自建密码管理，真的有安全优势吗

Hobostar

XLove 发表于 2021-12-29 19:45
each password being represented as either a SHA-1 or an NTLM hash

https://haveibeenpwned.com/Pass ...

The entire set of passwords is downloadable for free below with each password being represented as either a SHA-1 or an NTLM hash to protect the original value (some passwords contain personally identifiable information)
朋友，它们当然是有原始密码的，只是不给你(免费)看而已

Hobostar

hitachi 发表于 2021-12-29 19:45
你的论点是建立在信任第三方的基础上。如果这个前提不牢固，那么完蛋。
跳板机和应用防火墙带来的可能只 ...

全套本地硬件+yubikey那种我举双手支持
VPS+云盘备份的，nono，这只是选了更不可靠的第三方

这是最好的年代

Hobostar 发表于 2021-12-29 19:51
The entire set of passwords is downloadable for free below with each password being represented as ...

牛头不对马嘴，你知道这网站是干什么的吗？

https://haveibeenpwned.com/About

PTMan

这问题没什么讨论必要，安全性差距可能只有十万分之一千万分之一，用密码库主要是乱七八糟的网站密码不想记又不想和其他社交帐号一样，就算盗了库知道你账号密码想赚点什么也不过是**长征第一步，还得过软件商的二次安全验证，国内但凡涉及到钱的软件所有敏感操作什么异地登陆大额转出都需要手机短信验证

XLove

Hobostar 发表于 2021-12-29 19:51
The entire set of passwords is downloadable for free below with each password being represented as ...

原理不就是对比hash，又不需要把密码传给网站检测。

小旭

难道你买的密码存储服务商不是存在服务器上的吗？

Hobostar

这是最好的年代 发表于 2021-12-29 19:55
牛头不对马嘴，你知道这网站是干什么的吗？

https://haveibeenpwned.com/About

对牛弹琴
这网站是收集库的，公开出来的数据不能让你当社工用，所以加密了
密码管理器怎么做对比？做一样的哈希处理然后跟库比，没有原始密码做个屁

Hobostar

XLove 发表于 2021-12-29 19:56
原理不就是对比hash，又不需要把密码传给网站检测。

你得有原文才能做哈希不是吗;)

这是最好的年代

朋友，它们当然是有原始密码的，只是不给你(免费)看而已

你这话说得好像这网站是个卖库的，但实际上这网站是完全公益的。

对牛弹琴
这网站是收集库的，公开出来的数据不能让你当社工用，所以加密了
密码管理器怎么做对比？做一样的哈希处理然后跟库比，没有原始密码做个屁

我的意思是服务器不需要知道原始密码，这些处理都是在客户端做的，没有安全风险。

XLove

Hobostar 发表于 2021-12-29 20:01
你得有原文才能做哈希不是吗;)

不传输原文
https://github.com/keepassxreboot/keepassxc/search?q=haveibeenpwned&type=code