KeePass
密码管理器




Package

客户端 – 服务器登录行为会增加安全性吗


从客户端 – 服务器系统中获知的大多数登录行为都不会增加KeePass的安全性。当攻击者获得您的数据库文件的副本时(这是合理的假设,特别是由于云存储的趋势),攻击者可以通过编写一个根本不执行这些操作的自己的程序来规避大多数客户端 – 服务器登录行为行为。

例子:

  • 人为延误。
    输入错误密码时,某些系统会人为地延迟密钥验证,以减慢试图猜测密码的攻击者的速度。在KeePass中实现这一点将毫无用处,因为攻击者可以编写一个不执行这些延迟的自己的程序。
  • 自毁/永久阻挡(使用更强的钥匙)。
    输入几个不正确的密码后,某些系统会自行破坏或需要更强的密钥才能解锁(特别是手机中已知)。在KeePass中实现它将是无用的,因为攻击者可以编写一个不执行自毁或永久块的自己的程序。

用户应该使用强大的主密钥并使用KeePass提供的保护(依赖于加密),而不是这些行为,这与上述行为相比,不能轻易绕过。例如,通过指定大量主密钥转换轮次,密钥派生需要更多计算(更多时间),从而降低了攻击者猜测主密码的能力

上一页:
下一页:


沪ICP备19023926号-2 Copyright © 2003-2019 Dominik Reichl, [联系我们 / 版本说明] [团队 & 隐私政策]