it-swarm-id.com

Keamanan hanya pengelola kata sandi browser

Ada pengelola kata sandi seperti KeePass yang menyimpan semua kata sandi dalam wadah terenkripsi di mesin lokal. Saya harus menyalin wadah ini ke mesin lain untuk dapat memiliki kata sandi saya di sana juga.

Lalu ada pengelola kata sandi yang pada dasarnya seperti KeePass tetapi menyimpan wadah kata sandi secara online.

Dan kemudian ada generator kata sandi algoritmik yang, berdasarkan kata sandi utama, membuat kata sandi untuk situs web yang saat ini dikunjungi dengan cepat. Contoh untuk pengelola kata sandi online tersebut adalah SupergenPass dan PWDHash . Yang perlu saya bawa adalah bookmarklet kecil (yang disinkronkan di browser) dan kata sandi utama di kepala saya.

Apa kelebihan atau kekurangannya, dari segi keamanan, ketika menggunakan pengelola kata sandi online dari kategori ke-3? Apakah ada pengelola kata sandi online yang menangani kelemahan ini sambil memberikan keuntungan?

12
akira

Saya pribadi menyukai manajer yang dihosting sedikit lebih baik asalkan keamanan diterapkan dengan benar. Ambil LastPass sebagai contoh (favorit saya), mereka tidak menyimpan versi un-hashed kata sandi master Anda tanpa sengaja memecahkan kata sandi Anda, bahkan situs Host tidak dapat mengakses informasi Anda. Ini tentu saja hanya sebagus kepercayaan Anda terhadap pihak ketiga yang menjadi alasan keamanan. Singkatnya, selama mereka tidak menyimpan salinan kata sandi Anda yang belum di-hash, saya tidak keberatan menggunakan pengelola kata sandi yang di-host.

5
Brad Gardner

Pembaruan 2018

Saya telah belajar banyak dalam 8 tahun sejak saya awalnya menulis jawaban ini. Apa yang saya pikir sebelumnya adalah kata sandi aman benar-benar tidak semua yang aman . Hari ini saya menggunakan 1Password dengan kata sandi "diceword" -style. Masih offline dan untuk alasan yang sama, tetapi lebih aman daripada algoritma mental saya berdasarkan nama domain. Satu-satunya kata sandi yang perlu saya ingat lagi adalah kata sandi yang masuk ke komputer saya, dan kata sandi yang membuka brankas 1Password saya - keduanya dicatat dalam brankas 1Password istri saya kalau-kalau ada sesuatu yang terjadi pada saya. Segala sesuatu yang lain hanya beberapa penekanan tombol saja.

Menggunakan pengelola kata sandi yang di-host berarti bahwa kata sandi Anda disimpan di suatu tempat di cloud, dan di suatu tempat di dekatnya (dalam kode yang membuat/mengedit/menggunakannya) adalah instruksi eksplisit tentang cara mendekripsi mereka. Jika situs dikompromikan, tidak akan sulit untuk mendapatkan akses ke ribuan akun.

Karenanya, saya mencurigai pengelola kata sandi online. Secara pribadi, saya menggunakan solusi yang saya buat untuk diri saya sendiri: Saya memiliki algoritma yang cukup sederhana untuk dijalankan di kepala saya, yang menghasilkan kata sandi aman (karakter huruf besar & kecil, angka, dan karakter khusus) berdasarkan nama domain dan nama pengguna yang saya pilih.

Selain itu, saya mencoba menggunakan oAuth dan OpenId sedapat mungkin, sehingga saya memiliki lebih sedikit kata sandi untuk diingat dan dapat lebih pasti bahwa situs-situs itu DO punya kata sandi saya (mis. Facebook, dan penyedia OpenId saya) benar-benar mengamankannya (garam + hash, dll).

Jika saya harus menggunakan utilitas penyimpanan kata sandi semacam itu, saya mungkin akan pergi dengan KeePass dan menyimpan file terenkripsi di Dropbox untuk menyinkronkan antar komputer.

1
Adam Tuttle

Ya, mereka semua diimplementasikan secara berbeda, ada yang lebih aman dan ada yang kurang.

Sebagai contoh, saya menggunakan Clipperz .

Cara Clipperz bekerja adalah mengenkripsi/mendekripsi gumpalan terenkripsi yang disimpan oleh server dalam javascript . Ini berarti bahwa jika gumpalan Anda menemukan jalan ke peretas jahat, mereka tidak akan dapat mendekripsi (jika Anda memutuskan kata sandi yang masuk akal)

Kode untuk itu adalah open source, sesuatu yang membuat saya lebih percaya diri karena saya bisa mengauditnya.

LastPass menggunakan pendekatan yang sama sehingga cukup aman.

Saya cenderung kurang menggunakan hal-hal seperti https://www.pwdhash.com/ karena itu berarti bahwa jika saya ingin mengubah kata sandi utama saya, saya perlu mengubahnya di semua situs. Juga, itu kurang aman seolah-olah orang tahu aturan yang saya gunakan untuk membangun kata sandi yang mereka dapat dengan kasar memaksa kata sandi master saya.

1
Sam Saffron