Sicherheit nur für Browser-Passwort-Manager [geschlossen]

12

Es gibt Passwortmanager wie KeePass, die alle Passwörter in einem verschlüsselten Container auf dem lokalen Computer speichern. Ich müsste diesen Container auf andere Rechner kopieren, um dort auch meine Passwörter zu haben.

Dann gibt es Passwort-Manager, die im Wesentlichen KeePass ähneln, den Passwort-Container jedoch online speichern.

Und dann gibt es algorithmische Passwortgeneratoren, die basierend auf einem Master-Passwort das Passwort für die aktuell besuchte Website im laufenden Betrieb erstellen. Beispiele für solche Online-Passwortmanager sind SupergenPass und PWDHash . Alles, was ich mit mir herumtragen muss, ist ein winziges Lesezeichen (das zwischen den Browsern synchronisiert wird) und das Master-Passwort in meinem Kopf.

Was sind die Sicherheitsvorteile oder -nachteile beim Einsatz der Online-Passwortmanager der 3. Kategorie? Gibt es einen Online-Passwort-Manager, der diese Nachteile behebt und gleichzeitig die Vorteile bietet?

security passwords Akira
quelle

Antworten:

5

Ich persönlich mag den gehosteten Manager ein bisschen besser, solange die Sicherheit richtig implementiert ist. Nehmen Sie LastPass zum Beispiel (mein Favorit), sie speichern keine ungehashte Version Ihres Master-Passworts, so dass selbst der Site-Host nicht auf Ihre Informationen zugreifen kann, ohne Ihre Passwörter absichtlich zu knacken. Dies ist natürlich nur so gut wie Ihr Vertrauen in den Dritten, bei dem die Sicherheitsbedenken zum Tragen kommen. Kurz gesagt, es macht mir nichts aus, die gehosteten Passwortmanager zu verwenden, solange sie keine nicht gehashte Kopie Ihres Passworts aufbewahren.

Brad Gardner
quelle
gut, aber darum geht es in der Frage im Wesentlichen nicht. Ich erwähnte die anderen 2 Kategorien von Passwort-Managern, um nur die Kategorie zu erklären, die mich interessiert: Speichere das Passwort überhaupt nicht, sondern erstelle es im laufenden Betrieb.
Akira
1

Nun, sie sind alle unterschiedlich implementiert, einige sind sicherer und andere weniger.

Zum Beispiel benutze ich Clipperz .

Clipperz verschlüsselt / entschlüsselt einen verschlüsselten Blob, den der Server in Javascript speichert . Das bedeutet, wenn Ihr Blob den Weg zu einem bösen Hacker findet, kann er ihn nicht entschlüsseln (wenn Sie sich für ein vernünftiges Passwort entschieden haben).

Der Code dafür ist Open Source, etwas, das mich ein bisschen sicherer macht, weil ich es prüfen kann.

LastPass verwendet den gleichen Ansatz, so dass es ziemlich sicher ist.

Es ist weniger wahrscheinlich, dass ich Inhalte wie https://www.pwdhash.com/ verwende, da dies bedeutet, dass ich das Master-Passwort auf allen Websites ändern muss, wenn ich es ändern möchte. Es ist auch weniger sicher, als wenn Leute die Regeln kennen, die ich zum Erstellen des Passworts verwende. Sie können mein Master-Passwort brutal erzwingen.

Sam Saffron
quelle
Wenn Sie ein Kennwort für eine Site ändern möchten, müssen Sie der Site dies mitteilen. Wenn Ihr Hauptkennwort für eine solche gehostete Lösung gefährdet ist, müssen Sie das Kennwort auch für jede Site ändern.
Akira
1

Update 2018

Ich habe in den 8 Jahren, seit ich diese Antwort ursprünglich geschrieben habe, viel gelernt. Was ich einmal für ein sicheres Passwort hielt, war wirklich nicht so sicher . Heute benutze ich 1Password mit "diceword" -artigen Passwörtern. Immer noch offline und aus den gleichen Gründen, aber sicherer als mein mentaler Algorithmus basierend auf dem Domainnamen. Die einzigen Passwörter, die ich mir merken muss, sind die, mit denen ich mich an meinem Computer anmelde, und die, mit der ich meinen 1Password-Tresor öffne. Beide Passwörter werden im 1Password-Tresor meiner Frau vermerkt, falls mir etwas passieren sollte. Alles andere ist nur ein paar Tastenanschläge entfernt.

Die Verwendung eines gehosteten Passwort-Managers bedeutet, dass Ihre Passwörter irgendwo in der Cloud gespeichert sind und dass sich in der Nähe (in dem Code, der sie erstellt / bearbeitet / verwendet) explizite Anweisungen zum Entschlüsseln befinden. Sollte die Website kompromittiert werden, wäre es nicht schwer, Zugang zu Tausenden von Konten zu erhalten.

Aus diesem Grund bin ich misstrauisch gegenüber Online-Passwort-Managern. Persönlich verwende ich eine Lösung, die ich mir ausgedacht habe: Ich habe einen Algorithmus, der so einfach ist, dass er in meinem Kopf ausgeführt werden kann. Er generiert ein sicheres Passwort (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) basierend auf dem Domainnamen und mein gewählter Benutzername.

Darüber hinaus versuche ich oAuth und OpenId wo immer möglich zu verwenden, so dass ich weniger Passwörter zu merken und kann sicherere sein , dass die Websites , die DO Passwort hat (zB Facebook, und meine OpenID - Provider) ist es richtig Sicherung (Salz + Hash , etc).

Wenn ich musste ein Passwort - Speichersystem von einer Art verwenden, würde ich wahrscheinlich mit KeePass gehen und speichern Sie die verschlüsselte Datei in Dropbox Sync zwischen Computern.

Adam Tuttle
quelle
1
supergenpass und hashpwd speichern die Passwörter überhaupt nicht. sie werden als „einen Algorithmus in JScript basiert auf einem Master - Passwort ausgeführt wird , sind die Website , die Sie zur Zeit an und kochend , dass durch md5“
Akira