ローカルマシンの暗号化されたコンテナにすべてのパスワードを保存するKeePassのようなパスワードマネージャーがあります。このコンテナを他のマシンにコピーして、そこに自分のパスワードを持たせる必要があります。
次に、本質的にKeePassに似ているが、パスワードコンテナーをオンラインで保存するパスワードマネージャーがあります。
そして、マスターパスワードに基づいて、現在アクセスしているWebサイトのパスワードをその場で作成するアルゴリズムパスワードジェネレーターがあります。このようなオンラインパスワードマネージャーの例は、SupergenPassおよびPWDHashです。私が持ち歩く必要があるのは、小さなブックマークレット(ブラウザ間で同期される)と頭の中のマスターパスワードだけです。
3番目のカテゴリのオンラインパスワードマネージャーを使用する場合のセキュリティ上の利点と欠点は何ですか?これらの欠点に対処しながら利点を提供するオンラインパスワードマネージャーはありますか?
回答:
個人的には、セキュリティが適切に実装されている限り、ホストされたマネージャーが少し好きです。たとえば、LastPass(お気に入り)を使用すると、ハッシュされていないバージョンのマスターパスワードは保存されないため、意図的にパスワードを解読することなく、サイトのホストでさえ情報にアクセスできません。これはもちろん、セキュリティ上の懸念が生じるサードパーティへの信頼と同じくらい良いことです。簡単に言えば、パスワードのハッシュ化されていないコピーを保持しない限り、ホストされているパスワードマネージャーを使用してもかまいません。
まあ、それらはすべて異なる方法で実装されており、一部はより安全で、一部はより安全ではありません。
Clipperzの仕組みは、サーバーがjavascriptに保存する暗号化されたblobを暗号化/復号化することです。これは、ブロブが悪意のあるハッカーに到達した場合、それを解読できないことを意味します(妥当なパスワードを決定した場合)
そのコードはオープンソースであり、監査できるのでもう少し自信が持てます。
LastPassは同じアプローチを使用しているため、かなり安全です。
https://www.pwdhash.com/のようなものを使用する可能性は低くなります。これは、マスターパスワードを変更する場合、すべてのサイトで変更する必要があることを意味します。また、パスワードを作成するために使用するルールを人々が知っている場合、マスターパスワードをブルートフォースできるため、安全性が低下します。
2018アップデート
もともとこの答えを書いてから8年で多くのことを学びました。かつて私が安全なパスワードだと思っていたのは、それほど安全ではありませんでした。今日、私は「パスワード」スタイルの生成されたパスワードで1Passwordを使用します。同じ理由でオフラインのままですが、ドメイン名に基づいた私のメンタルアルゴリズムよりも安全です。これ以上覚えておく必要があるパスワードは、コンピューターにログインするためのパスワードと、1Passwordボールトを開くためのパスワードだけです。どちらも、何かが起こった場合に備えて妻の1Passwordボールトに記録されています。他のすべては、ほんの数回のキーストロークです。
ホスト型パスワードマネージャーを使用するということは、パスワードがクラウドのどこかに保存され、その近く(パスワードを作成/編集/使用するコード内)に暗号化解除方法の明示的な指示があることを意味します。サイトが危険にさらされても、何千ものアカウントにアクセスするのは難しくありません。
そのため、私はオンラインパスワードマネージャーに不満を感じています。個人的には、自分で作成したソリューションを使用しています。頭の中で実行するのに十分簡単なアルゴリズムがあり、ドメイン名に基づいて安全なパスワード(大文字と小文字、数字、特殊文字)を生成しますと私の選択したユーザー名。
また、私が覚えている少数のパスワードを持っていることをサイトことをより確実にできるようにすることを、可能な限りのOAuthとOpenIDのを使用しようとDOは塩+ハッシュ((例えばFacebookを利用して、そして私のOpenIDプロバイダ)私のパスワードを持っているが、それを適切に確保されていますなど)。
何らかのパスワードストレージユーティリティを使用する必要がある場合は、おそらくKeePassを使用して、暗号化されたファイルをDropboxに保存してコンピューター間で同期します。