібно носити із собою, - це крихітний закладка (який синхронізується в браузерах) та головний пароль у моїй голові.

Які переваги чи недоліки є безпечними при використанні онлайн-менеджерів паролів 3-ї категорії? Чи існує онлайн-менеджер паролів, який вирішує ці недоліки, надаючи переваги?

Відповіді:


5

Мені особисто подобається розміщений менеджер трохи краще, якщо безпека реалізована належним чином. Візьмемо для прикладу LastPass (мій улюблений), вони не зберігають неперевірену версію вашого головного пароля, тому без навмисного зламування ваших паролів навіть навіть хост сайту не може отримати доступ до вашої інформації. Це, звичайно, лише настільки ж добре, як і ваша довіра до третьої сторони, де саме тут виникають проблеми безпеки. Коротка історія, якщо вони не зберігають копію вашого пароля, я не проти використовувати розміщені менеджери паролів.


добре, але це не те, про що йдеться по суті. Я згадав про інші 2 категорії менеджерів паролів, щоб пояснити категорію, яка мене цікавить: не зберігайте пароль взагалі, а "створюйте" його на льоту.
akira

1

Добре, що всі вони реалізовані по-різному, деякі більш безпечні, а інші менш.

Наприклад, я використовую Clipperz .

Спосіб роботи Clipperz - це зашифрування / розшифрування зашифрованого блобу, який сервер зберігає у javascript . Це означає, що якщо ваш крап знайде шлях до зла зла, він не зможе його розшифрувати (якщо ви зважилися на розумний пароль)

Код для нього з відкритим кодом, що наповнює мене трохи більшою впевненістю, тому що я можу його перевірити.

LastPass використовує той самий підхід, тому він досить безпечний.

Я б менше шансів використовувати такі речі, як https://www.pwdhash.com/, оскільки це означає, що якщо я хочу змінити свій головний пароль, мені потрібно буде змінити його на всіх сайтах. Крім того, це менш безпечно, як якщо б люди знали правила, які я використовую для створення пароля, вони можуть жорстоко примусити мій головний пароль.


якщо ви вирішили змінити пароль для сайту, вам потрібно повідомити про це. якщо ваш головний пароль для такого розміщеного рішення порушений, вам доведеться також змінити пароль для кожного сайту.
акіра

1

Оновлення 2018 року

Я багато чого навчився за 8 років, як я спочатку написав цю відповідь. Те, що я колись вважав захищеним паролем, насправді не все було так безпечно . Сьогодні я використовую 1Password з паролями, створеними у стилі "diceword". Досі в автономному режимі і з тих же причин, але більш безпечним, ніж мій ментальний алгоритм, заснований на доменному імені. Єдині паролі, які мені потрібно запам'ятати, - це той, щоб увійти до мого комп’ютера, і той, який відкриє мою скарбницю 1Password - обидва відмічені у сховищі 1Password моєї дружини, якщо зі мною щось трапиться. Все інше - лише кілька натискань клавіш.

Використання розміщеного менеджера паролів означає, що ваші паролі зберігаються десь у хмарі, а десь поруч із цим (у коді, який створює / редагує / використовує їх) є чіткі інструкції щодо їх розшифрування. Якщо сайт порушений, отримати доступ до тисяч облікових записів не важко.

З цієї причини я пильную онлайн-менеджерів паролів. Особисто я використовую рішення, яке я створив для себе: у мене є алгоритм, який досить простий для запуску в моїй голові, який генерує захищений пароль (великі та малі символи, цифри та спеціальні символи) на основі доменного імені і моє вибране ім’я користувача.

Крім того, я намагаюся використовувати OAuth і OpenId всюди , де це можливо, так що у мене є менше паролів , щоб пам'ятати і може бути впевненіше , що сайти , які DO мають свій пароль (наприклад , Facebook, і мій провайдер OpenId) належним чином закріпивши його (сіль + хеш тощо).

Якби мені довелося використовувати якусь утиліту зберігання паролів, я, ймовірно, пішов би з KeePass і зберігав зашифрований файл у Dropbox для синхронізації між комп’ютерами.


1
supergenpass і hashpwd взагалі не зберігають паролі. вони "запускають алгоритм у jscript на основі головного пароля, веб-сайту, на якому ви зараз перебуваєте, і переглядаєте цей md5"
akira,
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.