Password Manager o Password Generator

Naviga le tue risposte
2

Se usi la stessa email e password per ogni sito, una violazione e tutti i tuoi account vengono violati. Questo è il motivo per cui mi piace creare una password univoca per ogni sito.

Questo causa un problema poiché le password diventano più complesse e difficili da ricordare. Quindi voglio sapere che cosa è meglio, gestori di password o generatori di password?

Quali sono i vantaggi e gli svantaggi di ciascuno di essi?

Questo è quello che posso pensare:

Generatori di password (come masterpassword ...

  • I dati sono offline, nel senso che gli hacker devono indirizzare il mio computer

  • Generato utilizzando un algoritmo. Significa che non sono memorizzati da nessuna parte

  • Se dimentichi la lunghezza della password o la digita in modo errato, non puoi recuperare la password

  • Devi inserire manualmente la password o copiarla negli Appunti a cui è possibile accedere tramite app di terze parti

Gestori password (come 1password)

  • Sincronizza su più dispositivi

  • Compilare automaticamente in modo che non sia necessario inserire la password manualmente o copiarla negli appunti. Può anche essere uno svantaggio perché se qualcun altro accede al mio computer, possono accedere all'account.

  • Archiviato su server ben noti. Potrebbe essere un obiettivo di ingestione per gli hacker.

Quali altri punti ci sono? Vorrei conoscere i vantaggi e gli svantaggi di ciascuno in modo da poter decidere cosa penso sia il migliore.

    
posta iProgram 06.12.2016 - 22:11
fonte

3 risposte

2

Entrambi hanno pro e contro. IMO c'è una ragione principale per usare un gestore di password invece di un generatore di password:

  • Per memorizzare le password assegnate.

Nel caso particolare della chiave master, può essere comunque memorizzato utilizzando la chiave master come chiave AES e crittografando la password assegnata. Il problema con questo approccio è che non appena è necessario memorizzare una password assegnata, il generatore di password diventa un generatore di password ibrido + gestore di password. Perché hai bisogno di 2 soluzioni per lo stesso problema? Ancora di più, se hai bisogno di questa funzione, hai il peggiore dei due mondi

L'altro motivo (Argable) per utilizzare un gestore di password è l'usabilità. Nel caso di un gestore di password, ti ricordi la tua password principale ed è tutto, puoi usarla. In un generatore di password (parliamo solo delle esigenze specifiche della Master Key) è necessario ricordare la password principale, il proprio nome (non dimenticarlo), il tipo di password e il contatore della password PER APPLICAZIONE !. Potrebbe non essere un problema per alcuni siti, ma non appena avrai 50 applicazioni potrebbe essere complicato ricordare i valori per ognuno

A proposito di gestori di password, personalmente non mi piacciono i gestori di password online, preferisco quelli offline come Password Safe , la ragione: mi fido di me stesso più di un server con un processo sconosciuto per proteggere le mie password. Inoltre, un utente malintenzionato che cerca di entrare nel mio vault avrà bisogno di accedere alla mia password principale e al vault, invece della sola password (a meno che non si usi 2FA)

In ogni caso, tutte e tre le opzioni sono sufficienti se capisci i rischi

    
risposta data 06.12.2016 - 22:53
fonte
1

Un generatore di password (come masterpassword) non ha vantaggi intrinseci rispetto a un gestore di password più tradizionale e presenta uno svantaggio. Il modo in cui funziona è tramite un'operazione di crittografia in tempo reale che utilizza un'unica chiave, che è simile ai tradizionali gestori di password. Non è più o meno sicuro di un gestore di tipo database, perché una volta che hai bisogno di accedere a una password, è soggetta agli stessi rischi di intercettazione di un gestore di password più tradizionale. E una volta inserita la chiave master super segreta, è esattamente come oggetto di furto come la chiave di decrittografia utilizzata da un gestore di password.

Come già detto, un generatore ha uno svantaggio significativo, e cioè non può essere usato come database per memorizzare una password assegnata arbitrariamente o altri dati relativi alla sicurezza. Ad esempio, diciamo che il tuo datore di lavoro ha una serratura a combinazione su una porta della sala server. Tutti gli amministratori conoscono e usano la stessa combinazione. Un generatore non ha modo di memorizzare in modo sicuro quella combinazione. Lo stesso problema esiste con una chiave segreta condivisa utilizzata per accedere a un HSM. In uno schema di condivisione segreta, a ogni persona viene assegnato un set di byte per agire come parte della chiave. Questi non sono byte che puoi generare casualmente, sono generati dal meccanismo di condivisione e devono essere protetti. Un generatore non può aiutarti lì.

Potrebbe interessarti sapere che online o offline non dovrebbero realmente entrare nella discussione, purché il tuo database sia crittografato con un algoritmo di alta qualità. È possibile mantenere il database delle password crittografato su pastebin e postare i collegamenti ad esso da Facebook, e rimarrà esattamente sicuro quanto la capacità di qualcuno di indovinare la password. Nessuno sta rompendo matematicamente AES-256 oggi; nessuno è nemmeno vicino.

Se si utilizza un generatore di password, si presuma che l'autore dell'attacco conosca il proprio nome e almeno un URL visitato. Dopodiché, per rompere un generatore di password è necessario lo stesso livello di tentativo di indovinare la password, ma l'hacker non ha bisogno di un database, ha solo bisogno di testare le password su quel sito.

Tutte le vulnerabilità in entrambi i sistemi si troverebbero negli endpoint, dove vengono inserite le password per crittografare / decodificare il database del gestore di password; queste vulnerabilità sono le stesse indipendentemente dal fatto che tu stia eseguendo un generatore di password o un gestore di password.

    
risposta data 06.12.2016 - 22:36
fonte
-1

La creazione di contenuti casuali va bene per password complesse, ma preferisco utilizzare un generatore di password online . Rende la mia vita molto più facile.

    
risposta data 27.12.2016 - 13:02
fonte

Leggi altre domande sui tag

Un server che si collega alla porta 3544 presenta un rischio maggiore Se sei stato compromesso una volta, hai maggiori probabilità di essere di nuovo compromesso?