密码管理器进化史(1) – 作者:idguardoffline

篇首语

经常看到很多密码管理器的评测和讨论,大多聚焦于功能特性,对于最关键的安全性,小编们基本都说不清楚。这当然可以理解,毕竟密码管理器的安全非常专业也非常技术性,具备足够知识背景的人并不多。本系列文章主要从密码管理器保护密码的安全性角度,分享一下相关的专业知识。密码管理器的安全性涉及到很多方面的知识,本系列文章只讨论对数据加密保护这个核心技术。

1. TL; DR(太长了,不想读)

密码管理器已经进化了4代,每一代都带来安全性的巨大提升。

本文要讲解的是第一代密码管理器,总结如下:

  • 安全技术:有管理,无保护
  • 典型代表:小本本,记事本,浏览器集成的密码管理器,一些私密云笔记

2. 起源

故事是这样开始的。

互联网服务越来越流行,大家要登录的网站越来越多,要记住的密码也越来越多了。

  • 密码要长要粗,哦不,要复杂,包含数字、字母、符号和表情包
  • 不能使用相同密码(为啥不能使用相同的密码?请戳 密码重用的危害及规避方法
  • 太多了记不住

v2-ca0a0a7645e20803f2e554c35c1b36c4_720w.jpeg

于是人们就开始尝试各种管理密码的方法,

有人用小本子写得密密麻麻,有人则用记事本保存到文件。

现在云笔记开始流行了,还能写私密笔记。设一个密码,随时同步,真方便!

v2-86c9491ec7676983e1fadc62626b3397_720w.jpg☝️ 黑客也这么看!

3. 没有保护的密码管理器

大家使用浏览器上网经常要输入用户名和密码,浏览器就集成了记住密码和填写密码功能。

v2-59635a600af44c28385dd56cc021c1f1_720w.jpgIE 浏览器的自动完成密码

第一代密码管理器通常都没有加密,也就是说,和你用记事本保存在电脑上差不多。

密码明文集中保存!嘿嘿,你看看黑客的小心心

v2-cd5ed3a4f3b6aa25860764a5e1316fb4_b.jpg

浏览器厂商也知道这个问题很严重,慢慢都开始加密保存,现在打开浏览器保存密码的数据库文件看不到明文密码了。

可是,可是,没什么卵用啊…

比如Chrome浏览器在Windows上就使用 DPAPI来加密,用户打开任何其他程序都可以调用 CryptUnprotectData解密得到密码。

加密≠安全

甚至还有人写了开源程序,能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码,就在这里 Chrome-Password-Grabber

v2-9f343ba41581c88f250db6a6cbd08870_720w.jpg

4. 第一代安全技术

第一代密码管理器的安全技术:有管理,无保护。

  • 根本没有加密保护

或者,

  • 很容易破解的简单加密保护

如果浏览器可以直接读取保存的密码,那其他应用程序也可以使用相同的方法读取。

所以,如果浏览器可以直接填充密码,而不要求输入独立的主密码解锁,那就没有真正的保护。

浏览器还是黑客们最主要的攻击目标之一,墙裂建议,不要使用浏览器自带的密码管理器!

5. 私密云笔记

记事本写密码大家都知道很不安全,输入密码才能查看的私密云笔记,却有很大的迷惑性,很多用户会误以为安全。

有些云笔记仅仅使用密码限制用户访问,而不是使用密码加密笔记内容。

就是防一下女朋友打开电脑时直接看到内容。

如果云端被黑客入侵,那你保存的密码就很可能被盗。

  • 我不会告诉你,云笔记的开发者也可能偷看

使用云笔记保存密码要非常小心,除非确信设置的密码用于加密内容。

(敬请期待下一篇:第二代密码管理器)

来源:freebuf.com 2021-02-20 18:45:52 by: idguardoffline

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论