it-swarm.it

Sicurezza dei gestori password solo browser

Esistono gestori di password come KeePass che memorizzano tutte le password in un contenitore crittografato sul computer locale. Dovrei copiare questo contenitore su altre macchine per poter avere anche le mie password lì.

Quindi ci sono gestori di password che sono essenzialmente come KeePass ma memorizzano il contenitore delle password online.

E poi ci sono generatori di password algoritmiche che, sulla base di una password principale, creano al volo la password per il sito Web attualmente visitato. Esempi di tali gestori di password online sono SupergenPass e PWDHash . Tutto quello che devo portare con me è un piccolo bookmarklet (che viene sincronizzato tra i browser) e la password principale nella mia testa.

Quali sono i vantaggi o gli svantaggi, in termini di sicurezza, quando si utilizzano i gestori di password online di 3a categoria? Esiste un gestore di password online che affronta questi inconvenienti fornendo al contempo i vantaggi?

12
akira

Personalmente mi piace un po 'meglio il gestore ospitato, purché la sicurezza sia implementata correttamente. Prendi ad esempio LastPass (il mio preferito), non memorizzano una versione senza hash della tua password principale, quindi senza decifrare deliberatamente le tue password, anche il sito Host non può accedere alle tue informazioni. Questo è ovviamente solo buono come la tua fiducia nella terza parte che è dove entrano in gioco i problemi di sicurezza. Per farla breve, fintanto che non mantengono una copia senza hash della tua password, non mi dispiace usare i gestori di password ospitati.

5
Brad Gardner

Aggiornamento 2018

Ho imparato molto negli 8 anni da quando ho scritto questa risposta. Quello che una volta pensavo fosse una password sicura davvero non era poi così sicuro . Oggi uso 1Password con password generate in stile "diceword". Ancora offline e per gli stessi motivi, ma più sicuro del mio algoritmo mentale basato sul nome di dominio. Le uniche password che devo ricordare ancora sono quelle per accedere al mio computer e quella che apre il mio caveau 1Password - entrambi sono annotati nel caveau 1Password di mia moglie nel caso in cui dovesse succedere qualcosa. Tutto il resto è solo a pochi tasti di distanza.

L'uso di un gestore di password ospitato significa che le tue password sono archiviate da qualche parte nel cloud, e da qualche parte nelle vicinanze (nel codice che le crea/le modifica/le utilizza) sono istruzioni esplicite su come decrittografarle. Se il sito dovesse essere compromesso, non sarebbe difficile ottenere l'accesso a migliaia di account.

Per questo motivo, sono diffidente nei confronti dei gestori di password online. Personalmente, utilizzo una soluzione che ho inventato per me stesso: ho un algoritmo abbastanza semplice da eseguire nella mia testa, che genera una password sicura (caratteri maiuscoli e minuscoli, numeri e caratteri speciali) in base al nome del dominio e il mio nome utente scelto.

Inoltre, provo a utilizzare oAuth e OpenId ove possibile, in modo da avere meno password da ricordare e poter essere più sicuro dei siti che FANNO hanno la mia password (ad esempio Facebook e il mio provider OpenId) che la proteggono correttamente (salt + hash, ecc.).

Se io dovessi usare una utility di archiviazione password di qualche tipo, probabilmente andrei con KeePass e memorizzerei il file crittografato in Dropbox per la sincronizzazione tra computer.

1
Adam Tuttle

Bene, sono tutti implementati in modo diverso, alcuni sono più sicuri e altri meno.

Ad esempio, io uso Clipperz .

Il modo in cui Clipperz funziona è che crittografa/decodifica un BLOB crittografato che il server memorizza in javascript . Ciò significa che se il tuo blob trova la sua strada verso un hacker malvagio non sarà in grado di decrittografarlo (se hai deciso una password ragionevole)

Il codice è open source, qualcosa che mi riempie di un po 'più di confidenza perché posso verificarlo.

LastPass usa lo stesso approccio, quindi è abbastanza sicuro.

Avrei meno probabilità di usare cose come https://www.pwdhash.com/ perché significa che se voglio cambiare la mia password principale dovrò cambiarla su tutti i siti. Inoltre, è meno sicuro, come se le persone conoscessero le regole che utilizzo per creare la password, potrebbero forzare la mia password principale.

1
Sam Saffron