保护我的高值密码不受脱机攻击。

Question

摘要

我是一个LastPass用户，但是我担心在网上存储高价值的密码，比如我的银行密码。我读过一些关于这个话题的文章，但仍然有一些问题。

• 像LastPass这样的密码管理器有多安全？
• 普通用户真的需要密码管理器吗？
• 在Chrome中保存密码与使用LastPass一样安全吗？

威胁

我正在寻找一种解决以下威胁的解决方案(LastPass处理#2和#3，而不是#1)：

1. 攻击者获取我的加密密码，并拥有足够的资源来破解我的密码。攻击者脱机解密我的网上银行密码，登录，并盗取我所有的钱。
2. 攻击者欺骗我在我想要的不同的网站上输入我的密码(打电话)。攻击者获得了我的网上银行密码，偷走了我所有的钱。
3. 我的一个高价值账户被泄露了。攻击者在那里使用我的密码猜测我的其他高价值帐户的密码。

我有4-5个在线账户，我认为高价值足以让我担心这些威胁。

问题

首先，还有什么更重要的威胁我忽略在这里吗？

第二，如何解决这些问题？我想让一个密码管理器为每个高值帐户存储一个随机的盐，用一个“主”密码散列这个盐，并使用它作为真实的帐户密码(有点像PwdHash)。任何真实的帐户密码，而不是主密码，都不会存储在任何地方(加密与否)。这似乎迫使攻击者尝试对在线服务进行密码猜测，而不是能够脱机破解它们。

请注意，用于派生帐户密码的“主”密码不同于lastpass的“主密码/密码”，后者用于加密存储的数据。

这个计划是否解决了上述的威胁？有在Linux上为Chrome实现这一功能的软件吗？

Answer 1

我使用了KeePass和LastPass，在决定使用基于web的密码管理器时，我将分享一些有用的东西。

伯克利的一些人写了一篇论文，分析了各种在线密码管理器。这个链接指给你看那篇论文。LastPass 修正了书签发行.

对于威胁#1:一个强大的主密码(阅读:长和随机)不应该是破解的，假设密码管理器开发人员正确地完成了他们的工作。我得依靠密码专家来做评估。

现在，LastPass，已经被黑了，我想我要去看看他们是否知道了。

对于威胁#2:钓鱼威胁是非常真实的，可以击败2FA (看这个布赖恩·克雷布斯的作品)。我看不出LastPass是如何避免克雷布斯描述的那种攻击的。他建议用一张活生生的CD来避免系统妥协。

对于第三种威胁:不要重复使用密码。

如果您的主要关注点是有人可能获得您的加密密码数据库，那么您在KeePass或其他本地解决方案中的安全性要比使用LastPass更安全。然而，这并不是完全的保护。如果您的系统被破坏，或者您被钓鱼，本地存储无法保护您。

我认为你忽略的威胁是这个:他们甚至需要你的密码才能进入你的银行等等？马特·霍南写过这个。

如果有一个更容易进入你的银行帐户比蛮横-强制你的数据库密码，那么这是你需要担心的威胁。我希望我提供的链接是有帮助的。

Answer 2

1)如果你使用安全密码，大多数密码管理人员都使用非常安全的密码，这些密码不应该通过暴力破解，但正如丹尼特所说，我们真的需要依靠专业人士来完成他们的工作。

2)大多数管理器在浏览器内工作时都使用域身份验证，因此在这种情况下您应该更安全，但密码管理器当然不能阻止您手动复制密码并将其插入。

3)使用随机密码，不要重复使用，这是密码管理人员应防止的主要威胁。

正如很多次证明的那样，社会工程(https://medium.com/@espringe/amazon-s-customer-service-backdoor-be375b3428c4和许多类似的例子)是当今更容易被考虑进去的方法。这里的主要风险不是在您这一边，并且不重用密码，使用安全的方法来记住它们(信任的pswd管理器或内存)，并且监视您输入密码的位置，您不应该承担太大的风险。