Ada pengelola kata sandi seperti KeePass yang menyimpan semua kata sandi dalam wadah terenkripsi di mesin lokal. Saya harus menyalin wadah ini ke mesin lain untuk dapat memiliki kata sandi saya di sana juga.
Lalu ada pengelola kata sandi yang pada dasarnya seperti KeePass tetapi menyimpan wadah kata sandi secara online.
Dan kemudian ada generator kata sandi algoritmik yang, berdasarkan kata sandi utama, membuat kata sandi untuk situs web yang saat ini dikunjungi dengan cepat. Contoh untuk manajer password online seperti yang SuperGenPass dan PWDHash . Yang perlu saya bawa adalah bookmarklet kecil (yang disinkronkan di browser) dan kata sandi utama di kepala saya.
Apa kelebihan atau kekurangannya, dari segi keamanan, ketika menggunakan pengelola kata sandi online dari kategori ke-3? Apakah ada pengelola kata sandi online yang mengatasi kelemahan ini sambil memberikan keuntungan?
Ya, mereka semua diimplementasikan secara berbeda, ada yang lebih aman dan ada yang kurang.
Sebagai contoh, saya menggunakan Clipperz .
Cara Clipperz bekerja adalah mengenkripsi / mendekripsi gumpalan terenkripsi yang disimpan server dalam javascript . Ini berarti bahwa jika gumpalan Anda menemukan jalan ke peretas jahat, mereka tidak akan dapat mendekripsi (jika Anda memutuskan kata sandi yang masuk akal)
Kode untuk itu adalah open source, sesuatu yang membuat saya lebih percaya diri karena saya bisa mengauditnya.
LastPass menggunakan pendekatan yang sama sehingga cukup aman.
Saya cenderung tidak akan menggunakan hal-hal seperti https://www.pwdhash.com/ karena itu berarti bahwa jika saya ingin mengubah kata sandi utama saya, saya perlu mengubahnya di semua situs. Juga, itu kurang aman seolah-olah orang tahu aturan yang saya gunakan untuk membangun kata sandi yang mereka dapat dengan kasar memaksa kata sandi master saya.
sumber
Menggunakan manajer kata sandi yang di-host berarti bahwa kata sandi Anda disimpan di suatu tempat di cloud, dan di suatu tempat di dekatnya (dalam kode yang membuat / mengedit / menggunakannya) adalah instruksi eksplisit tentang cara mendekripsi mereka. Jika situs dikompromikan, tidak akan sulit untuk mendapatkan akses ke ribuan akun.
Untuk alasan itu, saya mencurigai pengelola kata sandi online. Secara pribadi, saya menggunakan solusi yang saya buat sendiri: Saya memiliki algoritma yang cukup sederhana untuk dijalankan di kepala saya, yang menghasilkan kata sandi aman (karakter huruf besar & kecil, angka, dan karakter khusus) berdasarkan nama domain dan nama pengguna yang saya pilih.
Selain itu, saya mencoba menggunakan oAuth dan OpenId sedapat mungkin, sehingga saya memiliki lebih sedikit kata sandi untuk diingat dan dapat lebih yakin bahwa situs-situs yang DO memiliki kata sandi saya (mis. Facebook, dan penyedia OpenId saya) dengan benar mengamankannya (garam + hash , dll).
Jika saya harus menggunakan semacam utilitas penyimpanan kata sandi, saya mungkin akan pergi dengan KeePass dan menyimpan file terenkripsi di Dropbox untuk menyinkronkan antar komputer.
sumber