A jelszókezelő olyan szoftver , amely segít a felhasználónak a jelszavak és PIN -kódok kezelésében . Az ilyen szoftverek általában rendelkeznek egy helyi adatbázissal vagy fájlokkal, amelyek titkosított jelszóadatokat tartalmaznak. Sok jelszókezelő űrlapkitöltőként is működik, vagyis automatikusan kitölti a felhasználói mezőt és a jelszóadatokat az űrlapokon. Általában böngészőbővítményként valósítják meg.
A jelszókezelők három fő kategóriába sorolhatók:
A jelszókezelők adathalász védelemként is használhatók . Ellentétben az emberekkel, a jelszókezelő program képes kezelni az automatizált bejelentkezési szkriptet, amely immunis a webhelyeknek tűnő vizuális utánzatokra, vagyis egy adathalász oldalra mutató kétes hivatkozásra kattintva a jelszókezelő nem helyettesíti a bejelentkezési jelszót a beviteli űrlapokon, és a felhasználó megérti, hogy a webhely hamis. Ezzel a beépített előnnyel a jelszókezelő használata akkor is előnyös, ha a felhasználónak csak néhány jelszót kell megjegyeznie. Azonban nem minden jelszókezelő képes automatikusan kezelni a sok banki webhely által előírt bonyolultabb azonosítási eljárásokat.
A jelszókezelők általában a felhasználó által kiválasztott fő jelszót vagy jelmondatot használnak a tárolt jelszavak titkosításához használt kulcs létrehozásához. Ennek a fő jelszónak elég összetettnek kell lennie ahhoz, hogy ellenálljon a behatolók támadásainak (például brute force ).
Ha a fő jelszót feltörik, akkor a program adatbázisában tárolt összes jelszó megjelenik. Ez a használhatóság és a biztonság közötti fordított összefüggést mutatja: lehet, hogy egyetlen jelszó kényelmesebb, de ha feltörik, az összes tárolt jelszót veszélyezteti.
A fő jelszót kulcsnaplózó vagy akusztikus kriptoanalízis segítségével is meg lehet támadni és felfedezni . Az ilyen fenyegetés csökkenthető egy virtuális billentyűzet használatával , például a KeePass -ban .
Egyes jelszókezelők tartalmaznak jelszógenerátort. A generált jelszavak kitalálhatók , hacsak a jelszókezelő nem használ kriptográfiailag biztonságos véletlenszám - generátort .
Az online jelszókezelő egy olyan webhely, amely biztonságosan tárolja a bejelentkezési adatokat. Így ez a szokásos asztali jelszókezelő hálózati verziója.
Az online jelszókezelők előnye az asztali verziókkal szemben a hordozhatóság (bármilyen webböngészővel és internetkapcsolattal rendelkező számítógépen használhatók, szoftver telepítése nélkül), valamint kisebb a jelszavak elvesztésének kockázata a lopás vagy a számítógép károsodása miatt. A károsodás kockázata nagymértékben csökkenthető, ha előzetesen biztonsági másolatot készít .
Az online jelszókezelők fő hátránya, hogy megbíznia kell az oldal tárhelyén . Az ismételt feltörések és a központilag tárolt információk elvesztése a szerveren nem kelt bizalmat.
Vannak vegyes megoldások. Számos erőforrás, például a FortNotes [1] , amely jelszavak és egyéb titkos adatok online tárolási szolgáltatásait nyújtja, terjeszti e rendszerek forráskódjait. A kód ellenőrzésének és egy ilyen rendszer telepítésének lehetősége tűzfallal védett szerverre vagy olyan szerverre, amely nem rendelkezik közvetlen internet-hozzáféréssel, lehetővé teszi az esetleges adatkompromittálódás problémájának megoldását.
A webalapú jelszókezelő használata az egyszeri bejelentkezési technológia , például az OpenID vagy a Microsoft Windows Live ID alternatívája, és ideiglenes intézkedésként használható, amíg jobb módszert nem alkalmaznak.
Vannak akadályvédelemmel ellátott jelszókezelők is. Ebben az esetben a felhasználó internetes fiókja egésze védett. A védelmi kerületet az ellenhatástól kezdve a billentyűzetnaplózókon és a képernyőkémeken keresztül építik fel, és a hálózati erőforrás IP-címének meghamisítása elleni védelemig. A Google nyilvános DNS -t a hálózat védelmére használják , a kémprogram-elhárítást pedig az engedélyezési adatok automatikus helyettesítése biztosítja a webes űrlapokon.