Il metodo di generazione password MasterPasswords è buono? [duplicare]

Naviga le tue risposte
3

Ho appena scoperto il progetto open source MasterPassword . Genera una password per sito in base a nome, password principale, sito e contatore. Quindi è necessario conoscere il tuo nome e la password principale per ottenere l'accesso.

Mi piace l'idea alla base di questo progetto. Sulla base di questa domanda , ritengo che ciò migliorerebbe la sicurezza, perché c'è assolutamente nessun dato memorizzato nel cloud.

Mi sbaglio? Cosa parla contro di esso?

    
posta ReeCube 23.02.2018 - 09:01
fonte

3 risposte

6

Queste soluzioni password "senza stato" hanno tutte la stessa struttura generale:

  1. C'è una password principale che memorizzi e inserisci nel programma quando è necessario utilizzarlo.
  2. Il programma deriva una chiave crittografica master dalla tua password principale.
  3. Il programma ti richiede alcuni set di metadati del sito e dell'account che descrivono ciascun sito o servizio che utilizzi.
  4. Usando la chiave master e i metadati, il programma utilizza una funzione pseudocasuale per generare una password del sito in un modo sia pseudocasuale sia ripetibile.

Il problema con questi programmi è che si pubblicizzano falsamente come più sicuri dei semplici vecchi gestori di password crittografati come KeePass, 1Password o LastPass. In questo caso, la pagina del programma che chiedi dice questo:

Master Password is not a password manager. It does not store your website passwords. Therefore, there is zero risk of you losing your website passwords (or them falling in the wrong hands).

E più tardi:

  • You don't need to worry about your password manager website getting hacked, your phone getting duplicated, somebody taking a picture of your passwords book - Master Password stores no secrets.

Ma una dichiarazione più accurata sarebbe questa:

  • Con un gestore di password, un utente malintenzionato deve rubare il tuo database crittografato e indovinare la tua password principale per recuperare le password del tuo sito.
  • Con il loro programma, non esiste un passo per "rubare il database crittografato"; tutto ciò che un utente malintenzionato deve fare è indovinare la password principale e i metadati dell'account.

Quindi il motivo per cui affermano di essere più sicuro di un gestore di password, risulta, in realtà è il motivo per cui sono meno sicuri di un gestore di password. Ops.

    
risposta data 23.02.2018 - 23:21
fonte
5

Secondo la documentazione, invece di ricordare una password, devi ricordare per sito web: nome sito (era .com o .co.uk? hai messo il TLD alla fine?), contatore sito e sito-modello. Non è molto meglio che ricordare una password.

Non capisco lo scopo del contatore del sito: se viene incrementato, la password si interrompe ogni volta, quindi questo dovrebbe essere un valore costante. Se è una costante, non aggiunge alcuna sicurezza. Aggiornamento: come menzionato in un commento (grazie), potrebbe essere usato per aggiornare una password del sito web quando necessario. Lo stesso effetto potrebbe essere ottenuto con la stessa efficienza aggiungendo una cifra al nome del sito Web (in teoria è un po 'meno sicuro), quindi mi sembra di essere troppo ingegneristico.

Questo software avrebbe potuto essere fatto in puro JavaScript. Invece fornisci le tue credenziali a un'altra parte. È open source, quindi qualcuno con più tempo di me potrebbe controllare che sia legittimo.

    
risposta data 23.02.2018 - 09:58
fonte
1

Alla fine, MasterPassword è come un gestore di password standard ad eccezione dei seguenti inconvenienti:

1) è scomodo tenere traccia degli URL, dei contatori dei siti, ecc.

2) è meno noto di soluzioni come 1password, LastPass, ecc.

    
risposta data 23.02.2018 - 20:05
fonte

Leggi altre domande sui tag

Oltre a OpenVas e Nessus, quali sono le altre opzioni per il rilevamento delle vulnerabilità? La "Autorità di certificazione" si riferisce all'organizzazione o al software?