Bezpieczeństwo tylko menedżerów haseł przeglądarki [zamknięte]

Istnieją menedżery haseł, takie jak KeePass, które przechowują wszystkie hasła w zaszyfrowanym kontenerze na komputerze lokalnym. Musiałbym skopiować ten kontener na inne maszyny, aby mieć tam również moje hasła.

Są też menedżerowie haseł, którzy zasadniczo są jak KeePass, ale przechowują kontener haseł online.

Są też algorytmiczne generatory haseł, które na podstawie hasła głównego tworzą hasło dla aktualnie odwiedzanej witryny w locie. Przykładami takich internetowych menedżerów haseł są SupergenPass i PWDHash . Wszystko, co muszę ze sobą nosić, to niewielka książeczka (synchronizowana między przeglądarkami) i hasło główne w mojej głowie.

Jakie są zalety i wady, jeśli chodzi o bezpieczeństwo, podczas korzystania z internetowych menedżerów haseł 3. kategorii? Czy istnieje internetowy menedżer haseł, który eliminuje te wady, zapewniając jednocześnie zalety?

Osobiście lubię hostowanego menedżera trochę lepiej, pod warunkiem, że zabezpieczenia są odpowiednio wdrażane. Weźmy na przykład LastPass (mój ulubiony), nie przechowują niezaszyfrowanej wersji hasła głównego, więc bez celowego łamania haseł nawet host witryny nie może uzyskać dostępu do twoich informacji. Jest to oczywiście tylko tak dobre, jak zaufanie do strony trzeciej, która ma wpływ na bezpieczeństwo. Krótko mówiąc, dopóki nie przechowują nieskróconej kopii hasła, nie mam nic przeciwko korzystaniu z hostowanych menedżerów haseł.

Cóż, wszystkie są wdrażane inaczej, niektóre są bardziej bezpieczne, a niektóre mniej.

Na przykład używam Clipperz .

Sposób, w jaki działa Clipperz, polega na szyfrowaniu / deszyfrowaniu zaszyfrowanego obiektu blob, który serwer przechowuje w javascript . Oznacza to, że jeśli Twój obiekt blob znajdzie drogę do złego hakera, nie będzie w stanie go odszyfrować (jeśli zdecydujesz się na rozsądne hasło)

Kod tego jest open source, coś, co daje mi więcej pewności siebie, ponieważ mogę go skontrolować.

LastPass stosuje to samo podejście, więc jest dość bezpieczne.

Byłbym mniej skłonny do używania takich rzeczy jak https://www.pwdhash.com/, ponieważ oznacza to, że jeśli chcę zmienić moje hasło główne, będę musiał je zmienić na wszystkich stronach. Ponadto jest mniej bezpieczny, ponieważ jeśli ludzie znają reguły, których używam do budowania hasła, mogą brutalnie wymusić moje główne hasło.

Aktualizacja 2018

Przez 8 lat wiele się nauczyłem, odkąd napisałem tę odpowiedź. To, co kiedyś uważałem za bezpieczne hasło, nie było wcale tak bezpieczne . Dzisiaj używam 1Password z hasłami wygenerowanymi w stylu „diceword”. Nadal offline i z tych samych powodów, ale bezpieczniejszy niż mój algorytm mentalny oparty na nazwie domeny. Jedyne hasła, które muszę zapamiętać, to te, które logują się do mojego komputera i te, które otwierają mój sejf 1Password - oba te hasła są zapisane w skarbcu 1Password mojej żony na wypadek, gdyby coś mi się stało. Cała reszta to tylko kilka naciśnięć klawiszy.

Korzystanie z hostowanego menedżera haseł oznacza, że ​​hasła są przechowywane gdzieś w chmurze, a gdzieś w pobliżu (w kodzie, który je tworzy / edytuje / używa) są wyraźne instrukcje, jak je odszyfrować. W przypadku naruszenia bezpieczeństwa witryny dostęp do tysięcy kont nie będzie trudny.

Z tego powodu jestem ostrożny z internetowymi menedżerami haseł. Osobiście korzystam z rozwiązania, które sobie wymyśliłem: mam algorytm, który jest na tyle prosty, że można go uruchomić w głowie, który generuje bezpieczne hasło (wielkie i małe litery, cyfry i znaki specjalne) na podstawie nazwy domeny i moja wybrana nazwa użytkownika.

Ponadto staram się używać oAuth i OpenId tam, gdzie to możliwe, aby mieć mniej haseł do zapamiętania i mieć pewność, że strony, które MAM swoje hasło (np. Facebook i mój dostawca OpenId) odpowiednio je zabezpieczają (sól + skrót) itp.).

Gdybym musiał użyć jakiegoś narzędzia do przechowywania haseł, prawdopodobnie skorzystałbym z KeePass i zapisałbym zaszyfrowany plik w Dropbox w celu synchronizacji między komputerami.