브라우저 전용 비밀번호 관리자의 보안
KeePass 와 같은 암호 관리자는 로컬 컴퓨터의 암호화 된 컨테이너에 모든 암호를 저장합니다. 암호를 가지고 있으려면이 컨테이너를 다른 컴퓨터에 복사해야합니다.
그런 다음 KeePass와 비슷하지만 암호 컨테이너를 온라인에 저장하는 암호 관리자가 있습니다.
그리고 마스터 암호를 기반으로 현재 방문한 웹 사이트의 암호를 즉석에서 생성하는 알고리즘 암호 생성기가 있습니다. 이러한 온라인 암호 관리자의 예는 SupergenPass 및 PWDHash 입니다. 내가 가지고 다니는 것은 작은 북마크릿 (브라우저에서 동기화 됨)과 내 머리 속의 마스터 비밀번호입니다.
세 번째 범주의 온라인 암호 관리자를 사용할 때 보안 측면에서 장점 또는 단점은 무엇입니까? 장점을 제공하면서 이러한 단점을 해결하는 온라인 암호 관리자가 있습니까?
보안이 제대로 구현되는 한 호스팅 관리자를 개인적으로 좋아합니다. LastPass를 예로 들자면 (내가 가장 좋아하는), 해시되지 않은 마스터 비밀번호 버전을 저장하지 않으므로 의도적으로 비밀번호를 크랙하지 않고 사이트 호스트가 귀하의 정보에 액세스 할 수 없습니다. 이것은 물론 보안 문제가 발생하는 타사에 대한 귀하의 신뢰만큼이나 좋습니다. 간단히 말해, 해시되지 않은 비밀번호 사본을 보관하지 않는 한 호스팅 된 비밀번호 관리자를 사용하는 것은 중요하지 않습니다.
2018 업데이트
나는 원래이 답변을 쓴 이후 8 년 동안 많은 것을 배웠다. 한때 생각한 것은 안전한 암호입니다 실제로 그다지 안전하지는 않았습니다 . 오늘은 "diceword"스타일로 생성 된 비밀번호와 함께 1Password를 사용합니다. 여전히 오프라인 상태와 동일한 이유로 도메인 이름을 기반으로 한 내 정신 알고리즘보다 안전합니다. 내가 더 이상 기억해야 할 유일한 암호는 내 컴퓨터에 로그인하는 암호와 내 1Password 저장소를 여는 암호입니다. 두 암호는 모두 아내의 1Password 저장소에 기록되어 있습니다. 다른 모든 것들은 몇 번의 키 입력만으로 가능합니다.
호스팅 된 암호 관리자를 사용한다는 것은 암호가 클라우드 어딘가에 저장되어 있고 암호 근처에있는 암호 (생성/편집/사용 코드)는 암호 해독 방법에 대한 명시적인 지침입니다. 사이트가 손상되면 수천 개의 계정에 액세스하기가 어렵지 않습니다.
이런 이유로 저는 온라인 비밀번호 관리자에 대해 열심입니다. 개인적으로, 나는 나 자신을 위해 만든 솔루션을 사용합니다. 헤드에서 실행하기에 충분히 간단한 알고리즘을 사용하여 도메인 이름을 기반으로 안전한 암호 (대문자 및 소문자, 숫자 및 특수 문자)를 생성합니다 그리고 내가 선택한 사용자 이름.
또한 가능한 한 oAuth 및 OpenId를 사용하려고 시도하므로 기억해야 할 암호가 적고 할 사이트가 내 비밀번호 (예 : Facebook 및 OpenId 제공자)가 비밀번호를 올바르게 보호하고 있습니다 (소금 + 해시 등).
만약 had to 일종의 암호 저장 유틸리티를 사용한다면, 아마도 KeePass와 함께 암호화 된 파일을 Dropbox에 저장하여 컴퓨터간에 동기화 할 것입니다.
글쎄, 모두 다르게 구현되어 일부는 더 안전하고 일부는 더 적습니다.
예를 들어 Clipperz 를 사용합니다.
Clipperz가 작동하는 방식은 서버가 javascript를 저장하는 암호화 된 Blob을 암호화/복호화하는 것입니다. 이것은 당신의 블롭이 악의적 인 해커에게가는 길을 찾으면 그것을 해독 할 수 없다는 것을 의미합니다 (적절한 암호를 결정했다면)
그것에 대한 코드는 오픈 소스이며 감사 할 수있는 약간의 자신감으로 가득합니다.
LastPass 동일한 접근 방식을 사용하므로 상당히 안전합니다.
https://www.pwdhash.com/ 과 같은 것을 사용하지 않을 것입니다. 왜냐하면 마스터 비밀번호를 변경하려면 모든 사이트에서 변경해야한다는 것을 의미합니다. 또한 사람들이 암호를 만드는 데 사용하는 규칙을 알고있는 것처럼 보안이 떨어 지므로 마스터 암호를 무력화 할 수 있습니다.