具有U2F安全风险的密码管理器

Question

在对密码管理器进行了大量的研究之后，以及从这次讨论中获得的大量参考资料-- 像LastPass这样的密码管理器有多安全？，我得出的结论是，密码管理器有一些非常可怕的故障点，如果我使用我的主机密码和U2F密钥解锁密码管理器(我正在考虑类似于yubikey或硝基密钥)时，我的机器或移动设备就会被破坏(我正在考虑类似于yubikey或nitrokey)，那么我所有的密码都可能被偷，甚至是那些我使用较少的密码(比如我的信用卡信息保存的亚马逊帐户)。

阅读讨论和其他观点，我得到的印象是，每个人都说：“如果你失去了你的机器的安全性，你已经失去了*。”但在有些情况下，这不是真的，想想我每年只使用几次的密码，比如网上商店，但有我的CC证书，从感染开始到我使用密码的时候，我可以摆脱恶意软件(格式化，杀毒)，或者我可以在另一台机器上使用密码，而恶意软件永远得不到这些信息。有了密码管理器，保存的每一个密码都可以被窃取。

因此，我认为使用密码管理器的最佳方法是：

-never像银行账户一样保存关键密码

-never让密码管理器“打开”(登录)

-never使用自动完成，即使剪贴板是另一个不安全的地方，而且在这次讨论中，泰勒尔有可能会出现假网站普通用户真的需要密码管理器吗？的风险，但我读到了一些通过浏览器进行的攻击，这些攻击甚至可以不带任何痕迹地访问其他密码，所以安全总比抱歉好。

因此，阅读一些最著名的密码管理器的功能，比如lastpass或keepass，我只是在寻找一个机会来解密所需的唯一密码，这样如果机器被破坏，这个密码就会被窃取。但看起来这是不可能的。

还能再增加一层安全吗？

如果我使用外部驱动器保存脱机存档，使用不同的文件系统和只读模式进行加密，这会有帮助吗？

我知道，我有点偏执，但当我要使用一些新的软件实践，我想使用最安全和正确的方式来做。所以现在我很困惑和担心，我想要一个相对简单的方式来访问我的密码，但真的很难让其他人掌握我的数据。

对不起我的英语

Answer 1

我认为“如果攻击者拥有你的机器，那么你已经完蛋了”这句话的意思就是你的问题。您不希望您的密码管理器解密任何东西，除了您所要求的单一密码。但是您系统上的任何恶意软件都可以拦截并更改该请求。这个理论上的恶意软件可以告诉您的密码管理器提供所有解密的数据，同时仍然给您的印象是只有一个密码被解密。

一旦您的机器被拥有，您就不应该信任它来执行任何可能被破坏的功能。在现实中，这种类型的恶意软件应该更难创建，因为它的复杂性，但你可能不想依赖这个障碍，因为你的偏执狂水平。

您可能喜欢的是一个独立于计算机或移动设备的设备来管理您的密码。当您需要密码时，您需要对受信任的设备进行身份验证，请读取该特定密码，并在可能受损的设备上输入该密码。您的密码存储基本上是空隙，您可以集中更多的精力，以防止该设备被破坏。这可能不符合你其他简单的标准。

Answer 2

您所指的是一般密码管理器的利弊的论点中的“骗局”。

密码管理器确实出现了一个单一的故障点--如果管理器被破坏，也会破坏所有的各种凭据。

虽然这是一种风险，但必须考虑到密码管理器可以减轻许多其他风险，特别是密码重复使用，并强制使用强而独特的密码。

如果有人对许多网站使用相同或类似的密码，如果其中一个站点被破坏，那么这些凭据可以在其他站点上重新尝试。密码管理器有助于减少此漏洞，而且还减少了表面积，因此要获得凭据，就必须牺牲单个密码管理器，而不是具有多种用户的站点。

您可以通过使用带有单独令牌的两个因素身份验证(例如智能手机、Google、单独的YubiKey)来保护高值帐户，从而降低单点故障风险。因此，您的密码管理器将只能访问登录所需的凭证的一半。

您必须亲自权衡每种方法的优缺点，并查看您想要实施哪些缓解策略(例如2FA)。然而，对于大多数用户来说，密码管理器将通过减少攻击向量和减少攻击表面积来大大提高安全性；比密码管理器更多的是通过创建一个潜在的单点故障来增加风险。

Answer 3

如果你遵循你自己的逻辑，保持安全的最好方法就是根本不用电脑！你所做的每一件事都是一种风险，工作是管理风险并使其可以接受，而不是试图完全消除它。这条路是疯狂的--真的。

密码管理器的目的是管理密码，当然，将密码集中到一个应用程序中也存在一些风险。虽然理论上一次只能解密一个条目，但这意味着您必须为每个条目设置不同的密码？！

事实上，除了通过自己的接口，密码管理器将采取一切可能的步骤来阻止对未锁定数据的访问，但是任何事情都无法完全消除这个问题。

事实上，LastPass有一个在不受信任的计算机上使用它的OTP过程，所以如果你愿意的话，你总是可以使用它--但是如果你一直使用它，这个过程会很痛苦，我认为你很快就会放弃。

有几种方法你可以，更实际地提高安全性，尽管如果你真的是偏执狂。

首先，确保尽快锁定/注销密码管理器。这意味着您必须每次重新登录，但至少数据库大部分时间保持加密。

或者，移到一个纸密码方案，如史蒂夫吉布森提出的方案。完美纸质密码。

否则，我建议退一步，考虑实际的风险。你会在一个高风险的环境中吗？你是否处理特别敏感或有价值的信息？如果是这样的话，您可能会采取额外的预防措施，尽管密码管理只是您应该采取的许多措施之一。

如果您不在这种情况下，请使用您的个人电脑进行安全操作，然后使用密码管理器，因为在线使用几个密码比密码管理器受到破坏的可能性要大得多。