攻击加密存储与攻击内存

Question

我想要创建一个生成密码管理器。生成密码管理器基于种子生成密码，例如主密码和网站的URL。相反，大多数密码管理器将密码存储在加密文件中(使用主密码加密)。在这方面，既然生成密码管理器不存储任何信息，那么它是否比普通的密码管理器更安全，后者将一个加密的密码文件传递给用户，以便在客户端解密？理论上，攻击者可以查看生成密码管理器的内存并检索生成的密码。这会比试图侵入服务器、窃取密码文件、然后试图强行执行更困难吗？

Answer 1

从内存中窃取数据肯定比从加密文件中窃取数据容易。您可以转储内存，然后扫描它以搜索密码。

另外，我认为更大的风险是种子和密码之间有一个非常简单的映射。而且，种子似乎是可预测的。一旦该密码被破坏，您是否有保护其他密码的安全/后备机制？