密码生成/存储方案

Question

对于本地机器上的密码管理器来说，下面的策略有多糟糕？

用户希望在需要密码的地方注册somesite.com。用户以前已经生成了一个秘密密钥K，他记得，并且没有存储在任何地方。现在，使用一个很好的散列函数，将站点的URL somesite.com与K一起进行散列，以形成站点使用的密码。这样，密码就不会被存储，并且可以在每个站点上从秘密密钥中回忆起来。

Answer 1

为了回答这个问题，我假设"somesite.com“的域被用作一些基于密码的密钥派生函数的salt。

这通常存在确定性密码管理器的问题:一旦一个站点被攻破，您就需要为该站点设置一个不同的密码，这意味着该站点需要更改他们的URL (不太可能)，或者您需要记住一个额外的信息来派生这个特定站点的密码，或者您需要更改您的主密码，这也会迫使您更改您使用的所有其他站点的密码，包括那些您不再记得主动使用的站点的密码，但在您被新的主密码锁定的时候仍然需要更改这些密码。

如果您想要更多的信息，为什么确定性密码管理可能不是一个聪明的想法，请看一看这篇博客文章。