Yalnızca tarayıcı şifre yöneticilerinin güvenliği [kapalı]


12

KeePass gibi tüm şifreleri yerel makinedeki şifreli bir kapta saklayan şifre yöneticileri vardır . Parolalarımı da alabilmek için bu kapsayıcıyı diğer makinelere kopyalamam gerekir.

Sonra aslında KeePass gibi ama şifre kapsayıcı çevrimiçi saklamak şifre yöneticileri vardır.

Ve sonra, bir ana şifreye dayanarak, şu anda ziyaret edilen web sitesi için şifreyi yaratan algoritmik şifre üreteçleri vardır. Böyle çevrimiçi şifre yöneticileri için örnekler SupergenPass ve PwdHash . Yanımda taşımam gereken tek şey küçük bir yer imi (tarayıcılar arasında senkronize oluyor) ve kafamdaki ana şifre.

3. kategorideki çevrimiçi şifre yöneticilerini kullanırken güvenlik açısından avantajları ve dezavantajları nelerdir? Avantajları sağlarken bu dezavantajları ele alan bir çevrimiçi şifre yöneticisi var mı?

Yanıtlar:


5

Güvenlik düzgün uygulandığı sürece şahsen barındırılan yönetici biraz daha iyi gibi. Örneğin LastPass'i ele alalım (favorim), ana şifrenizin karma olmayan bir sürümünü saklamıyorlar, bu nedenle şifrelerinizi kasıtlı olarak kırmadan, site sahibi bile bilgilerinize erişemiyor. Bu elbette sadece güvenlik kaygılarının devreye girdiği üçüncü tarafa olan güveniniz kadar iyidir. Uzun lafın kısası, şifrenizin karma olmayan bir kopyasını tutmadıkları sürece, barındırılan şifre yöneticilerini kullanmanın bir sakıncası yok.


iyi, ama sorunun esasen ne olduğu bu değil. i sadece ilgilendiğim kategoriyi açıklamak için şifre yöneticilerinin diğer 2 kategoriden bahsetmiştim: hiç şifre saklamayın ama anında "oluşturmak".
akira

1

Hepsi farklı şekilde uygulanıyor, bazıları daha güvenli ve bazıları daha az.

Örneğin, Clipperz kullanıyorum .

Clipperz'ın çalışma şekli, sunucunun javascript'te sakladığı şifreli bir bloğu şifreler / şifresini çözer . Bu, blobunuz kötü bir hacker yolunu bulursa şifresini çözemeyeceği anlamına gelir (makul bir şifre seçtiyseniz)

Bunun kodu açık kaynaklı, beni biraz daha güven ile dolduran bir şey, çünkü denetleyebiliyorum.

LastPass aynı yaklaşımı kullanır, bu yüzden oldukça güvenlidir.

Ben https://www.pwdhash.com/ gibi şeyleri kullanmak daha az olasıdır çünkü ana şifremi değiştirmek istersem tüm sitelerde değiştirmek zorunda kalacağım anlamına gelir. Ayrıca, insanlar şifreyi oluşturmak için kullandığım kuralları biliyorlarsa, ana şifremi kaba zorlayabilirler.


bir sitenin şifresini değiştirmeye karar verirseniz, siteye siteden bahsetmeniz gerekir. bu tür barındırılan bir çözüm için ana şifrenizin güvenliği ihlal edilirse, her sitenin şifresini de değiştirmeniz gerekir.
akira

1

2018 güncellemesi

Bu cevabı yazdığımdan beri 8 yıl içinde çok şey öğrendim. Bir zamanlar güvenli bir şifre olduğunu düşündüğüm şey gerçekten o kadar güvenli değildi . Bugün "diceword" tarzı şifreleriyle 1Password kullanıyorum. Hala çevrimdışı ve aynı nedenlerle, ancak alan adına dayalı zihinsel algoritmamdan daha güvenli. Artık hatırlamam gereken tek şifre bilgisayarıma giriş yapmak ve 1Password kasamı açan şifredir - her ikisi de bir şey olması durumunda eşimin 1Password kasasında belirtilmiştir. Geri kalan her şey sadece birkaç tuşa yakın.

Barındırılan bir şifre yöneticisi kullanmak, şifrelerinizin bulutta bir yerde saklandığı ve buna yakın bir yerde (bunları oluşturan / düzenleyen / kullanan kodda) şifrelerin nasıl çözüleceğine ilişkin açık talimatlardır. Sitenin güvenliği ihlal edilirse, binlerce hesaba erişmek zor olmaz.

Bu nedenle, çevrimiçi şifre yöneticilerinin temkinliyim. Şahsen, kendim için oluşturduğum bir çözümü kullanıyorum: Kafamda çalışacak kadar basit, alan adına göre güvenli bir şifre (büyük ve küçük harfler, sayılar ve özel karakterler) üreten bir algoritmam var ve seçtiğim kullanıcı adı.

Buna ek olarak, ben hatırlamak az şifreleri olan ve daha emin olabilir böylece, mümkün olan her yerde OAuth ve OpenID kullanmayı deneyin siteler olduğunu DO şifremi (örn Facebook, ve benim OpenId sağlayıcı) düzgün güvence olan var (tuz + karma , vb).

Bir çeşit şifre saklama yardımcı programı kullanmak zorunda kalsaydım, muhtemelen KeePass'la gidip şifrelenmiş dosyayı bilgisayarlar arasında senkronize etmek için Dropbox'ta depolardım.


1
supergenpass ve hashpwd şifreleri hiç saklamaz. onlar "bir ana şifre, şu anda bulunduğunuz site ve boru md5 aracılığıyla boru jscript bir algoritma çalışıyor"
akira
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.