浏览器专用密码管理器的安全性

Question

还有像KeePass这样的密码管理器，它将所有密码存储在本地机器上的加密容器中。我必须将这个容器复制到其他机器上，这样我的密码也可以在那里使用。

还有一些密码管理器，本质上类似于KeePass，但是可以在线存储密码容器。

还有算法密码生成器，基于主密码，为当前访问的网站创建密码。这类在线密码管理器的示例是SupergenPass和PWDHash。我只需要随身携带一个小书签(在浏览器上同步)和我脑海中的主密码。

在使用第三类的在线密码管理器时，从安全性上讲，有哪些优点或缺点？是否有一个在线密码管理器，以解决这些缺点，同时提供优势？

Answer 1

我个人更喜欢托管管理器，只要安全实现得当。以LastPass为例(我最喜欢的)，它们不会存储未散列的主密码，所以如果不刻意破解您的密码，即使站点主机也无法访问您的信息。当然，这只是因为你对第三方的信任，而第三方正是安全问题起作用的地方。长话短说，只要他们不保存你密码的未散列副本，我就不介意使用托管密码管理器。

Answer 2

2018年更新我从最初写这个答案以来的8年里学到了很多。我曾经想过的是一个安全密码真的没有那么安全。今天，我使用带有"diceword"-style生成的密码的1 passwords。仍然离线，出于同样的原因，但比我基于域名的脑力算法更安全。我唯一需要记住的密码是登录到我的电脑上的密码，以及打开我的1 1Password保险库的密码--这两个密码都在我妻子的1 1Password保险库中注明，以防发生什么事情。其他的东西只要几下键就行了。

使用托管密码管理器意味着您的密码存储在云中的某个地方(在创建/编辑/使用密码的代码中)是关于如何解密密码的明确说明。如果该网站被破坏，就不难访问数千个帐户。

因此，我对在线密码管理器持怀疑态度。就我个人而言，我使用的是我为自己设计的解决方案:我有一个算法，它可以在我的头脑中运行，根据域名和我选择的用户名生成一个安全密码(大小写字符、数字和特殊字符)。

此外，我尽可能地使用oAuth和OpenId，这样我就可以记住更少的密码，并且可以更好地确保那些有我的密码的网站(例如Facebook和OpenId提供程序)能够正确地保护它(salt + hash等等)。

如果我必须使用某种类型的密码存储实用程序，我可能会使用KeePass并将加密的文件存储在Dropbox中，以便在计算机之间进行同步。

Answer 3

嗯，它们都是不同的实现--有些更安全，有些更少。

例如，我使用克利珀斯。

Clipperz的工作方式是对服务器存储在javascript中的加密blob进行加密/解密。这意味着如果你的blob找到了一个邪恶的黑客，他们将无法解密它(如果你决定了一个合理的密码)

它的代码是开源的，它让我更加自信，因为我可以对它进行审计。

LastPass使用相同的方法，因此它相当安全。

我不太可能使用像https://www.pwdhash.com/这样的东西，因为这意味着如果我想更改我的主密码，我需要在所有站点上更改它。而且，它也不太安全，就好像人们知道我用来构建密码的规则，他们可以强行强制我的主密码。