Rajuk jar a rud...
Szerintem az egész "broken by design"
- rábízom a jelszavaimat egy 3rd party cégre,
- aki számomra ismeretlen titkosítással,
- a zintetneten "tárolja" őket,
- nagyon nagy valószínűséggel nem csak nekem adja őket oda.
- a kliens oldal egy böngésző plugin,
- telefonra és minden egyéb szarra kitálalja a jelszavakat.
Ez maximim kényelmes, de semmiképp nem biztonságos jelszókezelés => adtunk a szarnak egy nagy pofont.
Szerintem a jelszótárolás alapelvei:
- lokálisan legyen tárolva,
- független legyen a böngészőtől, és minden más apptól.
- semmilyen más app ne tudjon hozzányúlni (böngésző se!), csak copy-paste-tel lehessen kivenni belőle adatot.
- tudjon generálni variálható ficsöröket tartalmazó jelszavakat
- "emlékezzen" a korábbi jelszavakra is.
Biztonságtól távol álló vackokra (telefon, tablet, iot kütyü) maxmimum egy külön jelszó adatbázis, amiben csak az adott eszközön használt jelszavak vannak. Innentől meg nem vagyunk sokkal előrébb annál, hogy maga az eszköz/alkalmazás megjegyezze.
Szerintem.
--
zrubi.hu