Re: [iAPP] Enpass Password Manager(限免)

楼主: Roy75117 (优酪乳)   2014-07-28 13:12:50
推文有人问到安全性。
大概解释一下这个软件所用的安全性。
参考文件:http://enpass.sinew.in/blog/security-in-enpass/
正常这个软件加密的地方会分成几个部分。
1.对你开启这个软件时所需的master password
enpass即使对你唯一需要用头脑记得密码也不会明文储存。
他是使用PBKDF2的技术,来对你所用的master password加密。
意思是说,就算你忘记你所使用的密码,你就算把整个软件拆开分析里面的资料
也只会得到PBKDF2加密后的资料,无法取得你当初所设的master password
至于PBKDF2的安全性如何,请参照wiki:http://en.wikipedia.org/wiki/PBKDF2
2.你内部所有密码的资料档
对你所储存的所有密码档,enpass使用的是AES256
所以你备份或是同步到云端的档案,都是透过AES256加密过。
里面的资料,整个拆开来看都是AES256加密过的暗文。
AES: http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
3.同步到云端时通讯时所用的加密
基本上所有扯到安全性的网络通讯协定都会使用SSL
可能你不知道那是啥,意思就是说你开启gmail或是网络银行时,你应该会发现
网址不是http开头而是https开头,这就代表内涵SSL加密。
ssh或是ftps通讯协定也是透过SSL加密,所以安全性比telnet高。
意思就是你在网络间传递的封包都有够过SSL这层做加密。
所以骇客在网络上拦截了你的封包,也无法轻易地知道收发了什么资料
至于用哪一种算法,就要看host端用什么算法。
ssl/tls : http://en.wikipedia.org/wiki/Secure_Sockets_Layer
不过只要你想透过网络的便利,都会付出一点代价,
毕竟人家还是有可能拿到加密过的资料,至于能不能解开又是另外一回事。
最保险当然就又存在脑袋中,次之暗文加密存在本地。
很不建议明文储存在本地,大家勿忘冠希事件。
当你哪天硬盘报废,人家是可以很轻易的从你的硬盘挖出你的资料(即便你删除了)
如果你没有暗文加密,那你的所有资料可以一览无遗。
至于加密算法,现在的技术算很进步了。
不太需要担心可以被强制破解,想破解大概都还需要用好几台超级电脑才有可能。
所以现在不管是网络ATM,线上信用卡付费,网络银行都是使用SSL来做安全上的对应
就算是苹果自己实做的keychain也是使用一般的暗文加密。
keychaing使用的是3DES : http://en.wikipedia.org/wiki/Triple_DES
其他著名的密码app也大概都使用类似的暗文加密算法。
密码学博大精深,小弟本人也不是主修密码学,无法一一道尽各种算法的优劣。
但可以确定的是,这些已经被广泛使用的暗文加密算法在现在还是有一定安全性的。
※ 引述《Roy75117 (优酪乳)》之铭言:
: 软件名称:Enpass Password Manager
: 软件分类:Productivity
: 软件连结:https://itunes.apple.com/jp/app/id455566716?mt=8
: 安装方式(Cydia或是App Store):App Store
: 适用韧体:iOS 7 up
: 购买费用: $9.99 → $0 (限时免费)
: 程式简介:
: 简单好用的密码管理app
: 支援多平台。
: iOS : $9.99 → $0 (limitied free)
: Android : $9.99 (Amazon Appstore & Google Play)
: Windows Phone : $9.99
: Blackberry : $9.99
: Mac OS : free !!!
: Windows : free !!!!
: 支援云端同步备份,iCloud / Dropbox
: 虽然知名度不高,但光是各平台都支援,桌机版还免费,CP值就破表了。
作者: zfs (zfs)   2014-07-28 13:28:00
有人用过 iPassSafe 这套密码管理吗付费但功能很强且不断更新
作者: zson (咩咩)   2014-07-29 07:49:00
我个人是用passwordbox啦, 也是跨平台的

Links booklink

Contact Us: admin [ a t ] ucptt.com