저는 최근 비밀번호 관리자, 특히 LastPass를 사용하기 시작했습니다. 나는 앱이 내부적으로 어떻게 작동하여 내 비밀번호를 저장, 암호화하고 이에 대한 액세스를 제공하는지 이해했습니다. 직관적으로 느껴지지 않는 내 질문은 앱에 대한 로그인을 만드는 가장 좋은 정책이 무엇인지입니다.
물론 LastPass 계정을 생성하려면 이메일 계정을 사용해야 합니다. 제가 우려하는 점은 LastPass를 사용하여 해당 이메일 계정에 대한 로그인 자격 증명을 저장한 다음 마스터 비밀번호를 잊어버리면 이메일에 액세스할 수 없다는 것입니다. 그리고 내 이메일에 액세스할 수 없다는 것은 내 LastPass 계정을 복구할 방법이 없다는 것과 같습니다. 반면에 이메일 로그인을 독립적으로 유지하면 내 LastPass 계정은 이메일 비밀번호만큼 안전합니다.
내 이메일과 LastPass 계정에 2개의 서로 다른 강력한 비밀번호, 동일한 비밀번호가 있어야 합니까, 아니면 LastPass가 내 이메일에 대한 로그인을 생성하도록 해야 합니까? 첫 번째 선택은 서로 다른 두 개의 복잡한 비밀번호를 기억하기 어렵게 만듭니다. 다른 두 가지 선택에는 비밀번호 복구가 필요한 경우 명백한 단점이 있습니다.
답변1
LastPass는 귀하의 이메일 계정에 대한 비밀번호만 유지하며 귀하의 이메일 계정에 로그인할 때 해당 비밀번호를 수동으로 입력하는 것을 방해하는 것은 없습니다.
실제로 마스터 비밀번호를 잊어버리면 양식 작성 및 비밀번호가 포함된 LastPass 데이터베이스에 대한 액세스가 거부되지만 양식 및 비밀번호가 LastPass에 저장되어 있는 서비스는 차단되지 않습니다.
비밀번호를 안전한 곳에 보관하고 좋은 힌트(비밀번호와 전혀 동일하지 않음)를 정의하는 것은 여전히 좋은 생각입니다. 과거에 발생한 것과 같이 LastPass가 해킹된 경우에는 힌트만 손상됩니다.
LastPass가 귀하를 위해 보관하는 데이터는 암호화되어 있으며 귀하의 비밀번호가 없으면 LastPass 웹사이트를 해킹하여 이를 얻는 사람이 해당 데이터를 사용할 수 없습니다.
저는 비밀번호 재사용을 매우 반대하므로 LastPass에 이메일과 동일한 비밀번호를 재사용하지 않는 것이 좋습니다. 공격자는 귀하의 여러 계정에 액세스하려면 하나의 비밀번호만 해독하면 됩니다.
LastPass는 사이트별로 비밀번호를 생성하는 옵션을 제공합니다. 이것도 마음에 들지 않습니다. 왜냐하면 이 비밀번호는 길고 의미가 없어서 기억하는 것이 불가능하기 때문입니다. 즉, LastPass를 통해서만 이메일에 액세스할 수 있으며 이메일을 확인하려는 모든 장치에 이를 설치해야 함을 의미합니다.
기억하기 쉬운 문장에 웹사이트 이름의 일부를 포함시켜 기억하기 쉬운 웹사이트 비밀번호를 쉽게 만들 수 있습니다. 예를 들어, "++이것은 com 도메인의 수퍼유저에 대한 내 비밀번호입니다!!" 기억하기는 쉽지만 기계적으로 해독하는 것은 불가능합니다. 그러면 LastPass를 사용하면 로그인이 더 쉬워지지만 필수적이거나 대체 불가능한 것은 아닙니다.
답변2
LastPass는 비밀번호만 저장합니다. 비밀번호 생성기를 사용하더라도 이것이 로그인하는 유일한 방법은 아닙니다. LastPass 없이도 Gmail이나 Outlook에 비밀번호를 수동으로 입력할 수 있습니다.
저는 기본 이메일을 사용하고 이를 LastPass에 저장한 다음 이메일/마스터 비밀번호를 적어서 금고에 보관했습니다.
편집: 방금 harrymc가 내 앞에 있는 질문에 거의 대답했다는 것을 깨달았습니다.