官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
篇首语
经常看到很多密码管理器的评测和讨论,大多聚焦于功能特性,对于最关键的安全性,小编们基本都说不清楚。这当然可以理解,毕竟密码管理器的安全非常专业也非常技术性,具备足够知识背景的人并不多。本系列文章主要从密码管理器保护密码的安全性角度,分享一下相关的专业知识。密码管理器的安全性涉及到很多方面的知识,本系列文章只讨论对数据加密保护这个核心技术。
1. TL; DR(太长了,不想读)
密码管理器已经进化了4代,每一代都带来安全性的巨大提升。
本文要讲解的是第一代密码管理器,总结如下:
- 安全技术:有管理,无保护
- 典型代表:小本本,记事本,浏览器集成的密码管理器,一些私密云笔记
2. 起源
故事是这样开始的。
互联网服务越来越流行,大家要登录的网站越来越多,要记住的密码也越来越多了。
- 密码要长要粗,哦不,要复杂,包含数字、字母、符号和表情包
- 不能使用相同密码(为啥不能使用相同的密码?请戳 密码重用的危害及规避方法)
- 太多了记不住
于是人们就开始尝试各种管理密码的方法,
有人用小本子写得密密麻麻,有人则用记事本保存到文件。
现在云笔记开始流行了,还能写私密笔记。设一个密码,随时同步,真方便!
☝️ 黑客也这么看!
3. 没有保护的密码管理器
大家使用浏览器上网经常要输入用户名和密码,浏览器就集成了记住密码和填写密码功能。
IE 浏览器的自动完成密码
第一代密码管理器通常都没有加密,也就是说,和你用记事本保存在电脑上差不多。
密码明文集中保存!嘿嘿,你看看黑客的小心心
浏览器厂商也知道这个问题很严重,慢慢都开始加密保存,现在打开浏览器保存密码的数据库文件看不到明文密码了。
可是,可是,没什么卵用啊...
比如Chrome浏览器在Windows上就使用 DPAPI来加密,用户打开任何其他程序都可以调用 CryptUnprotectData解密得到密码。
加密≠安全
甚至还有人写了开源程序,能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码,就在这里 Chrome-Password-Grabber
4. 第一代安全技术
第一代密码管理器的安全技术:有管理,无保护。
- 根本没有加密保护
或者,
- 很容易破解的简单加密保护
如果浏览器可以直接读取保存的密码,那其他应用程序也可以使用相同的方法读取。
所以,如果浏览器可以直接填充密码,而不要求输入独立的主密码解锁,那就没有真正的保护。
浏览器还是黑客们最主要的攻击目标之一,墙裂建议,不要使用浏览器自带的密码管理器!
- 举个知名浏览器的栗子: Opera服务被黑,用户数据和存储密码泄露
5. 私密云笔记
记事本写密码大家都知道很不安全,输入密码才能查看的私密云笔记,却有很大的迷惑性,很多用户会误以为安全。
有些云笔记仅仅使用密码限制用户访问,而不是使用密码加密笔记内容。
就是防一下女朋友打开电脑时直接看到内容。
如果云端被黑客入侵,那你保存的密码就很可能被盗。
- 我不会告诉你,云笔记的开发者也可能偷看
使用云笔记保存密码要非常小心,除非确信设置的密码用于加密内容。
(敬请期待下一篇:第二代密码管理器)