小本本,记事本,浏览器集成的密码管理器篇
前言
我经常看到很多关于密码管理器的评论和讨论密码查看器绿色版,其中大部分都集中在功能特性上。 编辑们基本上无法把安全最关键的方面解释清楚。 这当然是可以理解的。 毕竟密码管理器的安全性是非常专业和技术性的,拥有足够知识和背景的人并不多。 本系列文章主要从密码管理器保护的密码安全角度分享相关专业知识。 密码管理器的安全涉及到很多方面的知识。 本系列文章仅讨论数据加密保护的核心技术。
1. TL; DR(太长,不想读)
密码管理器已经发展了 4 代,每一代都在安全性方面带来了巨大的改进。
本文将讲解第一代密码管理器,总结如下:
2. 起源
故事是这样开始的。
互联网服务越来越普及,人们要登录的网站越来越多,需要记住的密码也越来越多。
于是人们开始尝试各种管理密码的方法。
有些人在小笔记本上密集地书写,而另一些人则使用记事本保存到文件中。
现在云笔记已经流行,你也可以写私人笔记。 设置密码,随时同步,太方便了!
☝️黑客也是这么想的! 3. 不受保护的密码管理器
当人们使用浏览器访问互联网时,常常需要输入用户名和密码。 浏览器集成了记住密码和填写密码的功能。
IE浏览器自动补全密码
第一代密码管理器通常是未加密的,这意味着它们类似于您使用记事本在计算机上保存的内容。
密码集中明文存储!嘿嘿,看看黑客的小心脏
浏览器厂商也知道这个问题的严重性,逐渐开始加密和保存密码。 现在,当您打开浏览器保存密码的数据库文件时,您将无法看到纯文本密码。
但是,但是,没有用……
例如,浏览器使用DPAPI进行加密,用户可以通过打开任何其他程序来调用解密来获取密码。
加密≠安全
有些人甚至编写了开源程序,可以捕获 Mac、Linux 等平台上浏览器保存的密码,就在这里——
4、第一代安全技术
第一代密码管理器的安全技术:托管、不受保护。
或者,
如果浏览器可以直接读取保存的密码,那么其他应用程序也可以使用相同的方法读取它。
所以,如果浏览器可以直接填写密码而不需要单独的主密码来解锁,那么就没有真正的保护。
浏览器仍然是黑客的主要目标之一。 墙裂建议不要使用浏览器自带的密码管理器!
5. 私有云笔记
大家都知道,在记事本中写密码是非常不安全的。 需要输入密码才能查看的私有云笔记非常混乱,很多用户会误以为是安全的。
有些云笔记仅使用密码来限制用户访问,而不是使用密码来加密笔记内容。
就是为了不让女朋友一打开电脑就直接看到内容。
如果云被黑客攻击,您保存的密码可能会被盗。
使用 Cloud Notes 时,请务必小心保存密码,除非您确定设置的密码用于加密内容。
