与LastPass相比，Kee2.0(Firefox57addon)与keepass-plugin的安全性有多大？

Question

我想评估两种不同的密码安全方案，它们一开始似乎是截然不同的：

1. 基于云的密码管理器
2. 本地(非云)密码管理器

然而，扭曲的是，本地密码管理器将与浏览器附加部分一起使用，从而使其功能和方便程度与基于云的选项相当。为了使这种比较有用和实用，让我们将其限制在以下两种特定的产品上：

1. 带有Kee2.0的KeePass (Firefox57web扩展)与keepass-plugin
2. LastPass (网络扩展版，火狐57)

假设任何潜在的威胁都完全在互联网端，并且本地机器和本地网络是安全的。

在一般意义上，这两种选择是否同样安全？直截了当的反应可能是说KeePass更安全，因为它不是基于云的(而且我们假设没有来自本地网络或物理设施的威胁)。

然而，我的问题集中在使用带KeePass的Firefox在多大程度上将整个密码数据库暴露于基于互联网的攻击(任何类型的攻击，包括钓鱼--任何来自外部的攻击)。

我想LastPass已经进行了更广泛的安全审查，并且可能有一组训练有素的专业人员来维护整个安全。

另一方面，社区似乎对KeePass有好感。但是Kee2.0Firefox插件和RPC插件呢？这些部件是否具有相同级别的安全检查？

Answer 1

不幸的是，这个问题主要是基于意见的。原因如下：

安全性设计主要是在价格、可用性和安全性之间做出选择。

在您的具体案例中，您试图将这个选择转移到“社区”(这本身就是一个错误的名称：“社区”并不比“人员”更存在)。这不可能真正奏效，因为虽然每个人都会就“价格”部分达成一致，但安全性和可用性之间的平衡是针对每一种情况的:我不会有和你一样的要求，因此，虽然一个特定的选择对我来说可能是有意义的，但对你、对我的父亲或我的同事来说，这可能是不合理的。

解决这一问题的正确方法是首先分析您的情况:在您的情况下，您有许多想要使用的潜在工具。对于每一种组合，您都需要确定安全性和可用性方面的优缺点。一旦您编译了该列表，这是一个只有您才能执行的阶段，您需要为这些项目中的每一个指定一个权重。最后，你将这些权重与每一个积极和消极的特质结合起来，这将让你很好地知道你的最佳选择是什么。