简单解释 Opera Link 同步密码的安全机制

现在 Opera 用户众所周知的同步功能 (Opera Link) 的首次登场已经是 2007 年发布 Opera 9.5 Beta 的事了。自那时起,希望密码管理器的数据也能同步的呼声就一直没有停歇。终于,应大家要求,同步密码功能在 Opera 11.5 中得到了实现(真能让人等… ←_←

大家理所当然要关心 Opera  Link 同步密码这方面的安全性如何,包括 Opera 如何存放咱们用户的密码数据等等细节。2011 年上半年,Opera 花了好些时间修改了登录网页和一大堆用户看不见的后台程序,确保所有用户登录 opera.com 账户时都必须使用 HTTPS 连接。这些加强安全性的措施是为了确保你的 Opera 账户仍然安全。为什么 Opera 账户的安全分外重要?因为,Opera 密码管理器的所有数据,是通过你的 Opera 账户的密码加密后再同步的

Opera 密码同步如果你对此好奇,不妨听我解释一下密码同步的原理:

  • 当你第一次启动密码管理器同步,Opera 会为你的密码数据生成一个长而强的随机加密密钥。
  • 此密钥用来加密你发往 Opera 同步服务器的所有数据。加密步骤在你的 Opera 客户端上进行。
  • 这把加密密钥本身又被你的 Opera 账户密码加密(被绕晕了没= =),再发送给同步服务器。所以 Opera 账户密码非常关键。
  • 当你在另一台电脑上使用 Opera 并开启同步,这台电脑的 Opera 会从同步服务器上接收到密钥和密码管理器数据。前面提过,这两者都经过了加密,所以 Opera 还必须先解密这些数据才能用。你应该还记得,启动同步之前,你已经在 Opera 的同步对话框里输入过 Opera 账户密码,正是这份密码使 Opera 得以解密前面从同步服务器接收到的数据。完成了解密这一步,密码等等数据才算同步好了。

上述工作原理意味着, Opera 公司理论上能获取你的数据,但是实际操作中不会有任何单独的部门能获取,因为你的 Opera 账户密码根本没有发送给同步服务器,而是发送给了验证服务程序。你的数据绝对不会以纯文本方式储存在 Opera ,就算公司中有人能得到你的数据,那也是加密过的,所以 ta 仍然无法提取出你的密码,除非,ta 使出极端野蛮暴力的大招。即使同步数据和验证数据都被 ta 窃取,要提取密码也并非说说这么容易,因为数据当中各个信息块还使用了随机 Salt 字符串来防范彩虹表攻击。

总之必须谨记,Opera 账户,是获取所有你存放在同步服务器上的密码数据的钥匙,这意味着:

  1. 为你的 Opera 账户取一个足够强的密码至关重要,千万不要取那种能轻易破解的所谓密码。事实上,我建议你在开始使用 Opera 的密码同步功能之前先换个新密码,即使之前已经有同步其他数据的经验。你可以在登录 My Opera 后更改密码,入口在 My Opera 网页顶部导航栏 -> 账户 ->隐私和密码。
  2. 永远、永远不要把你的 Opera 账户密码告诉给任何人。这并不是说,你其他密码就可以给别人了(不废话吗…),只是郑重再提醒一句:一旦交出 Opera 账户密码,你储存在密码管理器里面的其他密码,也就统统缴械投降了。

如果你对现行 Opera Link 同步密码的安全性并不满足,设计此功能的工程师 Esteban Manchado Velázquez 有一些补充解释:

从纯粹的安全角度来看,现行的 Opera 同步机制理论上还称不上完美,前面提过,此机制“理论上”并没有彻底杜绝 Opera 拿到用户数据的可能,尽管这个可能性很小很小。万全的方案应该需要两个密码:一个用于登录 My Opera 和取回加密过的同步数据,一个用来解密同步数据,后者不以任何形式发送给服务器,只存储于客户端。Esteban Manchado Velázquez 自己一开始也如此打算,但是考虑到用户很可能会困惑为什么需要两个密码,而且容易忘记其中一个,所以后来没有这样设计。从用户角度出发,完美的方案是对便利和安全的最佳折衷,即默认只需一个密码,并且提供选项给需要更高安全级别的用户使用两套密码,但是目前这套“完美方案”还没有实施的时间表。

via: Opera Link BlogOpera.IM 编译

How to Feel Proud as a Full Figured Woman
cartola fc the tyranny of families and why monsters hold such a primal appeal

How to Purchase the Right Diamond Ring
transformice officially United States of America

can we stop describing women’s bodies as
jogos da barbie please have a look at the following info

A Super Cheap Alternative to a Brazilian Butt Lift Surgery
free hd porn and how to make your time personally productive

