ti-enxame.com

Segurança dos gerenciadores de senhas do navegador

Existem gerenciadores de senhas como KeePass que armazenam todas as senhas em um contêiner criptografado na máquina local. Eu precisaria copiar esse contêiner para outras máquinas para poder ter minhas senhas lá também.

Depois, existem gerenciadores de senhas que são essencialmente como o KeePass, mas armazenam o contêiner de senhas online.

E existem geradores de senha algorítmica que, com base em uma senha mestra, criam a senha para o site atualmente visitado em tempo real. Exemplos desses gerenciadores de senhas on-line são SupergenPass e PWDHash . Tudo o que eu preciso para carregar comigo é um pequeno bookmarklet (que é sincronizado nos navegadores) e a senha mestra na minha cabeça.

Quais são as vantagens ou desvantagens, em termos de segurança, ao usar os gerenciadores de senhas on-line da 3ª categoria? Existe um gerenciador de senhas on-line que lide com essas desvantagens e ofereça vantagens?

12
akira

Pessoalmente, gosto um pouco mais do gerente hospedado, desde que a segurança seja implementada corretamente. Tomemos o LastPass, por exemplo (o meu favorito), eles não armazenam uma versão sem hash da sua senha mestra, portanto, sem quebrar deliberadamente suas senhas, mesmo o host do site não pode acessar suas informações. Obviamente, isso é tão bom quanto a sua confiança em terceiros, que é onde as preocupações de segurança entram em jogo. Para encurtar a história, contanto que eles não mantenham uma cópia sem hash da sua senha, não me importo de usar os gerenciadores de senhas hospedados.

5
Brad Gardner

Atualização de 2018

Eu aprendi muito nos 8 anos desde que escrevi originalmente esta resposta. O que eu pensava antes era uma senha segura realmente não era tão segura . Hoje eu uso 1Password com senhas geradas no estilo "diceword". Ainda offline e pelos mesmos motivos, mas mais seguro que meu algoritmo mental com base no nome de domínio. As únicas senhas das quais preciso me lembrar mais são as que fazem login no meu computador e a que abre o cofre do 1Password - as quais são anotadas no cofre do 1Password da minha esposa, caso algo aconteça comigo. Tudo o resto está apenas a algumas teclas de distância.

Usar um gerenciador de senhas hospedado significa que suas senhas são armazenadas em algum lugar na nuvem e em algum lugar próximo a ele (no código que as cria/edita/as utiliza) há instruções explícitas sobre como descriptografá-las. Caso o site seja comprometido, não seria difícil obter acesso a milhares de contas.

Por esse motivo, desconfio de gerenciadores de senhas on-line. Pessoalmente, uso uma solução que inventei: tenho um algoritmo simples o suficiente para executar em minha mente, que gera uma senha segura (caracteres maiúsculos e minúsculos, números e caracteres especiais) com base no nome do domínio e meu nome de usuário escolhido.

Além disso, tento usar oAuth e OpenId sempre que possível, para que eu tenha menos senhas para lembrar e possa ter certeza de que os sites que FAZEM tem minha senha (por exemplo, Facebook e meu provedor OpenId) a protegendo adequadamente (salt + hash, etc).

Se eu tivesse que usar algum tipo de utilitário de armazenamento de senhas, provavelmente iria com o KeePass e armazenaria o arquivo criptografado no Dropbox para sincronizar entre computadores.

1
Adam Tuttle

Bem, todos eles são implementados de maneira diferente, alguns são mais seguros e outros menos.

Por exemplo, eu uso Clipperz .

A maneira como o Clipperz funciona é criptografar/descriptografar um blob criptografado que o servidor armazena em javascript . Isso significa que, se o seu blob encontrar o caminho de um hacker maligno, ele não será capaz de descriptografá-lo (se você tiver decidido uma senha razoável)

O código para ele é de código aberto, algo que me enche de confiança um pouco mais, porque eu posso auditá-lo.

LastPass usa a mesma abordagem, portanto é bastante segura.

Seria menos provável que eu usasse coisas como https://www.pwdhash.com/ porque isso significa que, se eu quiser alterar minha senha mestra, precisarei alterá-la em todos os sites. Além disso, é menos seguro como se as pessoas conhecessem as regras que eu uso para criar a senha, elas podem fazer força bruta forçando minha senha mestra.

1
Sam Saffron