Bảo mật của trình quản lý mật khẩu chỉ trình duyệt [đã đóng]

Có những người quản lý mật khẩu như KeePass lưu trữ tất cả mật khẩu trong một thùng chứa được mã hóa trên máy cục bộ. Tôi sẽ phải sao chép container này sang các máy khác để có thể có mật khẩu của mình ở đó.

Sau đó, có những người quản lý mật khẩu về cơ bản giống như KeePass nhưng lưu trữ bộ chứa mật khẩu trực tuyến.

Và sau đó, có các trình tạo mật khẩu thuật toán, dựa trên mật khẩu chính, tạo mật khẩu cho trang web hiện đang truy cập một cách nhanh chóng. Ví dụ cho các trình quản lý mật khẩu trực tuyến như vậy là SupergenPass và PWDHash . Tất cả những gì tôi cần mang theo bên mình là một bookmarklet nhỏ (được đồng bộ hóa trên các trình duyệt) và mật khẩu chính trong đầu.

Những lợi thế hay hạn chế, bảo mật, khi sử dụng các trình quản lý mật khẩu trực tuyến thuộc loại thứ 3 là gì? Có một trình quản lý mật khẩu trực tuyến giải quyết những hạn chế này trong khi cung cấp các lợi thế không?

Cá nhân tôi thích trình quản lý được lưu trữ tốt hơn một chút miễn là bảo mật được thực thi đúng cách. Lấy LastPass làm ví dụ (yêu thích của tôi), họ không lưu trữ phiên bản chưa được băm của mật khẩu chính của bạn để không cố tình bẻ khóa mật khẩu của bạn, ngay cả máy chủ trang web cũng không thể truy cập thông tin của bạn. Điều này tất nhiên chỉ tốt như sự tin tưởng của bạn vào bên thứ ba, nơi mà các mối quan tâm an ninh xuất hiện. Câu chuyện dài, miễn là họ không giữ một bản sao chưa được băm mật khẩu của bạn, tôi không ngại sử dụng các trình quản lý mật khẩu được lưu trữ.

Vâng, tất cả chúng được thực hiện khác nhau một số an toàn hơn và một số ít hơn.

Ví dụ, tôi sử dụng Clipperz .

Cách thức hoạt động của Clipperz là nó mã hóa / giải mã một blob được mã hóa mà máy chủ lưu trữ trong javascript . Điều này có nghĩa là nếu blob của bạn tìm được đường đến một hacker xấu xa, họ sẽ không thể giải mã được nó (nếu bạn quyết định mật khẩu hợp lý)

Mã cho nó là mã nguồn mở, thứ gì đó giúp tôi tự tin hơn một chút vì tôi có thể kiểm toán nó.

LastPass sử dụng cách tiếp cận tương tự nên khá an toàn.

Tôi sẽ ít sử dụng những thứ như https://www.pwdhash.com/ vì điều đó có nghĩa là nếu tôi muốn thay đổi mật khẩu chính, tôi sẽ cần thay đổi nó trên tất cả các trang web. Ngoài ra, nó kém an toàn hơn vì nếu mọi người biết các quy tắc tôi sử dụng để xây dựng mật khẩu, họ có thể ép buộc mật khẩu chủ của tôi.

Cập nhật 2018

Tôi đã học được nhiều trong 8 năm kể từ khi tôi viết câu trả lời này. Những gì tôi từng nghĩ là một mật khẩu an toàn thực sự không an toàn . Hôm nay tôi sử dụng 1Password với mật khẩu được tạo theo kiểu "diceword". Vẫn ngoại tuyến và vì những lý do tương tự, nhưng an toàn hơn thuật toán tinh thần của tôi dựa trên tên miền. Mật khẩu duy nhất tôi cần nhớ thêm là mật khẩu để đăng nhập vào máy tính của tôi và mật khẩu mở kho tiền 1Password của tôi - cả hai đều được ghi chú trong hầm 1Password của vợ tôi trong trường hợp có chuyện gì đó xảy ra với tôi. Mọi thứ khác chỉ là một vài tổ hợp phím.

Sử dụng trình quản lý mật khẩu được lưu trữ có nghĩa là mật khẩu của bạn được lưu trữ ở đâu đó trên đám mây và ở đâu đó gần đó (trong mã tạo / chỉnh sửa / sử dụng chúng) là hướng dẫn rõ ràng về cách giải mã chúng. Nếu trang web bị xâm phạm, sẽ khó có thể truy cập vào hàng ngàn tài khoản.

Vì lý do đó, tôi không hài lòng với các nhà quản lý mật khẩu trực tuyến. Cá nhân, tôi sử dụng một giải pháp mà tôi tự tạo ra: Tôi có một thuật toán đủ đơn giản để chạy trong đầu, tạo mật khẩu an toàn (ký tự chữ hoa và chữ thường, số và ký tự đặc biệt) dựa trên tên miền và tên người dùng đã chọn của tôi.

Ngoài ra, tôi cố gắng sử dụng oAuth và OpenId bất cứ khi nào có thể, để tôi có ít mật khẩu cần nhớ hơn và có thể chắc chắn rằng các trang web DO có mật khẩu của tôi (ví dụ: Facebook và nhà cung cấp OpenId của tôi) đang bảo mật chính xác (salt + hash , Vân vân).

Nếu tôi phải sử dụng một tiện ích lưu trữ mật khẩu nào đó, có lẽ tôi sẽ đi với KeePass và lưu trữ tệp được mã hóa trong Dropbox để đồng bộ giữa các máy tính.