ステートレスパスワードジェネレーターの短所は何ですか？

ここでは、あまり言及されない2つの問題を示します。

• ウェブサイトを決定することは難しいです。 a.github.ioとb.github.ioに異なるパスワードを使用したいが、Microsoft.comとlive.com、またはwikipedia.orgとwikimedia.orgには同じパスワードが必要な場合。
• 何かを変更するとパスワードが破られます。パスワードマネージャーをリリースして他のユーザーが使用し始めると、パスワードマネージャーを変更したり、ユーザーがログインできなくなったりします。ドメインの所有権が変わっても、ドメインの処理方法は同じでなければなりません。アルゴリズムに脆弱性が発見された場合でも、パスワードのハッシュ方法は同じでなければなりません。

これについても 私のブログ投稿 を参照してください。

1。パスワードマネージャは追加オプションを提供します

ステートレスパスワードマネージャーとパスワードマネージャーの主な違いは、パスワードマネージャーが次のような追加データを保存できることです。

• セキュリティの質問
• クレジット/デビットカード番号
• IDカード番号
• 暗号化キー
• WiFiパスワード
• APIキーなど...

2。既存のパスワードには対応できません

パスワードマネージャは、既存のパスワードに対応できます。ただし、ステートレスパスワードマネージャーでは、既存のすべてのサイトのパスワードを変更する必要があります。

パスワードの変更が許可されていないアカウントのパスワードを保存する場合、これは非常に重要です。これは、共有オフィスのメールボックス、サーバーパスワードなどにすることができます。

。確定的なパスワードジェネレーターは、さまざまなパスワードポリシーに対応できません。

一部のサイトではパスワードに必須の記号が必要ですが、一部のサイトではパスワードに記号を使用できません。 Paybackのような一部のWebサイトは、数字のPINのみをサポートしています。

ユーザーは、生成されたパスワードを微調整するか、設定を変更する必要があります。どちらの場合も、Tweakまたは設定をメモリに保持する必要がありますが、これは適切ではありません。

すでに述べたものに加えて、もう1つの問題はマスターパスワードを変更できないです。新しいマスターパスワードに切り替えるには、ジェネレーターを使用したすべてのWebサイトでパスワードを変更する必要があります。

問題は、それほど意味のあるセキュリティが追加されないことです。

パスワードを直接使用する代わりに、パスワードの代わりに一般に公開されている関数を使用します。彼らのウェブサイトの例をデモに使用してみましょう：

ログイン：andromeda
ウェブサイト：milkyway.com
秘密のキーワード：2,52m light years away

パスワードを生成：3q_q(MFWaMGeao+[CX

あなたは3q_q(MFWaMGeao+[CXがあなたのパスワードだと言うかもしれませんが、それは本当に違います。それは実際には2,52m light years awayであり、それほどエントロピーではありません。 2,52m light years awayを使用するよりも良いですか？はい、しかしそれほどではありません。

代わりに、オフラインパスワードマネージャーを使用して、実際にはランダムなパスワードを生成します。それはあなたの側で同じくらいの仕事についてであり、あなたにはるかに本当のセキュリティを与えます。

私が明示的に言及していないもう1つ（既存のすべての回答を書いている時点でも、良い点があります）：

攻撃者が生成されたパスワードの1つを入手すると、マスターパスワードを解読してallアカウントにアクセスできるようになります。

取得は比較的簡単ですone価値の低いパスワード、フィッシング、プレーンテキストのパスワードリーク（Googleでさえもその影響を受けないようです）、公共のコンピューターでのキーロギング、httpsを使用していないサイトでのWiFiのオープンなど、など。パスワードマネージャーを使用する全体のポイントは、1つのサイトのセキュリティが悪いと、他のサイトでの攻撃に有利にならないということです。

確かに、十分に強力なマスターパスワードは、これが問題になるのを防ぐことができます。しかし、「従来の」パスワードマネージャには、この攻撃ベクトルはまったくありません。