it-swarm-vi.com

Bảo mật trình duyệt chỉ quản lý mật khẩu

Có những người quản lý mật khẩu như KeePass nơi lưu trữ tất cả mật khẩu trong một thùng chứa được mã hóa trên máy cục bộ. Tôi sẽ phải sao chép container này sang các máy khác để có thể có mật khẩu của mình ở đó.

Sau đó, có những người quản lý mật khẩu về cơ bản giống như KeePass nhưng lưu trữ bộ chứa mật khẩu trực tuyến.

Và sau đó, có các trình tạo mật khẩu thuật toán, dựa trên mật khẩu chính, tạo mật khẩu cho trang web hiện đang truy cập một cách nhanh chóng. Ví dụ cho những người quản lý mật khẩu trực tuyến như vậy là SupergenPassPWDHash . Tất cả những gì tôi cần mang theo bên mình là một bookmarklet nhỏ (được đồng bộ hóa trên các trình duyệt) và mật khẩu chính trong đầu tôi.

Những lợi thế hoặc hạn chế, bảo mật khôn ngoan, khi sử dụng các trình quản lý mật khẩu trực tuyến thuộc loại thứ 3 là gì? Có một trình quản lý mật khẩu trực tuyến giải quyết những nhược điểm này trong khi cung cấp các lợi thế không?

12
akira

Cá nhân tôi thích trình quản lý được lưu trữ tốt hơn một chút miễn là bảo mật được thực thi đúng cách. Lấy LastPass làm ví dụ (yêu thích của tôi), họ không lưu trữ phiên bản chưa băm của mật khẩu chính của bạn để không cố tình bẻ khóa mật khẩu của bạn, ngay cả trang chủ lưu trữ cũng không thể truy cập thông tin của bạn. Điều này tất nhiên chỉ tốt như sự tin tưởng của bạn vào bên thứ ba, nơi mà các mối quan tâm an ninh xuất hiện. Câu chuyện dài, miễn là họ không giữ một bản sao chưa được băm mật khẩu của bạn, tôi không ngại sử dụng các trình quản lý mật khẩu được lưu trữ.

5
Brad Gardner

Cập nhật 2018

Tôi đã học được nhiều trong 8 năm kể từ khi tôi viết câu trả lời này. Điều tôi từng nghĩ là mật khẩu an toàn thực sự không an toàn lắm . Hôm nay tôi sử dụng 1Password với mật khẩu được tạo theo kiểu "diceword". Vẫn ngoại tuyến và vì những lý do tương tự, nhưng an toàn hơn thuật toán tinh thần của tôi dựa trên tên miền. Mật khẩu duy nhất tôi cần nhớ thêm là mật khẩu để đăng nhập vào máy tính của tôi và mật khẩu mở kho tiền 1Password của tôi - cả hai đều được ghi chú trong hầm 1Password của vợ tôi trong trường hợp có chuyện gì đó xảy ra với tôi. Mọi thứ khác chỉ là một vài tổ hợp phím.

Sử dụng trình quản lý mật khẩu được lưu trữ có nghĩa là mật khẩu của bạn được lưu trữ ở đâu đó trên đám mây và ở đâu đó gần đó (trong mã tạo/chỉnh sửa/sử dụng chúng) là hướng dẫn rõ ràng về cách giải mã chúng. Nếu trang web bị xâm phạm, sẽ khó có thể truy cập vào hàng ngàn tài khoản.

Vì lý do đó, tôi không hài lòng với các nhà quản lý mật khẩu trực tuyến. Cá nhân, tôi sử dụng một giải pháp mà tôi tự tạo ra: Tôi có một thuật toán đủ đơn giản để chạy trong đầu, tạo ra một mật khẩu an toàn (ký tự chữ hoa và chữ thường, số và ký tự đặc biệt) dựa trên tên miền và tên người dùng đã chọn của tôi.

Ngoài ra, tôi cố gắng sử dụng oAuth và OpenId bất cứ khi nào có thể, để tôi có ít mật khẩu cần nhớ hơn và có thể chắc chắn rằng các trang web DO có mật khẩu của tôi (ví dụ: Facebook và nhà cung cấp OpenId của tôi) đang bảo mật đúng cách (salt + hash, v.v.).

Nếu tôi phải sử dụng tiện ích lưu trữ mật khẩu thuộc loại nào đó, tôi có thể sẽ đi với KeePass và lưu trữ tệp được mã hóa trong Dropbox để đồng bộ hóa giữa các máy tính.

1
Adam Tuttle

Vâng, tất cả chúng được thực hiện khác nhau một số an toàn hơn và một số ít hơn.

Ví dụ: tôi sử dụng Clipperz .

Cách thức hoạt động của Clipperz là nó mã hóa/giải mã một blob được mã hóa mà máy chủ lưu trữ trong javascript . Điều này có nghĩa là nếu blob của bạn tìm được đường đến một hacker xấu xa, họ sẽ không thể giải mã được nó (nếu bạn quyết định mật khẩu hợp lý)

Mã cho nó là mã nguồn mở, thứ gì đó giúp tôi tự tin hơn một chút vì tôi có thể kiểm toán nó.

LastPass sử dụng cùng một cách tiếp cận nên khá an toàn.

Tôi sẽ ít sử dụng những thứ như https://www.pwdhash.com/ vì điều đó có nghĩa là nếu tôi muốn thay đổi mật khẩu chính, tôi sẽ cần thay đổi nó trên tất cả các trang web. Ngoài ra, nó không an toàn vì nếu mọi người biết các quy tắc tôi sử dụng để xây dựng mật khẩu, họ có thể bắt buộc sử dụng mật khẩu chính của tôi.

1
Sam Saffron