Segurança dos gerenciadores de senhas do navegador apenas [fechado]

Existem gerenciadores de senhas como o KeePass que armazenam todas as senhas em um contêiner criptografado na máquina local. Eu precisaria copiar esse contêiner para outras máquinas para poder ter minhas senhas lá também.

Depois, existem gerenciadores de senhas que são essencialmente como o KeePass, mas armazenam o contêiner de senhas on-line.

E existem geradores de senha algorítmica que, com base em uma senha mestra, criam a senha para o site atualmente visitado em tempo real. Exemplos desses gerenciadores de senhas on-line são SupergenPass e PWDHash . Tudo o que eu preciso para carregar comigo é um pequeno bookmarklet (que é sincronizado nos navegadores) e a senha mestra na minha cabeça.

Quais são as vantagens ou desvantagens, em termos de segurança, ao usar os gerenciadores de senhas on-line da 3ª categoria? Existe um gerenciador de senhas on-line que lide com essas desvantagens e ofereça vantagens?

Pessoalmente, gosto um pouco mais do gerente hospedado, desde que a segurança seja implementada corretamente. Tomemos o LastPass, por exemplo (o meu favorito), eles não armazenam uma versão sem hash da sua senha mestra, portanto, sem quebrar deliberadamente suas senhas, nem o host do site pode acessar suas informações. Obviamente, isso é tão bom quanto a sua confiança em terceiros, que é onde as preocupações de segurança entram em jogo. Para encurtar a história, contanto que eles não mantenham uma cópia sem hash da sua senha, não me importo de usar os gerenciadores de senhas hospedados.

Bem, todos eles são implementados de maneira diferente, alguns são mais seguros e outros menos.

Por exemplo, eu uso o Clipperz .

A maneira como o Clipperz funciona é criptografar / descriptografar um blob criptografado que o servidor armazena em javascript . Isso significa que, se o seu blob encontrar o caminho de um hacker maligno, ele não será capaz de descriptografá-lo (se você tiver decidido uma senha razoável)

O código para ele é de código aberto, algo que me enche de confiança um pouco mais, porque eu posso auditá-lo.

O LastPass usa a mesma abordagem, portanto é bastante seguro.

É menos provável que eu use coisas como https://www.pwdhash.com/, porque isso significa que, se eu quiser alterar minha senha mestra, precisarei alterá-la em todos os sites. Além disso, é menos seguro, como se as pessoas soubessem as regras que eu uso para criar a senha, elas podem fazer força bruta forçando minha senha mestra.

Atualização de 2018

Eu aprendi muito nos 8 anos desde que escrevi originalmente esta resposta. O que antes eu pensava ser uma senha segura, na verdade não era tão seguro . Hoje eu uso 1Password com senhas geradas no estilo "diceword". Ainda offline e pelos mesmos motivos, mas mais seguro que meu algoritmo mental com base no nome de domínio. As únicas senhas das quais preciso me lembrar mais são aquelas que fazem login no meu computador e aquela que abre o cofre do 1Password - as quais são anotadas no cofre do 1Password da minha esposa, caso algo aconteça comigo. Tudo o resto está apenas a algumas teclas de distância.

Usar um gerenciador de senhas hospedado significa que suas senhas são armazenadas em algum lugar da nuvem e em algum lugar próximo a ele (no código que as cria / edita / as utiliza) há instruções explícitas sobre como descriptografá-las. Caso o site seja comprometido, não seria difícil obter acesso a milhares de contas.

Por esse motivo, desconfio dos gerenciadores de senhas on-line. Pessoalmente, uso uma solução que inventei: tenho um algoritmo simples o suficiente para executar em minha mente, que gera uma senha segura (caracteres maiúsculos e minúsculos, números e caracteres especiais) com base no nome do domínio e meu nome de usuário escolhido.

Além disso, eu tento usar o OAuth e OpenID, sempre que possível, para que eu tenha menos senhas para se lembrar e pode ser mais seguro que os sites que DO tem minha senha (por exemplo, Facebook, e meu provedor de OpenId) estão prendendo-o corretamente (sal + de hash etc).

Se eu tivesse que usar algum tipo de utilitário de armazenamento de senhas, provavelmente iria com o KeePass e armazenaria o arquivo criptografado no Dropbox para sincronizar entre computadores.