前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >是时候放弃插件密码管理器,改用密码管理器插件了

是时候放弃插件密码管理器,改用密码管理器插件了

原创
作者头像
神锁离线版
修改2020-08-26 14:20:35
1K0
修改2020-08-26 14:20:35
举报
文章被收录于专栏:密码安全与管理

神锁离线版密码管理器插件

现已支持Google Chrome 和 Microsoft Edge浏览器,在插件商店中搜索安装就行了。

插件延续神锁离线版App的优良传统,无需注册、无需登录,即装即用。

安装后,把插件固定在插件栏,可以一键弹出扫码框。

插件使用非常简单直观。在浏览器中打开需要登录的网页时,会自动弹出扫码登录框,只需在手机上点击2次就可以完成密码填充。

1. 打开手机上的神锁离线版App(需要升级到2020.08版以上),点击扫码。

温馨提示,手机不需要离二维码很近,可以适当远一点。有些手机摄像头微距可能模糊,反而不容易扫出来。

2. 接着会看到和自动填充一样的界面,点击选择要填充的账号。

选择后,App会加密账号密码数据,并打开手机浏览器,将加密信息发送到桌面浏览器,完成自动填充。

为什么放弃插件密码管理器

绝大多数密码管理器提供插件版时,都基于浏览器的插件开发接口,实现完整的密码管理器,称之为插件密码管理器。

那些云同步的插件密码管理器不是很好用吗?为什么要放弃?因为不安全!

即使不考虑云安全以及网络安全,插件密码管理器采用的技术也存在严重的安全威胁。

浏览器的插件开发接口基于Web技术,非常开放灵活。恶意程序通过 DOM / JS,几乎可以访问页面中的任何数据。著名安全研究员 Sean Cassidy 在他的博客 Browser Extension Password Managers Should Not Be Used 中认为插件密码管理器风险无法避免。

而且,浏览器漏洞众多,是除操作系统外,被黑客攻击最多的平台。

数据来源:CVE Details

正是因为这两大风险,安全研究人员都建议不要使用插件密码管理器。

神锁离线版密码管理器对待安全问题,从来都是精心设计,不落俗套。神锁离线版没有在插件中实现密码管理器的功能,而是做了一个真正的插件。使用手机端的App扫码,将密码加密发送到插件,再填充到网页。密码全部保存在手机App中,受手机安全芯片保护(手机模拟银行卡支付使用相同的安全芯片)。

神锁离线版手机App,通过扫描由插件生成的二维码,与插件创建安全共享密钥,将需要填充的账号密码加密发送到插件。插件解密密码后,将它填充到网页的输入框中。

通过二维码创建的安全共享密钥,只有手机App和插件知道,实现端到端加密。无论是第三方,还是神锁离线版官方,都无法解密。

神锁离线版插件不保存任何密码,黑客无法通过读取浏览器数据来破解用户密码。

我们假设一个极端情况,浏览器存在严重的安全漏洞,破得像筛子一样,

  • 使用神锁离线版插件,在填充的时候,恶意程序可以偷取一个密码。
  • 使用其他插件密码管理器,在输入主密码后,恶意程序可以偷取所有保存的密码。

神锁离线版插件的其他优势

神锁离线版在安全设计上,一直以来都是遥遥领先。此外,神锁离线版还有这些优势:

  • 极简主义,让生活回归简单

使用神锁离线版插件,和使用手机App一样,无需注册,无需登录,甚至无需设置,即装即用。

我们相信,使用密码管理器,就不应该再为密码发愁,包括主密码,0 Password, 忘记密码管理器的主密码怎么办?

  • 信任和分享

插件无需登录或绑定账号,需要分享账号给可以信任的好友时,只需隔空扫码。


未完待续...

  • 神锁离线版插件的安全设计

大家都已经知道,加密 ≠ 安全,所谓的军事级别加密,只是营销口号,忽悠外行。 密码管理器的安全关键在于:安全设计。

  • 神锁离线版插件端到端加密比HTTPS更安全

神锁离线版插件的加密传输有多安全?比银行都在使用的HTTPS还安全。

  • 验证神锁离线版的安全机制

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 神锁离线版密码管理器插件
  • 为什么放弃插件密码管理器
  • 神锁离线版插件的其他优势
    • 未完待续...
    相关产品与服务
    对象存储
    对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
    领券
    问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档