主密码与密码

Question

大约一年前，我试着使用LastPass，但发现用户体验非常缺乏，我回到了我尝试过的方法，即只有一堆不同的密码(一些密码重用，但我从来没有遇到问题)，我的电子邮件有一个独特的，不重复使用的30+字符密码，我想我可以只是密码重置任何服务最终被劫持。

我知道这不是好事，我也明白后果--这与此无关。

我最近决定“嘿，让我们再给密码管理人员一次机会”，这次是火狐同步(&主密码)。

据我注意到，它使用密钥加密本地存储的加密From，密钥本身就是使用主密码加密的。存储在其服务器上的密码(出于某种原因)使用我的Firefox密码加密(当然，该密码存储在加密Sync中)。

完全公开:我的Firefox同步密码不如我的主密码强。如果有人偷了它，理论上他们只需登录我的帐户，就可以将我密码blob的未加密副本下载到新设备上。但是，这需要我从电子邮件中确认登录。在当前日期，我的电子邮件的密码与我的firefox主密码使用的密码相同。

现在，关于这个问题:在我的电子邮件(下载我的密码所必需的)中使用一个长而人性化的密码(我的主密码)，是否比将它存储在所述密码中的数据安全密码更不安全呢？

Answer 1

这取决于你是如何生成密码的。

从一个故事，一首抒情诗，或一本书或一首诗引语中衍生出来的密码，本质上是不安全的。饼干已经在使用公开的作品的引号了。，以及它们的常见转换(比如取每个单词的第一个字母)来猜测密码。

你自己编的密码更好，但它的安全性仍然比完全随机密码低。它会有句子结构，可能会倾向于常用的词，等等。有研究发现密码的熵很难量化。尽管如此，它比一个公开可用的短语要好得多，也比有或没有转换的单字密码要好得多。

但你也可以做一个完全随机的密码，迪克瓦尔-style。只要有足够多的单词，这些密码就可以像你喜欢的那样安全；一个带有N个单词的diceware密码趋向于像随机、混合大小写和数字的混合大小写以及带有2N字符的特殊字符密码一样安全。使用随机密码时，它没有本质上的不安全；只要服务允许有6个-8个单词的字符，就可以使用此方法。

Answer 2

是的，它可以被利用来访问您的密码，而不是如果您有一个更强的密码保护您的Firefox同步密码。您正在为能够计算出Firefox同步密码的攻击者添加潜在的可能性。

您收到的允许自己下载密码blob的电子邮件不是加密的。它可以被其他人阅读。这可能是(电子邮件也可以在提供商之间加密，而不仅仅是在你和你之间。)然而，他们往往不是。)包括大政府，你们国家的政府，你们的ISP，任何其他的服务提供商-在你们的ISP和火狐同步服务器之间，以及他们各自的政府。但它也可能包括你在接收电子邮件时连接到其wifi或以太网的每个人，以及控制该网络上可能存在的恶意软件的人，例如路由器。

请注意，如果您收到通过SSL加密的电子邮件，可以减轻上述一些问题。然而，SSL存在大量问题。

让我们假设一些武断的反病毒公司的私钥被破坏了。例如，如果它们碰到SSL通信量，就可以拦截它.使路由器上的恶意软件或您的ISP的攻击更有可能发生。

此外，您的电子邮件帐户可能有一个强大的密码，但显示出其他弱点。例如，可能有一个密码恢复问题，只需询问您母亲的娘家姓名，就可以很容易地发现攻击者是否知道您是谁。这使得您的电子邮件帐户的密码强度几乎毫无用处。此外，可能有一个恢复电子邮件地址分配给您的电子邮件帐户。如果该恢复电子邮件地址的帐户有一个薄弱的密码显示其他弱点(例如，通过母亲的娘家姓名恢复)，这也意味着您的电子邮件帐户是不安全的。