Keamanan hanya pengelola kata sandi browser [ditutup]

12

Ada pengelola kata sandi seperti KeePass yang menyimpan semua kata sandi dalam wadah terenkripsi di mesin lokal. Saya harus menyalin wadah ini ke mesin lain untuk dapat memiliki kata sandi saya di sana juga.

Lalu ada pengelola kata sandi yang pada dasarnya seperti KeePass tetapi menyimpan wadah kata sandi secara online.

Dan kemudian ada generator kata sandi algoritmik yang, berdasarkan kata sandi utama, membuat kata sandi untuk situs web yang saat ini dikunjungi dengan cepat. Contoh untuk manajer password online seperti yang SuperGenPass dan PWDHash . Yang perlu saya bawa adalah bookmarklet kecil (yang disinkronkan di browser) dan kata sandi utama di kepala saya.

Apa kelebihan atau kekurangannya, dari segi keamanan, ketika menggunakan pengelola kata sandi online dari kategori ke-3? Apakah ada pengelola kata sandi online yang mengatasi kelemahan ini sambil memberikan keuntungan?

akira
sumber

Jawaban:

5

Saya pribadi menyukai manajer yang dihosting sedikit lebih baik asalkan keamanan diterapkan dengan benar. Ambil LastPass sebagai contoh (favorit saya), mereka tidak menyimpan versi kata sandi master yang belum di-hash jadi tanpa sengaja memecahkan kata sandi Anda, bahkan host situs tidak dapat mengakses informasi Anda. Ini tentu saja hanya sebagus kepercayaan Anda terhadap pihak ketiga yang menjadi alasan keamanan. Singkatnya, selama mereka tidak menyimpan salinan kata sandi Anda yang belum di-hash, saya tidak keberatan menggunakan pengelola kata sandi yang di-host.

Brad Gardner
sumber
baik, tapi bukan itu pertanyaan dasarnya. saya menyebutkan 2 kategori lain dari kata sandi-manajer hanya untuk menjelaskan kategori yang saya minati: jangan menyimpan kata sandi sama sekali tetapi "buat" dengan cepat.
akira
1

Ya, mereka semua diimplementasikan secara berbeda, ada yang lebih aman dan ada yang kurang.

Sebagai contoh, saya menggunakan Clipperz .

Cara Clipperz bekerja adalah mengenkripsi / mendekripsi gumpalan terenkripsi yang disimpan server dalam javascript . Ini berarti bahwa jika gumpalan Anda menemukan jalan ke peretas jahat, mereka tidak akan dapat mendekripsi (jika Anda memutuskan kata sandi yang masuk akal)

Kode untuk itu adalah open source, sesuatu yang membuat saya lebih percaya diri karena saya bisa mengauditnya.

LastPass menggunakan pendekatan yang sama sehingga cukup aman.

Saya cenderung tidak akan menggunakan hal-hal seperti https://www.pwdhash.com/ karena itu berarti bahwa jika saya ingin mengubah kata sandi utama saya, saya perlu mengubahnya di semua situs. Juga, itu kurang aman seolah-olah orang tahu aturan yang saya gunakan untuk membangun kata sandi yang mereka dapat dengan kasar memaksa kata sandi master saya.

Sam Saffron
sumber
jika Anda memutuskan untuk mengubah kata sandi untuk suatu situs, Anda harus memberi tahu situs tersebut tentang hal itu. jika kata sandi utama Anda untuk solusi yang dihosting tersebut dikompromikan, Anda harus mengubah kata sandi untuk setiap situs juga.
akira
1

Pembaruan 2018

Saya telah belajar banyak dalam 8 tahun sejak saya awalnya menulis jawaban ini. Apa yang saya pikir adalah kata sandi aman sebenarnya tidak terlalu aman . Hari ini saya menggunakan 1Password dengan kata sandi "diceword" -style yang dihasilkan. Masih offline dan untuk alasan yang sama, tetapi lebih aman daripada algoritma mental saya berdasarkan nama domain. Satu-satunya kata sandi yang perlu saya ingat lagi adalah kata sandi yang masuk ke komputer saya, dan kata sandi yang membuka brankas 1Password saya - keduanya dicatat dalam brankas 1Password istri saya kalau-kalau ada sesuatu yang terjadi pada saya. Segala sesuatu yang lain hanya berjarak beberapa penekanan tombol saja.

Menggunakan manajer kata sandi yang di-host berarti bahwa kata sandi Anda disimpan di suatu tempat di cloud, dan di suatu tempat di dekatnya (dalam kode yang membuat / mengedit / menggunakannya) adalah instruksi eksplisit tentang cara mendekripsi mereka. Jika situs dikompromikan, tidak akan sulit untuk mendapatkan akses ke ribuan akun.

Untuk alasan itu, saya mencurigai pengelola kata sandi online. Secara pribadi, saya menggunakan solusi yang saya buat sendiri: Saya memiliki algoritma yang cukup sederhana untuk dijalankan di kepala saya, yang menghasilkan kata sandi aman (karakter huruf besar & kecil, angka, dan karakter khusus) berdasarkan nama domain dan nama pengguna yang saya pilih.

Selain itu, saya mencoba menggunakan oAuth dan OpenId sedapat mungkin, sehingga saya memiliki lebih sedikit kata sandi untuk diingat dan dapat lebih yakin bahwa situs-situs yang DO memiliki kata sandi saya (mis. Facebook, dan penyedia OpenId saya) dengan benar mengamankannya (garam + hash , dll).

Jika saya harus menggunakan semacam utilitas penyimpanan kata sandi, saya mungkin akan pergi dengan KeePass dan menyimpan file terenkripsi di Dropbox untuk menyinkronkan antar komputer.

Adam Tuttle
sumber
1
supergenpass dan hashpwd tidak menyimpan kata sandi sama sekali. mereka "menjalankan algoritme dalam jscript berdasarkan kata sandi utama, situs yang saat ini Anda gunakan dan mem-pipkannya melalui md5"
akira