基于双因素认证的密码管理

Question

我在查看达什莱恩站点时注意到，它们支持密码“保险库”的两个因素身份验证。关于使用密码管理器，我最关心的问题之一是，您可以使用单个数据(您的主密码)访问您输入的每个帐户。

我是否正确地认为，使用Google或Yubikey之类的身份验证不再使您的保险库容易被错误的演员访问，后者可能在您的机器上安装了键盘记录器或远程管理工具？

我对1个通也很感兴趣，但注意到它们实际上并不以相同的方式支持两个因素的身份验证。相反，它们生成了一个“秘密密钥”。

Dashlane或1 1Password使用的任何一种方法都能提供更大的保护，使其免受这些类型的恶意软件的攻击吗？

Answer 1

Dashlane

Dashlane可以选择使用2FA来增加用户数据的安全性。

在任何时候，用户都可以将他的Dashlane帐户链接到他手机上的2FA应用程序。当他试图连接到一个新设备，而不是通过电子邮件向他发送一个一次性密码，达什莱恩要求用户提供一个由2FA应用程序生成的一次性密码。

来自https://www.dashlane.com/download/Dashlane

Dashlane不仅在授权新设备访问您的帐户时使用2FA，还可以在每次登录您的帐户时使用它。

这可以防止用户计算机上的恶意软件登录主密码并试图访问他们的敏感数据。这是因为为了访问用户数据，必须提供一个一次性密码--如果键盘记录器在输入时捕获了这个一次性密码，那么它对攻击者将变得毫无用处，因为下一次必须使用新的密码。

1密码

1 1Password与Dashlane有点不同，因为1 1Password不使用2FA。它使用一种叫做密匙的东西。这个秘密密钥是34个字母和数字

一个非秘密版本设置，(“A3”)，您的非秘密帐户ID，和26个随机选择的字符序列。

来自https://1password.com/files/1Password%20for%20Teams%20White%20Paper.pdf

它有128位熵，并与您的主密码一起工作，以保护您的数据。

秘密密钥的一个例子可以是A3-ASWWYB-798JRY-LJVD4- 23DC2-86TVM-H43EB。秘密密钥是在第一次创建1 password帐户时生成的，并防止获得远程存储的用户数据的攻击者猜测访问该数据所需的主密码。

每次在设备上注册新客户端以及必须向服务器进行身份验证时，都会使用秘密密钥。在1个通道白皮书中可以再次看到这一点：

在注册新设备时，用户将向客户端提供add链接(可能以QR代码的形式)和她的主密码。address链接是根据用户的请求从已经注册的客户端生成的，包括团队的域名、用户的电子邮件地址和她的秘密密钥。

General

1 password的一个问题是，如果知道密钥和主密码，例如从键盘记录器中，就可以查看用户数据。这与Dashlane不同，因为您可以使用一次性密码来保护您的数据，从而使密钥记录无效。

然而，Dashlane并不是针对所有类型的恶意软件而安全的。它可能容易受到恶意软件截图的密码正在查看的达什连应用程序，将1 password。

当使用密码管理器时，您必须接受这样一种可能性，即您的密码可能被发现，因为它们存储在您的头部以外的其他地方。