第一代密碼管理器:小本本,記事本,瀏覽器整合的密碼管理器
經常看到很多密碼管理器的評測和討論,大多聚焦於功能特性,對於最關鍵的安全性,小編們基本都說不清楚。這當然可以理解,畢竟密碼管理器的安全非常專業也非常技術性,具備足夠知識背景的人並不多。
本系列文章主要從密碼管理器保護密碼的安全性角度,分享一下相關的專業知識。
密碼管理器的安全性涉及到很多方面的知識,本系列文章只討論對資料加密保護這個核心技術。
➊ TL;DR(太長了,不想讀)
密碼管理器已經進化了4代,每一代都帶來安全性的巨大提升。
本篇講解第一代密碼管理器,總結如下:
- 安全技術: 有管理,無保護
- 典型代表: 小本本,記事本,瀏覽器整合的密碼管理器,一些私密雲筆記
➋ 起源
故事是這樣開始的。網際網路服務越來越流行,大家要登入的網站越來越多,要記住的密碼也越來越多了。
- 密碼要長要粗,哦不,要複雜,包含數字、字母、符號和表情包
- 不能使用相同密碼
為啥不能使用相同的密碼?請戳? 密碼重用的危害及規避方法
- 太多了記不住
於是人們就開始嘗試各種管理密碼的方法,
有人用小本子寫得密密麻麻,有人則用記事本儲存到檔案。
現在雲筆記開始流行了,還能寫私密筆記。設一個密碼,隨時同步,真方便!
☝️ 黑客也這麼看
➌ 沒有保護的密碼管理器
大家使用瀏覽器上網經常要輸入使用者名稱和密碼,瀏覽器就整合了記住密碼和填寫密碼功能。
第一代密碼管理器通常都沒有加密,也就是說,和你用記事本儲存在電腦上差不多。
密碼明文集中儲存!嘿嘿,你看看黑客的小心臟
瀏覽器廠商也知道這個問題很嚴重,慢慢都開始加密儲存,現在開啟瀏覽器儲存密碼的資料庫檔案看不到明文密碼了。
可是,可是,沒什麼卵用啊…
比如Chrome瀏覽器在Windows上就使用 DPAPI 來加密,使用者開啟任何其他程式都可以呼叫 CryptUnprotectData 解密得到密碼。
加密 ≠ 安全
甚至還有人寫了開源程式,能夠從Windows, Mac, Linux等平臺上抓取Chrome瀏覽器儲存的密碼,就在這裡 Chrome-Password-Grabber
➍ 第一代安全技術
第一代密碼管理器的安全技術:有管理,無保護。
- 根本沒有加密保護
或者, - 很容易破解的簡單加密保護
如果瀏覽器可以直接讀取儲存的密碼,那其他應用程式也可以使用相同的方法讀取。
所以,如果瀏覽器可以直接填充密碼,而不要求輸入獨立的主密碼解鎖,那就沒有真正的保護。
瀏覽器還是黑客們最主要的攻擊目標之一,牆裂建議,不要使用瀏覽器自帶的密碼管理器!!!
舉個知名瀏覽器的栗子: Opera服務被黑,使用者資料和儲存密碼洩露
➎ 私密雲筆記
記事本寫密碼大家都知道很不安全,輸入密碼才能檢視的私密雲筆記,卻有很大的迷惑性,很多使用者會誤以為安全。
有些雲筆記僅僅使用密碼限制使用者訪問,而不是使用密碼加密筆記內容。
就是防一下女朋友開啟電腦時直接看到內容。
如果雲端被黑客入侵,那你儲存的密碼就很可能被盜。
我不會告訴你,雲筆記的開發者也可能偷看 ?
使用雲筆記儲存密碼要非常小心,除非確信設定的密碼用於加密內容。
本作品採用《CC 協議》,轉載必須註明作者和本文連結