브라우저 전용 비밀번호 관리자의 보안 [닫기]


12

로컬 컴퓨터의 암호화 된 컨테이너에 모든 비밀번호를 저장하는 KeePass 와 같은 비밀번호 관리자가 있습니다 . 암호를 가지고 있으려면이 컨테이너를 다른 컴퓨터에 복사해야합니다.

그런 다음 KeePass와 비슷하지만 암호 컨테이너를 온라인에 저장하는 암호 관리자가 있습니다.

그리고 마스터 암호를 기반으로 현재 방문한 웹 사이트의 암호를 즉석에서 생성하는 알고리즘 암호 생성기가 있습니다. 이러한 온라인 비밀번호 관리자의 예는 SupergenPassPWDHash 입니다. 내가 가지고 다니기에 필요한 것은 작은 북마크릿 (브라우저에서 동기화 됨)과 내 머리 속의 마스터 비밀번호입니다.

세 번째 범주의 온라인 암호 관리자를 사용할 때 보안 측면에서 장점 또는 단점은 무엇입니까? 장점을 제공하면서 이러한 단점을 해결하는 온라인 암호 관리자가 있습니까?

답변:


5

보안이 제대로 구현되는 한 호스팅 관리자를 개인적으로 좋아합니다. LastPass를 예로 들자면 (내가 가장 좋아하는), 해시되지 않은 마스터 비밀번호 버전을 저장하지 않으므로 의도적으로 비밀번호를 크랙하지 않고 사이트 호스트도 귀하의 정보에 액세스 할 수 없습니다. 이것은 물론 보안 문제가 발생하는 타사에 대한 귀하의 신뢰만큼이나 좋습니다. 간단히 말해, 해시되지 않은 비밀번호 사본을 보관하지 않는 한 호스팅 된 비밀번호 관리자를 사용하는 것은 중요하지 않습니다.


괜찮습니다. 그러나 그것은 본질적으로 질문에 관한 것이 아닙니다. 나는 내가 관심있는 카테고리를 설명하기 위해 다른 두 가지 비밀번호 관리자 카테고리를 언급했다. 비밀번호를 전혀 저장하지 말고 즉시 "생성"한다.
akira

1

글쎄, 모두 다르게 구현되어 일부는 더 안전하고 일부는 더 적습니다.

예를 들어 Clipperz를 사용 합니다 .

Clipperz가 작동하는 방식은 서버 가 javascript에 저장하는 암호화 된 Blob을 암호화 / 복호화하는 것 입니다. 이것은 당신의 블롭이 악의적 인 해커에게가는 길을 찾으면 그것을 해독 할 수 없다는 것을 의미합니다 (적절한 암호를 결정했다면)

그것에 대한 코드는 오픈 소스이며 감사 할 수있는 약간의 자신감으로 가득합니다.

LastPass 는 동일한 접근 방식을 사용하므로 상당히 안전합니다.

https://www.pwdhash.com/ 과 같은 것을 사용하지 않을 것이므로 마스터 비밀번호를 변경하려면 모든 사이트에서 비밀번호를 변경해야합니다. 또한 사람들이 암호를 작성하는 데 사용하는 규칙을 알고있는 것처럼 보안이 떨어 지므로 마스터 암호를 무력화 할 수 있습니다.


사이트의 비밀번호를 변경하기로 결정한 경우 사이트에 비밀번호를 알려 주어야합니다. 이러한 호스팅 된 솔루션의 마스터 비밀번호가 손상된 경우 모든 사이트의 비밀번호도 변경해야합니다.
akira

1

2018 업데이트

이 답변을 처음 작성한 이후 8 년 동안 많은 것을 배웠습니다. 내가 한때 안전한 암호라고 생각한 것은 실제로 그렇게 안전한 것은 아닙니다 . 오늘은 "diceword"스타일로 생성 된 비밀번호와 함께 1Password를 사용합니다. 여전히 오프라인 상태와 같은 이유로 도메인 이름을 기반으로 한 내 정신 알고리즘보다 안전합니다. 더 이상 기억해야 할 유일한 암호는 내 컴퓨터에 로그인하는 암호와 내 1Password 저장소를 여는 암호입니다. 두 암호는 모두 아내의 1Password 저장소에 기록되어 있습니다. 다른 모든 것들은 몇 번의 키 입력만으로 가능합니다.

호스팅 된 비밀번호 관리자를 사용한다는 것은 비밀번호가 클라우드 어딘가에 저장되어 있고 그 근처에 (암호를 생성 / 편집 / 사용하는 코드에서) 비밀번호를 해독하는 방법에 대한 명시적인 지침임을 의미합니다. 사이트가 손상되면 수천 개의 계정에 액세스하기가 어렵지 않습니다.

이런 이유로 저는 온라인 비밀번호 관리자에 대해 열심입니다. 개인적으로, 나는 나 자신을 위해 만든 솔루션을 사용합니다. 헤드에서 실행하기에 충분히 간단한 알고리즘을 사용하여 도메인 이름을 기반으로 안전한 암호 (대문자 및 소문자, 숫자 및 특수 문자)를 생성합니다 그리고 내가 선택한 사용자 이름.

또한 가능한 한 oAuth 및 OpenId를 사용하려고 시도하므로 기억해야 할 암호가 적고 암호가있는 DO (예 : Facebook 및 OpenId 공급자) 사이트에서 암호를 올바르게 보호하고 있는지 확인할 수 있습니다 (Salt + 해시) 등).

어떤 종류의 암호 저장 유틸리티 사용해야 한다면 KeePass와 함께 암호화 된 파일을 Dropbox에 저장하여 컴퓨터간에 동기화 할 수 있습니다.


1
supergenpass 및 hashpwd는 암호를 전혀 저장하지 않습니다. 그들은 "마스터 비밀번호를 기반으로 jscript에서 알고리즘을 실행하고 있습니다. 현재 사이트와 md5를 통해 파이핑"
akira
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.