ความปลอดภัยของเบราว์เซอร์ผู้จัดการรหัสผ่านเท่านั้น [ปิด]


12

มีผู้จัดการรหัสผ่านเช่นKeePassซึ่งเก็บรหัสผ่านทั้งหมดไว้ในคอนเทนเนอร์ที่เข้ารหัสบนเครื่องท้องถิ่น ฉันจะต้องคัดลอกคอนเทนเนอร์นี้ไปยังเครื่องอื่นเพื่อให้สามารถใช้รหัสผ่านของฉันที่นั่นได้เช่นกัน

จากนั้นก็มีผู้จัดการรหัสผ่านซึ่งคล้ายกับ KeePass แต่เก็บรหัสผ่านคอนเทนเนอร์ออนไลน์

จากนั้นก็มีเครื่องสร้างรหัสผ่านแบบอัลกอริทึมซึ่งสร้างรหัสผ่านหลักขึ้นมาเพื่อสร้างรหัสผ่านสำหรับเว็บไซต์ที่เยี่ยมชมในปัจจุบันได้ทันที ตัวอย่างสำหรับผู้จัดการออนไลน์รหัสผ่านดังกล่าวSuperGenPassและPWDHash สิ่งที่ฉันต้องดำเนินการกับฉันคือ bookmarklet เล็ก ๆ (ซึ่งได้รับการซิงค์ผ่านเบราว์เซอร์) และรหัสผ่านหลักในหัวของฉัน

ข้อดีหรือข้อเสียคือความปลอดภัยเมื่อใช้ตัวจัดการรหัสผ่านออนไลน์ของหมวดที่ 3 มีอะไรบ้าง มีผู้จัดการรหัสผ่านออนไลน์ที่จัดการข้อเสียเหล่านี้ในขณะที่ให้ประโยชน์?

คำตอบ:


5

ฉันเองชอบผู้จัดการโฮสต์ที่ดีขึ้นเล็กน้อยตราบใดที่มีการใช้งานระบบความปลอดภัย ใช้ LastPass (โปรดของฉัน) พวกเขาจะไม่เก็บรหัสผ่านหลักของคุณที่ไม่ได้แฮชดังนั้นโดยไม่ตั้งใจแยกรหัสผ่านของคุณอย่างรอบคอบแม้แต่โฮสต์ไซต์ก็ไม่สามารถเข้าถึงข้อมูลของคุณได้ แน่นอนว่าเป็นเรื่องดีเท่าที่คุณไว้วางใจในบุคคลที่สามซึ่งเป็นที่ที่ความกังวลด้านความปลอดภัยเข้ามามีบทบาท เรื่องสั้นสั้น ๆ ตราบใดที่พวกเขาไม่เก็บสำเนารหัสผ่านของคุณโดยไม่ถูกขัดจังหวะฉันไม่รังเกียจที่จะใช้ตัวจัดการรหัสผ่านที่โฮสต์


สบายดี แต่นั่นไม่ใช่สิ่งที่คำถามเป็นหลักเกี่ยวกับ ฉันกล่าวถึงผู้จัดการรหัสผ่านอีก 2 ประเภทเพื่ออธิบายหมวดหมู่ที่ฉันสนใจ: อย่าเก็บรหัสผ่านเลย แต่ "สร้าง" ทันที
akira

1

ทั้งหมดนี้มีการใช้งานแตกต่างกันไปบางอันมีความปลอดภัยมากกว่าและบางส่วนก็น้อยกว่า

ตัวอย่างเช่นผมใช้Clipperz

วิธี Clipperz ทำงานคือมันเข้ารหัส / ถอดรหัสหยดเข้ารหัสที่ร้านค้าเซิร์ฟเวอร์ใน JavaScript ซึ่งหมายความว่าหาก Blob ของคุณหาทางไปยังแฮ็กเกอร์ชั่วร้ายพวกเขาจะไม่สามารถถอดรหัสได้ (ถ้าคุณตัดสินใจด้วยรหัสผ่านที่สมเหตุสมผล)

รหัสของมันคือโอเพ่นซอร์สบางสิ่งที่เติมความมั่นใจให้ฉันมากขึ้นอีกนิดเพราะฉันสามารถตรวจสอบได้

