密碼管理器的安全性-2014-9-15
在今年的USENIX安全會議上,有兩篇關於密碼管理安全的論文
David Silver, Suman Jana, and Dan Boneh, “Password Managers: Attacks and Defenses."
Zhiwei Li, Warren He, Devdatta Akhawe, and Dawn Song, “The Emperor’s New Password Manager: Security Analysis of Web-based Password Managers."
這是很有趣的研究,尤其是因為它針對原本就應該要加強安全的資安問題。
我一直以來都建議一個密碼管理器要能夠解決非常現實的問題,就是一個容易被記得的密碼很容易遭受字典攻擊。全世界在稍早的這個禮拜駭客們將名人iCloud中的照片公布出來,這個舉動對我們來說有非常深刻的提醒。這項攻擊行為並沒有利用iCloud的缺陷攻擊,而是利用較弱密碼強度進行攻擊。
資安往往是與便利性在做權衡,而且大部分的密碼管理器都自動將密碼直接填入瀏覽器的頁面中。這原本就很難去做到安全,並開闢了對密碼管理器的攻擊。
我自己的密碼管理器,Password Safe,並沒有在這幾篇論文中被提到。我特別設計它不要去自動填入密碼,也特別將它設計成一個獨立的應用程式。要能夠從Password Safe最快取得密碼的方式是使用作業系統的剪下與貼上指令。
我還是建議使用一個密碼管理器,因為它能夠簡單的讓你去選擇較長且強度較高的密碼。對於那些你應該要記得的密碼,我產生密碼的方法在這https://www.schneier.com/blog/archives/2014/03/choosing_secure_1.html。
補充:第二篇論文有新增一些資訊,其中包含Password Safe。而且這篇http://www.cs.ox.ac.uk/files/6487/pwvault.pdf也有包含Password Safe。
本文為【平行與分散實驗室】協助翻譯
原文網址:https://www.schneier.com/blog/archives/2014/09/security_of_pas.html
Leave a Reply