Sicurezza dei gestori password solo browser [chiuso]

Esistono gestori di password come KeePass che memorizzano tutte le password in un contenitore crittografato sul computer locale. Dovrei copiare questo contenitore su altre macchine per poter avere anche le mie password lì.

Quindi ci sono gestori di password che sono essenzialmente come KeePass ma memorizzano il contenitore delle password online.

E poi ci sono generatori di password algoritmiche che, sulla base di una password principale, creano al volo la password per il sito Web attualmente visitato. Esempi di tali gestori di password online sono SupergenPass e PWDHash . Tutto quello che devo portare con me è un piccolo bookmarklet (che viene sincronizzato tra i browser) e la password principale nella mia testa.

Quali sono i vantaggi o gli svantaggi, in termini di sicurezza, quando si utilizzano i gestori di password online di 3a categoria? Esiste un gestore di password online che affronta questi inconvenienti fornendo al contempo i vantaggi?

Personalmente mi piace un po 'meglio il gestore ospitato, purché la sicurezza sia implementata correttamente. Prendi ad esempio LastPass (il mio preferito), non memorizzano una versione senza hash della tua password principale, quindi senza decifrare deliberatamente le tue password, anche l'host del sito non può accedere alle tue informazioni. Questo è ovviamente solo buono come la tua fiducia nella terza parte che è dove entrano in gioco i problemi di sicurezza. Per farla breve, fintanto che non mantengono una copia senza hash della tua password, non mi dispiace usare i gestori di password ospitati.

Bene, sono tutti implementati in modo diverso, alcuni sono più sicuri e altri meno.

Ad esempio, utilizzo Clipperz .

Il modo in cui Clipperz funziona è che crittografa / decodifica un BLOB crittografato che il server archivia in JavaScript . Ciò significa che se il tuo blob trova la sua strada verso un hacker malvagio non sarà in grado di decrittografarlo (se hai deciso una password ragionevole)

Il codice è open source, qualcosa che mi riempie di un po 'più di confidenza perché posso verificarlo.

LastPass utilizza lo stesso approccio, quindi è abbastanza sicuro.

Avrei meno probabilità di usare cose come https://www.pwdhash.com/ perché significa che se voglio cambiare la mia password principale dovrò cambiarla su tutti i siti. Inoltre, è meno sicuro, come se le persone conoscessero le regole che utilizzo per creare la password, potrebbero forzare la mia password principale.

Aggiornamento 2018

Ho imparato molto negli 8 anni da quando ho scritto questa risposta. Quello che una volta pensavo fosse una password sicura non era poi così sicuro . Oggi uso 1Password con password generate in stile "diceword". Ancora offline e per gli stessi motivi, ma più sicuro del mio algoritmo mentale basato sul nome di dominio. Le uniche password che devo ricordare ancora sono quelle per accedere al mio computer e quella che apre il mio caveau 1Password, entrambi annotati nel caveau 1Password di mia moglie nel caso in cui dovesse succedere qualcosa. Tutto il resto è solo a pochi tasti di distanza.

L'uso di un gestore di password ospitato significa che le tue password sono archiviate da qualche parte nel cloud, e da qualche parte nelle vicinanze (nel codice che le crea / le modifica / le utilizza) sono istruzioni esplicite su come decrittografarle. Se il sito dovesse essere compromesso, non sarebbe difficile ottenere l'accesso a migliaia di account.

Per questo motivo, sono diffidente nei confronti dei gestori di password online. Personalmente, utilizzo una soluzione che ho inventato per me stesso: ho un algoritmo abbastanza semplice da eseguire nella mia testa, che genera una password sicura (caratteri maiuscoli e minuscoli, numeri e caratteri speciali) in base al nome del dominio e il mio nome utente scelto.

Inoltre, cerco di utilizzare OAuth e OpenID per quanto possibile, in modo da avere un minor numero di password da ricordare e può essere più sicuro che i siti che DO hanno la mia password (ad esempio Facebook, e il mio provider OpenID) sono adeguatamente fissandolo (sale + cancelletto , eccetera).

Se ho dovuto utilizzare un programma di utilità di qualche tipo di memorizzazione delle password, probabilmente andare con KeePass e memorizzare il file crittografato in Dropbox per la sincronizzazione tra computer.