「マスター」パスワードを設定するのは良い考えですか？

マスターパスワードからサイト固有のパスワードを安全に導出することが可能です。つまり、確定的な一方向関数：「確定的」であるため、サイトのパスワードを再計算でき、「一方向」であるため、サイト固有のパスワードからマスターパスワードを再計算することはできません。一次近似として、 暗号化ハッシュ関数 がトリックを行います。

システムを拡張して、（マスターからサイト固有の）パスワード導出を構成可能slowにすることで、効率的な辞書攻撃を回避できます（悪意のあるサイトは、潜在的なマスターパスワードを「試して」、使用したものを取得できるかどうかを確認します。 「スローハッシュ」とは、多くの反復を伴うハッシュです。 saltを追加することもできます：秘密ではないがランダムに選択されたデータの一部で、マスターからサイトへの2人の異なるユーザーが-パスワードソフトウェアは、マスターパスワードを使用した場合でも、同じサイトパスワードになりません。ソルトはファイルに保存できます（非公開ではありません）が、マスターパスワードのみの知識からサイト固有のパスワードをすべて再構築することはできません（つまり、の問題に注意してください）。 、data backup）の問題を追加しています。

これは、サーバー側のパスワードハッシュの保存に関する質問とよく似ています（通常の解決策は bcrypt および PBKDF2 です）。この問題は、マスターパスワードを「master」にすることで簡単になります。 1つのパスワードのみを覚えておけばよいので、大きくて太く、ランダムで、高エントロピーのパスワードにすることもできます。 17のランダムな小文字のシーケンスを生成し、それを学習すれば、大丈夫です（26¹⁷ 約2です⁸⁰、呼び出し2⁸⁰ ハッシュ関数は、現在のテクノロジーで実現可能な時間を超えています。すべて小文字のパスワードは、特にスマートフォンで簡単に入力できます。

他の人たちはそれを行う既存のソフトウェアへのポインタを与えました。

RSAキーと暗号化されたランダムパスワードを使用するという考えも機能します。ただし、storageを意味します。旅行中に誰かがラップトップを盗んだ場合（残念ながら、まったくあり得ない出来事ではありません）、マシンを奪われただけでなく、新しいマシンを購入するまでパスワードも忘れましたandパスワードでいっぱいの暗号化ファイルのバックアップを取得します。これは不便な場合があります。マスターパスワードから決定論的にパスワードを導出することは、マスターパスワードを覚えている間、それらを失うことがないことを意味します。

また、新しいパスワード（新しいサイトの場合）を使用するには、ファイルとそのバックアップをいじる必要があります。この場合も、旅行中に難しいことがあるかもしれません。

中間ストレージを使用するとパスワードの更新が可能になりますが、なぜそれを行うのですか？パスワードの更新は、何百ものパスワードを使用する大規模な組織を管理していて、一部のパスワードは脆弱で、一部のパスワードは破損すると想定する場合に役立ちます。これは損傷を抑える方法であり、壊れたパスワードの割合が常にゼロでない場合にのみ意味があります。パスワードの更新は、陸軍のものです。それはスケールダウンしません：単一のマスターパスワード（あなたのケース）に降りると、そのパスワードは完全に壊れていないか完全に壊れています。前者の場合、マスターパスワードを更新する必要はありません。後者の場合、以前のサイト固有のパスワードをすべて変更するなど、対処する必要がある緊急の問題があります。

簡単に述べると、マスターパスワードの更新が必要な場合は、壊れていました。つまり、サイトのパスワードはすべてトーストされます。したがって、サイトのパスワードを変更せずにマスターパスワードを更新しても意味がありません。