Il existe des gestionnaires de mots de passe comme KeePass qui stockent tous les mots de passe dans un conteneur crypté sur la machine locale. Je devrais copier ce conteneur sur d'autres machines pour pouvoir y avoir mes mots de passe également.
Ensuite, il existe des gestionnaires de mots de passe qui sont essentiellement comme KeePass mais stockent le conteneur de mots de passe en ligne.
Et puis il y a des générateurs de mots de passe algorithmiques qui, sur la base d'un mot de passe principal, créent à la volée le mot de passe du site Web actuellement visité. SupergenPass et PWDHash sont des exemples de tels gestionnaires de mots de passe en ligne . Tout ce que je dois emporter avec moi est un minuscule bookmarklet (qui est synchronisé entre les navigateurs) et le mot de passe principal dans ma tête.
Quels sont les avantages ou les inconvénients, en termes de sécurité, lors de l'utilisation des gestionnaires de mots de passe en ligne de la 3ème catégorie? Existe-t-il un gestionnaire de mots de passe en ligne qui résout ces inconvénients tout en offrant des avantages?
Eh bien, ils sont tous mis en œuvre différemment, certains sont plus sûrs et d'autres moins.
Par exemple, j'utilise Clipperz .
Le fonctionnement de Clipperz consiste à crypter / décrypter un blob crypté que le serveur stocke en javascript . Cela signifie que si votre blob trouve son chemin vers un pirate maléfique, il ne pourra pas le décrypter (si vous avez décidé d'un mot de passe raisonnable)
Le code est open source, quelque chose qui me remplit d'un peu plus de confiance car je peux le vérifier.
LastPass utilise la même approche, il est donc assez sûr.
Je serais moins susceptible d'utiliser des choses comme https://www.pwdhash.com/ car cela signifie que si je veux changer mon mot de passe principal, je devrai le changer sur tous les sites. En outre, il est moins sûr que si les gens connaissent les règles que j'utilise pour créer le mot de passe, ils peuvent forcer mon mot de passe principal.
la source
L'utilisation d'un gestionnaire de mots de passe hébergé signifie que vos mots de passe sont stockés quelque part dans le cloud, et quelque part à proximité (dans le code qui les crée / les modifie / les utilise) contient des instructions explicites sur la façon de les décrypter. Si le site était compromis, il ne serait pas difficile d'avoir accès à des milliers de comptes.
Pour cette raison, je me méfie des gestionnaires de mots de passe en ligne. Personnellement, j'utilise une solution que j'ai inventée moi-même: j'ai un algorithme assez simple à exécuter dans ma tête, qui génère un mot de passe sécurisé (majuscules et minuscules, chiffres et caractères spéciaux) basé sur le nom de domaine et mon nom d'utilisateur choisi.
De plus, je tente d'utiliser oAuth et OpenId la mesure du possible, de sorte que j'ai moins de mots de passe à retenir et peut être plus sûr que les sites DO ont mon mot de passe (par exemple Facebook, et mon fournisseur OpenId) sécurisez correctement , il (sel + hachage , etc).
Si je devais utiliser un utilitaire de stockage de mot de passe d'une certaine sorte, j'irais probablement avec KeePass et stocker le fichier crypté dans Dropbox pour synchroniser entre les ordinateurs.
la source