密码管理器进化史(1/4)

第一代密码管理器:小本本,记事本,浏览器集成的密码管理器

经常看到很多密码管理器的评测和讨论,大多聚焦于功能特性,对于最关键的安全性,小编们基本都说不清楚。这当然可以理解,毕竟密码管理器的安全非常专业也非常技术性,具备足够知识背景的人并不多。

本系列文章主要从密码管理器保护密码的安全性角度,分享一下相关的专业知识。

密码管理器的安全性涉及到很多方面的知识,本系列文章只讨论对数据加密保护这个核心技术。

➊ TL;DR(太长了,不想读)

密码管理器已经进化了4代,每一代都带来安全性的巨大提升。

本篇讲解第一代密码管理器,总结如下:

➋ 起源

故事是这样开始的。互联网服务越来越流行,大家要登录的网站越来越多,要记住的密码也越来越多了。

怎么办

于是人们就开始尝试各种管理密码的方法,

有人用小本子写得密密麻麻,有人则用记事本保存到文件。

现在云笔记开始流行了,还能写私密笔记。设一个密码,随时同步,真方便!

黑客

☝️ 黑客也这么看

➌ 没有保护的密码管理器

大家使用浏览器上网经常要输入用户名和密码,浏览器就集成了记住密码和填写密码功能。

Internet Explorer 自动完成密码

第一代密码管理器通常都没有加密,也就是说,和你用记事本保存在电脑上差不多。

密码明文集中保存!嘿嘿,你看看黑客的小心脏

黑客的小心脏

浏览器厂商也知道这个问题很严重,慢慢都开始加密保存,现在打开浏览器保存密码的数据库文件看不到明文密码了。

可是,可是,没什么卵用啊...

比如Chrome浏览器在Windows上就使用 DPAPI 来加密,用户打开任何其他程序都可以调用 CryptUnprotectData 解密得到密码。

加密 ≠ 安全

甚至还有人写了开源程序,能够从Windows, Mac, Linux等平台上抓取Chrome浏览器保存的密码,就在这里 Chrome-Password-Grabber

Github

➍ 第一代安全技术

第一代密码管理器的安全技术:有管理,无保护。

或者,

如果浏览器可以直接读取保存的密码,那其他应用程序也可以使用相同的方法读取。

所以,如果浏览器可以直接填充密码,而不要求输入独立的主密码解锁,那就没有真正的保护。

浏览器还是黑客们最主要的攻击目标之一,墙裂建议,不要使用浏览器自带的密码管理器!!!

知名浏览器 Opera服务被黑,用户数据和存储密码泄露

➎ 私密云笔记

记事本写密码大家都知道很不安全,输入密码才能查看的私密云笔记,却有很大的迷惑性,很多用户会误以为安全。

有些云笔记仅仅使用密码限制用户访问,而不是使用密码加密笔记内容。

就是防一下女朋友打开电脑时直接看到内容。

如果云端被黑客入侵,那你保存的密码就很可能被盗。

我不会告诉你,云笔记的开发者也可能偷看 😂

使用云笔记保存密码要非常小心,除非确信设置的密码用于加密内容。

密码管理器进化史系列文章