Я ищу хороший менеджер паролей (да, я придирчив), и сегодня я столкнулся с интересной проблемой:
- Мои пароли хранятся в менеджере паролей Google.
- Для нескольких сайтов я использую LastPass, чтобы освоиться.
- Для нового сайта, на который я захожу с сохраненными-загруженными учетными данными из GooglePass, LastPass предлагает сохранить записи в моем хранилище. Если я это сделаю, они будут читаемыми, расшифрованными и на виду.
- Поскольку сохраненные учетные данные GooglePass должны быть зашифрованы с помощью моих имен пользователей/паролей Google/MicrosoftКАК LastPass может их прочитать? Они «скрыты» на экране, и LastPass их не «знает». Если я хочу получить к ним доступ в GooglePass, мне нужно предоставить данные учетной записи моего ПК. Как это возможно, что LastPass делает (читает) это без каких-либо проблем? Может ли он что-либо расшифровать? Может ли он прочитать символы ASC, отправленные в поле пароля, прежде чем они будут «скрыты» на экране в виде точек или звезд? Как насчет защиты моих паролей, которые я не хочу хранить в хранилище?
Поскольку я действую на основе предпосылки «ограниченного доверия», я немного запутался. Я что-то очевидное здесь упускаю?
Спасибо!
решение1
Данные, введенные в поле пароля на веб-сайте, представляют собой обычный текст и читабельны. На экране они отображаются точками, поэтому человек не может прочитать их через ваше плечо, но в памяти они вообще не закодированы и не зашифрованы. Браузеру необходимо отправить эту обычную текстовую версию на сервер, чтобы вы могли войти в систему. Если бы он попытался отправить зашифрованное значение, веб-сайт не смог бы обработать запрос на вход.
Менеджер паролей затем может извлечь имя пользователя и пароль либо из памяти браузера, либо путем проверки HTTP-запроса, сделанного для входа. Менеджер паролей, вероятно, установит расширение браузера, чтобы сделать это.