@Homdax: Vad jag menar med "till klartext" är att alla password managers, t.ex. de i webbläsare som nämndes, måste lagra lösenord så de kan återskapas till klartext, spelar ingen roll om det finns ett sätt att se dem i GUI eller inte, för annars kan inte lösenordet skickas vidare till t.ex. en webbsida, för det är så generaliserad hantering. Det verkar som att du är ganska försiktig, även om jag personligen gillar att hålla allt i huvudet (eller säkert offline), men det är många som inte vet hur dåliga de vanliga lösenordshanterarna är.
Det är viktigt att skilja på password managers och webläsare i det här fallet. Att säga att webbläsare som t.ex. Crome är usla på skydda lösenord är helt rätt då dom sparar lösenord i klartext och utan kryptering. Att säga att password managers så som Keepass är dåliga på att hantera lösenord är helt fel då dom sparar dina lösenord i en krypterad databas, samt att de oftast har inbyggda lösenordsgenererare vilket gör att dina lösenord kommer att vara unika för varje sida samt längre och bättre än om man gör något eget åtta-teckens lösenord.
Det står inget om att fingeravtryck inte är unika?
Ursäkta jag utalade mig väldigt fel. Det jag syftade på var att det finns kända instanser där människor har blivit anklagade för att ha varit med i något pga. att "deras" fingeravtryck har funnits på platsen, sedan har man konstaterat att personen i fråga inte ens har kunnat varit på platsen och att fingeravtrycket alltså inte kan vara deras äve om det är "samma". Detta kan ha med andra saker att göra än att dom är unika, t.ex. sättet vi läser av fingeravtryck och matchar dom.
dom sparas inte i klartext nej, men dom går att få till klartext, vilket gör krypteringen direkt sämre än tex sha256. kommer dom databasen för dessa krypterade lösenord så har dom troligen tillgång till formeln som används för att kryptera lösenorden. annars kan du försöka lista ut formeln för att få de till klartext. när man lyckats med det är det busenkelt att få 100% match till databasen
Nu tror jag att vi pratar om olika saker:
Hash algoritmer t.ex. SHA kan man använda för att spara en hash av t.ex. ett lösenord, när någon sen vill komma in i systemet så frågar man efter lösenordet och gör en ny hash av det och jämför med det man har sparat om dom stämmer så är det rätt lösenord. Hemsidor som brukar nu för tiden spara hash av lösenord istället för lösenord för att dom inte ska släppa ut lösenord i världen om dom blir hackade.
Kryperingsalgoritmer t.ex. AES används för att göra något otillgängligt för någon som inte har rätt lösenord/nyckel. Om någon kommer åt en krypterad databas kommer dom inte in i den om dom inte har rätt lösenord/nyckel. Formeln för en krypteringsalgoritm ska vara känd och kommer inte att ha någon inverkan på om du kan dektyptera det som är krypterat, det kommer alltså inte vara "busenkelt" bara för att man vet formeln, har du inte lösenordet/nyckeln så kommer du inte kunna öppna databasen och då alltså inte kunna se lösenorden.
Kryptering använder du på din databas för dina lösenord på flera system. Hash används på lösenord för flera användare av ett system. I nyheten pratar man om det senare, här i tråden togs det att man kunde använda passwordmannagers (kryptering) för att lätt spara och skapa lösenord på ett säkert sätt.