LastPassใช้วิธีการเดียวกันดังนั้นจึงค่อนข้างปลอดภัย

ฉันมีโอกาสน้อยที่จะใช้สิ่งต่าง ๆ เช่นhttps://www.pwdhash.com/เพราะมันหมายความว่าถ้าฉันต้องการเปลี่ยนรหัสผ่านหลักของฉันฉันจะต้องเปลี่ยนมันในทุกไซต์ นอกจากนี้ยังมีความปลอดภัยน้อยลงราวกับว่าคนรู้ว่ากฎที่ฉันใช้ในการสร้างรหัสผ่านที่พวกเขาสามารถดุร้ายบังคับรหัสผ่านหลักของฉัน


ถ้าคุณตัดสินใจที่จะเปลี่ยนรหัสผ่านสำหรับไซต์คุณต้องบอกไซต์เกี่ยวกับมัน หากรหัสผ่านหลักของคุณสำหรับโซลูชันที่โฮสต์นั้นถูกละเมิดคุณต้องเปลี่ยนรหัสผ่านสำหรับทุกไซต์ด้วย
akira

1

อัพเดต 2018

ฉันเรียนรู้มากใน 8 ปีตั้งแต่ฉันเขียนคำตอบนี้ สิ่งที่ฉันเคยคิดว่าเป็นรหัสผ่านที่ปลอดภัยจริงๆไม่ได้ทั้งหมดที่เชื่อถือได้ วันนี้ฉันใช้รหัสผ่าน 1Password กับ "diceword" ยังคงออฟไลน์และด้วยเหตุผลเดียวกัน แต่ปลอดภัยกว่าอัลกอริทึมจิตของฉันตามชื่อโดเมน รหัสผ่านเดียวที่ฉันต้องจำอีกต่อไปคือรหัสผ่านเพื่อเข้าสู่คอมพิวเตอร์ของฉันและรหัสผ่านที่เปิด 1Password vault ของฉัน - ซึ่งทั้งคู่ถูกบันทึกไว้ในรหัสผ่าน 1Password ของภรรยาของฉันในกรณีที่มีบางอย่างเกิดขึ้นกับฉัน ทุกสิ่งทุกอย่างอยู่ห่างออกไปเพียงไม่กี่ครั้ง

การใช้เครื่องมือจัดการรหัสผ่านที่โฮสต์หมายความว่ารหัสผ่านของคุณจะถูกเก็บไว้ที่ไหนสักแห่งในระบบคลาวด์และบางแห่งที่อยู่ใกล้เคียง (ในรหัสที่สร้าง / แก้ไข / ใช้งาน) เป็นคำแนะนำที่ชัดเจนเกี่ยวกับวิธีการถอดรหัส หากไซต์ถูกบุกรุกมันจะไม่ยากที่จะเข้าถึงบัญชีหลายพันบัญชี

ด้วยเหตุนี้ฉันจึงสับสนกับผู้จัดการรหัสผ่านออนไลน์ โดยส่วนตัวแล้วฉันใช้วิธีแก้ปัญหาที่สร้างขึ้นด้วยตัวเอง: ฉันมีอัลกอริทึมที่ง่ายพอที่จะเรียกใช้ในหัวของฉันที่สร้างรหัสผ่านที่ปลอดภัย (อักขระตัวพิมพ์ใหญ่และตัวพิมพ์เล็กตัวเลขและอักขระพิเศษ) ตามชื่อโดเมน และชื่อผู้ใช้ที่ฉันเลือก

นอกจากนี้ผมพยายามที่จะใช้ oAuth และ OpenId ใดก็ตามที่เป็นไปได้เพื่อที่ฉันมีรหัสผ่านน้อยลงที่จะจำและสามารถที่จะมั่นใจว่าเว็บไซต์ที่DOมีรหัสผ่านของฉัน (เช่น Facebook, และผู้ให้บริการ OpenId ของฉัน) จะต้องรักษาความปลอดภัย (เกลือ + กัญชา ฯลฯ )

ถ้าฉันต้องใช้ยูทิลิตี้จัดเก็บรหัสผ่านในบางประเภทฉันอาจไปกับ KeePass และเก็บไฟล์ที่เข้ารหัสไว้ใน Dropbox เพื่อซิงค์ระหว่างคอมพิวเตอร์


1
supergenpass และ hashpwd ไม่เก็บรหัสผ่านเลย พวกเขากำลัง "เรียกใช้อัลกอริทึมใน jscript โดยใช้รหัสผ่านหลักไซต์ที่คุณอยู่ในขณะนี้และไปป์ที่ผ่าน md5"
akira
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.