it-swarm-korea.com

온라인 비밀번호 관리자는 안전합니까?

온라인 비밀번호 관리자를 사용하여 비밀번호를 저장하고 관리 할 수 ​​있습니까? 보안 관점에서 말입니다. 본인은 그 시스템이 다를 수 있고 어떤 시스템은 다른 시스템보다 신뢰를받을 가치가 있음을 이해하지만, 개인 암호를 저장하기위한 공공 서비스의 전체 아이디어입니다. 본질적으로 실행 가능합니까?

약 1 년 전에 그러한 서비스 중 하나에 서명했습니다 ( Passpack ). 신뢰할 만하고 전문적인 것처럼 보이지만 실제로 사용하기 시작하고 수많은 암호를 업로드하는 것이 여전히 두렵습니다. 유료 계정으로 업그레이드 할 의사가 없기 때문이 아닙니다. 나는 매우 조심스럽고 의심 스럽다. 내가 잘못?

32
rem

이론상을 묻는다면 그러한 시스템을 안전하게 구축 할 수 있습니까?
저의 대답은 그렇습니다. 그러나 그것은 사소한 일이 아니며, 아마도 누가 그것을 설계하고 건축했는지에 따라 잘못되었을 것입니다.

existing 서비스에 대해 문의하는 경우 언급 한 서비스에 익숙하지 않지만 일반적으로이를위한 좋고 신뢰할 수있는 안전한 시스템을 모릅니다.

묻는다면 특정 시스템이 안전하고 신뢰할 수 있는지 어떻게 알 수 있습니까? 글쎄요.
귀하 (또는 귀하가 신뢰하고 주어진 기술에 능숙한 전문가)가 심도있는 코드 검토, 침투 테스트 및 기타 보안 검토를 수행하지 않은 경우. 정기적 인 배포 및 서버 검사. 기타 등등...

그리고 아닙니다. HackerSafe (PCI : DSS조차도 아님)와 같은 타사 인증을받는 것이 not만큼 충분합니다. (서비스가 아니라면 trust 에 대해 충분히 알고 있습니다.).

24
AviD

Keepass 또는 linux의 경우 KeepassX 로 전환하고 모든 비밀번호를 암호화 된 하나의 keepass 데이터베이스 (비밀번호 또는 키 파일로 잠김)에 넣은 다음 Amazon Web Services 또는 Dropbox에서 S3와 같은 클라우드에 데이터베이스 파일을 저장하십시오. 이렇게하면 ... 클라우드에서 모든 컴퓨터로 다운로드하여 암호 해독 키/암호를 가진 keepass 소프트웨어로만 열 수있는 휴대용 데이터베이스 파일이 있습니다.

22
Eric Warriner

내 의견으로는 passpack과 같은 서비스를 사용하여 could 다른 "약한 반지"를 체인에 추가하십시오.

Passpack과 같은 서비스를 사용하여 암호가 얼마나 많은 편집증인지에 대해 암호가 안전합니다. 패스 팩과 같은 서비스를 사용하면 암호가 전체 암호 서비스 자체로 안전합니다 또한 안전합니까? 프런트 엔드?.)

이러한 보안 측면 중 어느 쪽이 더 안전하다고 생각하고 어느 쪽을 더 신뢰하는지 평가해야합니다. 비밀번호 정책이 임의 비밀번호 관리자 앱의 보안보다 안전하고 신뢰할 수 있습니까? 그렇다면이 서비스가 귀하에게 적합하지 않을 수 있습니다.

11
gbr

Lastpass.com을 꽤 오랫동안 사용하고 있습니다. 비밀번호는 마스터 비밀번호를 키로 사용하여 256 비트 AES로 암호화됩니다. 브라우저에서 암호 해독 프로세스가 시작됩니다. 암호는 암호화되어 있지만 서버에서 암호를 얻는 것은 SSL을 통해 이루어 지므로 이중 암호화가 이루어집니다. 여기에는 2 개의 데이터 센터와 한 번 더 암호화 된 백업 서버가 있습니다. 키로거가 두려운 경우 (공용 컴퓨터에 있어야 함) 마스터 비밀번호로 로깅 할 수있는 사이트 내 가상 키보드가 있습니다. 일회용 비밀번호도 옵션입니다.

또한 비밀번호를 제공하지 않고 다른 사용자와 계정을 공유하고 있습니다. 확인하십시오.

Lastpass.com에서 일하지 않고 만족합니다 :).

10
vvucetic

고려해야 할 몇 가지 사항.

대안은 무엇입니까? 온라인 암호 관리자를 사용하는 IMHO는 다음보다 덜 위험합니다.

  • 모든 계정에 동일한 비밀번호 사용
  • 비밀번호 저장을 위해 암호화되지 않은 정적 스프레드 시트 사용

협동. 비밀번호를 공유해야합니까?

  • 온라인 암호 관리자는 암호를 쉽게 공유 할 수 있도록 설계되었습니다. 암호를 공유하는 경우 모든 사람이 최신 버전을 즉시 볼 수 있도록 암호를 쉽게 업데이트 할 수 있어야합니다.

반면에 Kneepass는 훌륭한 솔루션입니다. 문제는 오픈 소스이지만 코드에 취약점이 없다고 보장 할 수는 없지만 백업 등에 대해 더 많은 책임을지고 있다는 것입니다.

6
Mark McDonagh

비밀번호를 온라인에 저장하는 것을 고려하지 않습니다. 나는 그들을 그렇게 많이 믿을 수 없다.

관심이 있다면 Windows 용 roboform (꽤 오래 전 사용)이 좋으며 새로운 기능에도 온라인 동기화가 제공됩니다. 리눅스 용 Keepassx도 좋은 도구입니다.

1
Novice User