有像KeePass这样的密码管理器,它将所有密码存储在本地计算机上的加密容器中。我将不得不将该容器复制到其他计算机上,以便在那里也能拥有我的密码。
然后是本质上类似于KeePass的密码管理器,但是在线存储密码容器。
然后是算法密码生成器,它们基于主密码为运行中的当前访问的网站创建密码。此类在线密码管理器的示例是SupergenPass和PWDHash。我需要随身携带的是一个很小的小书签(可在浏览器之间同步)和主密码。
使用第三类在线密码管理器时,在安全方面有什么优点或缺点?是否有一个在线密码管理器可以解决这些缺点并提供优势?
Answers:
嗯,它们的实现方式有所不同,有些更安全,有些更少。
例如,我使用Clipperz。
Clipperz的工作方式是加密/解密服务器存储在javascript中的加密blob 。这意味着,如果您的Blob找到了一个邪恶的黑客,他们将无法解密(如果您确定了合理的密码)
它的代码是开源的,这使我充满了信心,因为我可以对其进行审核。
LastPass使用相同的方法,因此相当安全。
我不太可能使用https://www.pwdhash.com/之类的东西,因为这意味着如果我想更改主密码,则需要在所有站点上进行更改。同样,它的安全性也不高,好像人们知道我用来构建密码的规则,他们可以强行使用我的主密码一样。
2018更新
自最初编写此答案以来的8年中,我学到了很多东西。我曾经以为是安全密码的确并非如此安全。今天,我将1Password与“ diceword”样式生成的密码一起使用。出于相同的原因仍处于脱机状态,但是比基于域名的智能算法更安全。我只需要记住的唯一密码就是登录我的计算机的密码,以及打开我的1Password保险库的密码-万一我发生什么事情,我妻子的1Password保险库中都记录了这两个密码。其他一切仅需敲击几下键。
使用托管的密码管理器意味着您的密码存储在云中的某个地方,而该密码附近的某个地方(在创建/编辑/使用它们的代码中)明确说明了如何解密它们。如果该网站遭到入侵,那么访问数千个帐户将不难。
因此,我对在线密码管理器不屑一顾。我个人使用的解决方案是我自己准备的:我有一个简单易用的算法,可以根据域名生成安全密码(大写和小写字母,数字和特殊字符)和我选择的用户名。
此外,我尝试使用OAuth和OpenID尽可能让我少牢记密码,并且可以更可靠的网站,DO有我的密码(如Facebook和我的OpenID提供商)都正确地将其固定(盐+哈希等)。
如果必须使用某种密码存储实用程序,我可能会选择使用KeePass并将加密的文件存储在Dropbox中以在计算机之间进行同步。