저는 좋은 비밀번호 관리자를 찾고 있는데(예, 저는 까다롭습니다) 오늘 흥미로운 문제에 직면했습니다:
- 내 비밀번호는 Google 비밀번호 관리자에 저장되어 있습니다.
- 몇몇 사이트에서는 LastPass를 사용하여 느낌을 얻었습니다.
- GooglePass에서 저장된 로드된 자격 증명을 사용하여 입력하는 새 사이트의 경우 LastPass는 내 저장소에 항목을 저장하도록 제안합니다. 그렇게 하면 읽을 수 있고 암호가 해독되며 눈에 잘 띄게 됩니다.
- GooglePass에 저장된 자격 증명은 내 Google/Microsoft 사용자/비밀번호로 암호화되어야 하기 때문에LastPass가 이를 읽을 수 있는 방법? 이는 화면에 '숨겨져' 있으며 LastPass는 이를 '알지' 못합니다. GooglePass에서 액세스하려면 내 PC 계정 자격 증명을 제공해야 합니다. LastPass가 아무런 문제 없이 이를 수행(읽기)하는 것이 어떻게 가능합니까? 무엇이든 해독할 수 있나요? 화면에 점이나 별표로 '숨겨지기' 전에 비밀번호 상자로 전송된 ASC 문자를 읽을 수 있습니까? 내 비밀번호를 금고에 저장하고 싶지 않은 경우 어떻게 보호하나요?
'제한된 신뢰'를 전제로 행동하다 보니 조금 혼란스럽습니다. 여기서 분명한 것을 놓치고 있습니까?
감사해요!
답변1
웹사이트의 비밀번호 필드에 입력한 데이터는 일반 텍스트로 되어 있어 읽을 수 있습니다. 화면에서는 점으로 표시되므로 사람이 어깨 너머로 읽을 수는 없지만 메모리에서는 전혀 인코딩되거나 암호화되지 않습니다. 브라우저는 로그인할 수 있도록 이 일반 텍스트 버전을 서버로 보내야 합니다. 암호화된 값을 보내려고 하면 웹 사이트는 로그인 요청을 처리할 수 없습니다.
그런 다음 비밀번호 관리자는 브라우저 메모리에서 또는 로그인에 대한 HTTP 요청을 검사하여 사용자 이름과 비밀번호를 가져올 수 있습니다. 비밀번호 관리자는 아마도 이를 수행하기 위해 브라우저 확장 프로그램을 설치할 것입니다.