High fashion for the home at C Couture
milf porn how that will a well liked rider messenger suitcase

Nokia Battery to Supply Power for Your Phone
anime porn Along with he suit and the tie

I really like the blue in the soles
large porn tube 6 7g protein

8 Amazing Works of Art You Need a Microscope to Appreciate
quick weight loss The beauty of these handled

29条评论

  1. lastpass跨浏览器同步,完全秒杀OPERA LINK,而且OPERA的链接真不怎么畅通。

    1. LP 作为密码同步服务是不错的,但 Link 还能同步书签和其他东西。
      还是就是 LP 的移动版本是要收费的。

    1. 网络的问题,丢数据的概率是存在的。但如果习惯好的话,数据丢不了。

      但很多人没有理解 Link 同步的概念,以为就是备份到网络的功能。这才导致了更多的悲剧。

  2. 自从在bbs.operachina.com上看了几个由opera link引起的血案之后,一直,没有再用opera link了。。 虽然以前同步的时候,没有发生数据丢失 :mrgreen: ,但是就怕万一阿。。那就哭:cry: 都来不及了!

  3. 我开link很久了,至少两年来,基本上让我感到满意。因噎废食是不可取的。现在我比较希望opera mobile能同步urlfilter…

  4. :roll: :roll: 其实对于link想不发生血案,有两个选择,一是当废物,备份什么的全手动,另一个就是一直开着,不关闭就行了。而且现在可以上opera的英文官网了,管理书签也方便了

    1. 所以说导致悲剧的是“很多人没有理解 Link 同步的概念,以为就是备份到网络的功能。”
      用来做备份悲剧十有八九。

  5. 自从上次看到一个operapassview能直接看到wand.dat里面的密码之后我就再没用过opera保存密码了。。。现在应该还这样吧。。
    所以这个什么link安全机制也是建立在草堆上的高楼。。。

    1. 把守的关卡不一样,发送给服务器的数据是在wand.dat基础上加密。就是说,上面说的Opera Link的安全机制是为了避免密码在传输过程中、在服务器端数据库被窃取。如果人家已经能直接从你硬盘或其他地方获取wand.dat,这个关卡失守,你别的数据也早就已经没有安全可言。别人copy wand.dat后,就算没有operapassview,一样可以用你的wand数据对网页表格填表,然后用简单的javascript取得表单内容,密码就到手了,js获取表单密码的方法,对各大浏览器是通用的。所以本地文件不被人直接拿到是最起码的防守底线,不限于Opera。

      1. 感谢回复,这么说确实清楚了,不过始终还是心存芥蒂不敢用浏览器保存密码–!

    2. 每个浏览器都有密码提取工具,这么说都不安全咯。
      你如果在 OP 中启用主密码, operapassview 只能看到一堆乱码。
      但经常要输入这个主密码,要安全就会带来这么点麻烦。
      草堆的不是工具,是部分人习惯。

    3. 在高级选项–安全性中设置主密码就可以防止读取wand了。

      ps:chrome保存的密码在设置中直接点击显示就可以显示,都不用第三方软件。。。。

  6. 阿顺你说得我好伤心,我没理解同步………………泪奔,不过我也确实不晓得要怎么用Opera link才会不丢数据
    1)某用过了的Opera上打开link,后来由于种种原因,link一直连不上O家服务器,等连上的时候有些书签变双份,有些消失了,有些删除掉的又回来了(这是一次,之前有是我自己关掉的link又打开弄乱了书签,是我错了好吧)
    2)A机上用过的Opera打开link,然后B机上新安装Opera,打开link,biu,A机的Opera的wand报销,但是书签快拨是好的
    3)mini上oem的快拨删掉以后会继续出现,并且会出现在pc上
    这就是我遇到的几种link后出问题的情况,真不知道用错在哪里了

    1. 我那么说其实是因为见过好几个人把 link 当成备份工具了。
      以为开着 link 删除当前书签后还可以同步回来。MT 2.x 的上传下载更适合部分人。

      你的情况好诡异
      1.网络问题可能性比较大,当然 link 的判断也奇怪。
      2.我没同步过 wand,因为不需要靠它来备份。也没有多太机器的环境,只是手机需要。既然 mobile 不支持同步密码,那么我不会同步这个。
      3. mini 很少用,只在 4.2 开过同步,无不良情况。那个时候多单纯啊,oem 什么的。不过 mini 的书签只是个文件夹吧,问题不大。

      不伤心咯,告诉你个好消息。 cs 娘说你去哪里他就去哪里 :mrgreen:

  7. opera貌似也提供双重密码的方式,就是在安全选项中设置主密码加密wand。这样设置之后应该可以避免wand.dat被盗或者opera公司获取密码的可能吧。

评论已关闭。