ブラウザーのみのパスワードマネージャーのセキュリティ
KeePass のようなパスワードマネージャーがあり、ローカルマシンの暗号化されたコンテナーにすべてのパスワードを保存します。このコンテナを他のマシンにコピーして、そこに自分のパスワードを持たせる必要があります。
次に、本質的にKeePassに似ているが、パスワードコンテナーをオンラインで保存するパスワードマネージャーがあります。
そして、マスターパスワードに基づいて、現在アクセスしているWebサイトのパスワードをその場で作成するアルゴリズムパスワードジェネレーターがあります。このようなオンラインパスワードマネージャーの例は、 SupergenPass および PWDHash です。私が持ち歩く必要があるのは、小さなブックマークレット(ブラウザ間で同期される)と頭の中のマスターパスワードだけです。
3番目のカテゴリのオンラインパスワードマネージャーを使用する場合のセキュリティ上の利点または欠点は何ですか?利点を提供しながらこれらの欠点に対処するオンラインパスワードマネージャーはありますか?
個人的には、セキュリティが適切に実装されている限り、ホストされたマネージャーが少し好きです。たとえば、LastPass(お気に入り)を使用すると、ハッシュされていないバージョンのマスターパスワードは保存されないため、意図的にパスワードを解読することなく、サイトHostでも情報にアクセスできません。これはもちろん、セキュリティの問題が発生するサードパーティに対するあなたの信頼と同じくらい良好です。簡単に言えば、パスワードのハッシュ化されていないコピーを保持しない限り、ホストされたパスワードマネージャーを使用してもかまいません。
2018アップデート
もともとこの答えを書いてから8年で多くのことを学びました。私がかつて安全なパスワードだと思っていたのは 実際にはそれほど安全ではなかった 。今日、私は「パスワード」スタイルの生成されたパスワードで1Passwordを使用しています。同じ理由でオフラインのままですが、ドメイン名に基づいた私のメンタルアルゴリズムよりも安全です。これ以上覚えておく必要があるパスワードは、コンピューターにログインするためのパスワードと、1Passwordボールトを開くためのパスワードだけです。どちらも、私に何かが起こった場合に備えて妻の1Passwordボールトに記録されています。他のすべては、わずか数回のキーストロークです。
ホスト型パスワードマネージャーを使用するということは、パスワードがクラウドのどこかに保存され、その近く(パスワードを作成/編集/使用するコード内)に暗号化解除方法の明示的な指示があることを意味します。サイトが危険にさらされても、何千ものアカウントにアクセスするのは難しくありません。
そのため、私はオンラインパスワードマネージャーに不満を感じています。個人的には、自分で作成したソリューションを使用します。頭の中で実行するのに十分簡単なアルゴリズムがあり、ドメイン名に基づいて安全なパスワード(大文字と小文字、数字、特殊文字)を生成しますと私の選択したユーザー名。
さらに、可能な限りoAuthとOpenIdを使用して、覚えるパスワードを減らし、DOのサイトにパスワードがあることを確認します(例: Facebookと私のOpenIdプロバイダー)は適切に保護しています(塩+ハッシュなど)。
私が何らかののパスワードストレージユーティリティを使用していた場合、おそらくKeePassを使用して暗号化されたファイルをDropboxに保存し、コンピューター間で同期します。
まあ、それらはすべて異なる方法で実装されており、一部はより安全で、一部はより安全ではありません。
たとえば、 Clipperz を使用します。
Clipperzの仕組みは、サーバーが保存する暗号化されたblobを暗号化/復号化することですin javascript。これは、ブロブが悪意のあるハッカーへの道を見つけた場合、それを解読できないことを意味します(妥当なパスワードを決定した場合)
そのコードはオープンソースであり、監査できるもう少し自信に満ちたものです。
LastPass は同じアプローチを使用するため、かなり安全です。
https://www.pwdhash.com/ のようなものを使用する可能性は低くなります。これは、マスターパスワードを変更する場合、すべてのサイトで変更する必要があることを意味します。また、パスワードを作成するために使用するルールを人々が知っている場合、マスターパスワードをブルートフォースできるため、安全性が低下します。