比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?-阿里云开发者社区

开发者社区> 玄学酱> 正文

比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?

简介: 本文讲的是比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?,弗吉尼亚大学的两位研究人员设计了一款新的密码管理器Horcrux,和现有密码管理器机制很是不同。
+关注继续查看
本文讲的是比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?

比LastPass、1Password更安全的密码管理器,Horcrux是怎么实现的?

弗吉尼亚大学的两位研究人员设计了一款新的密码管理器Horcrux,和现有密码管理器机制很是不同。

研究人员称Horcrux是密码管理器产品里的“偏执狂”,因为它在安全、隐私以及处理用户密码上有独特的设计,相比LastPass和1Password等主流密码管理器要更可靠。

它们之间有两个主要区别。

虚拟表单

第一个是在网页插入用户账号密码的方式,现在的密码管理器都是直接填写。

“这样很不安全”,Horcrux的两位创造者Hannah Li和David Evans表示,密码管理器将用户登录凭证插入页面后,浏览器或页面内的JS脚本可以随意读取,如果存在恶意脚本,用户账号密码此时是毫无安全保障的。

Horcrux没有这个问题,它在网页里插入的是假数据,并不是用户真实账号密码。只在用户点击登录时,Horcrux拦截了提交操作,将其中的假数据改为真实数据。

这个想法不算新鲜,但Horcrux是首个真正达到可用级别的实现项目。研究人员称,他们花费了大量努力来保证可用性和兼容性,目前Alexa排名前一百万的网站,有98%可以和Horcrux完好兼容。

多服务器存储

Horcrux的第二个特别功能是存储用户凭据方面。

和惯常的解决方案不同,Horcrux不信任把密码存储在单个地方,而是在多个服务器上存储。这意味着攻击者如果只攻破了一台服务器,是无法获得所有用户密码的,限制了安全问题的扩大化。

在多个服务器上存储的用户密码,使用cuckoo hashing(杜鹃哈希)算法进行共享,这使得攻击者无法猜测到主密码是否正确,即使对方黑掉了某台服务器,也难以解密恢复密码。

Horcrux目前已经开源,研究团队在Github上分享了他们做的Firefox附加组件,大家可以自行下载试用。不过有个缺点,用户需自行架设密码存储服务器,这可能挡住了绝大多数人。

开发密码管理软件的公司也可以参考这个项目,将相关特性移植到自家方案上。如果想了解更多细节,可以看他们的研究论文《Horcrux: A Password Manager for Paranoids》。




原文发布时间为:2017年7月6日
本文作者:星辰
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Jenkins修改管理员密码.
   前言:Jenkins修改管理员密码,我看了网上所有的教程,竟然全都是拿着一串已经加密好的111111的密文去替代config.xml文件里面的密码,然后大家的密码都是111111!我觉得这种做法实在太敷衍了!于是我就研究了下,包括Jenkins密码的加密方式,以及如何修改管理员的密码,当然,通过配置Jenkins允许注册用户,去注册一个用户,也不失为一个好选择。
1402 0
PostgreSQL 10.1 手册_部分 III. 服务器管理_第 31 章 逻辑复制_31.7. 安全
31.7. 安全 用于复制链接的角色必须具有REPLICATION属性 (或者是超级用户)。该用户的访问权限必须在pg_hba.conf中配置。 用户必须具有数据库的CREATE权限才能创建发布。
952 0
usermod命令/用户密码管理/mkpasswd命令
3.4 usermod命令  3.5 用户密码管理 3.6 mkpasswd命令 usermod命令   设置用户uid: usermod  -u  111 username 设置用户gid usermod  -g   gid   username 设置用户家目录 usermo...
1061 0
wordpress修改绑定的mysql用户名密码
问题描述 在安装wordpress的时候,安装了mysql数据库,可能没注意数据库用户名用了root,密码用了11111,虽然绑定了域名,但是游客可以通过域名反测出博客的公网IP地址,那么人家拿到IP地址,一试你的m...
1563 0
+关注
玄学酱
这个时候,玄酱是不是应该说点什么...
17436
文章
438
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载