我正在寻找一个好的密码管理器(是的,我很挑剔),今天我遇到了一个有趣的问题:
- 我的密码存储在 Google 密码管理器中。
- 对于几个网站,我使用 LastPass 来感受它。
- 对于我使用已保存的 GooglePass 凭证进入的新网站,LastPass 会将条目保存到我的保管库中。如果我这样做,它们将是可读的、解密的,并且一目了然。
- 由于 GooglePass 保存的凭证应该使用我的 Google/Microsoft 用户/密码进行加密LastPass 如何读取这些信息? 它们在屏幕上“隐藏”,LastPass 并不“知道”它们。如果我想在 GooglePass 中访问它们,我需要提供我的 PC 帐户凭据。LastPass 怎么可能毫无问题地执行(读取)它?它能解密任何东西吗?它能读取发送到密码框的 ASC 字符,然后将它们“隐藏”为屏幕上的点或星号吗?我不想存储在保险库中的密码该如何保护?
由于我以“有限信任”为前提行事,所以我有点困惑。我是不是忽略了某些显而易见的东西?
谢谢!
答案1
在网站上输入密码字段的数据是纯文本,可读。它在屏幕上显示为点,因此别人无法从你背后读出它,但在内存中它根本没有编码或加密。浏览器需要将此纯文本版本发送到服务器,以便你登录。如果它试图发送加密值,网站将无法处理登录请求。
然后,密码管理器可以从浏览器内存或通过检查登录的 HTTP 请求来获取用户名和密码。密码管理器可能会安装浏览器扩展来实现这一点。