第三代密碼管理器 主密碼+主金鑰保護
➊ TL;DR(太長了,不想讀)
第三代密碼管理器,
- 安全技術 增加主金鑰保護,提升雲端安全性
- 安全問題 裝置終端安全性仍然取決於主密碼
➋ 進化
第二代密碼管理器通過雲端同步時,離洩露所有密碼就只有一個主密碼的距離。
而主密碼的安全問題並不能讓人放心。聰明的人們總是熱衷於用技術改變安全,哦不,改變生活。第三代密碼管理器也就應運而生。
說到第三代密碼管理器,就不得不提1Password,他們設計了一個叫 two-secret key derivation (2SKD) 的方法來生成 加密金鑰。
為了力證自己與外面的“妖豔賤貨”不一樣,
1Password還公開了技術白皮書。
使用 1Password 的使用者除了要設定主密碼外,還需要把一個主金鑰 Secret Key 儲存起來。
區分一下
主金鑰和加密金鑰,
- 主金鑰 用於和主密碼一起生成加密金鑰
- 加密金鑰 通過主密碼生成,用於加密資料的金鑰
加拿大另一家公司的產品 RememBear 採用了類似的技術,要求使用者除了要記住主密碼以外,還需要儲存好 New Device Key。換湯不換藥,這不過是給主金鑰換了個名字而已。
➌ 演算法
演算法本質上很簡單,套路都差不多,
是不是很眼熟?除了把 salt 換了個名字叫 Secret Key 之外,是不是和第二代密碼管理器生成加密金鑰一樣的?
一樣的!!!
一樣的!!!
一樣的!!!
➍ 關鍵創新
當然,也不會完全一樣啦,要不然怎麼堪稱第三代呢。
第二代密碼管理器通過網路同步時,會把生成加密金鑰的引數 salt 一起同步,而第三代密碼管理器並不會同步 Secret Key !
第三代密碼管理器不同步 Secret Key
第三代密碼管理器不同步 Secret Key
第三代密碼管理器不同步 Secret Key
第二代密碼管理器在登入新裝置時,只需要輸入賬號密碼,就可以解密雲端同步下來的資料。
第三代密碼管理器在登入新裝置時,除了賬號密碼外,還需要輸入 Secret Key,才能解密雲端下載的資料。
雖然這只是一個很小的改動,但卻極大提升了雲端同步的安全性。
小黑非常黑,繼上次成功盜取小白的銀行賬戶後,他又開啟了
兩個密碼這個第三代密碼管理器的伺服器,發現你的空間和兩個密碼都有小黃,但是這一次,小黑失敗了,他沒能偷取到小黃儲存的賬號密碼。
第三代密碼管理器的主要特點:除了主密碼,還增加了一個不同步的Secret Key。
正是因為有了這個Secret Key,第三代密碼管理器才可以保證:即使雲端被入侵、主密碼被洩露,黑客依然無法獲取使用者儲存的賬號密碼。
回顧可知,其實每一代密碼管理器都比上一代增加了一個解鎖條件,大幅提升安全性。
➎ 安全問題
雖然小黑在雲端走不通,但他可以走終端的嘛。正如歡哥所唱,只不過是從頭再來來來~
要想成功盜取存在第三代密碼管理器中的密碼,小黑其實只需兩步,
- 入侵使用者的桌面系統,獲取
資料檔案和主金鑰 - 攻破使用者的
主密碼
第一步並不難。當使用者在裝置上首次登入自己的賬號後,第三代密碼管理器就會把 主金鑰 儲存在本地(不會讓使用者每次都輸入)。
傳統的密碼管理器都是基於桌面計算機時代的技術開發的(Windows作業系統是主要代表),在傳統的桌面作業系統上,密碼管理器儲存的資料檔案是可以被惡意軟體直接讀取的,甚至惡意網站都有可能利用瀏覽器的安全漏洞來讀取資料併傳送到雲端。
總結,在終端裝置上,第三代密碼管理器和第二代一樣,離洩露所有密碼都只有一個主密碼的距離。
上一篇已經討論過 主密碼的安全問題
這是最好的時代,也是最壞的時代。這是雲的時代,方便了我們,也方便了小黑。
就算沒偷到主密碼,小黑在aws租上1000個GPU,怕是分分鐘就能滅掉一大片。
本作品採用《CC 協議》,轉載必須註明作者和本文連結