Hay muchas variaciones de creadores de contraseñas. Un ejemplo sería
Hash (contraseña de usuario + clave secreta + sitio de dominio)
Durante la autenticación de inicio de sesión en el sitio web, las contraseñas se envían en texto cifrado desde la máquina cliente a la máquina host a través del protocolo SSL / TLS.
La contraseña ya se ha cifrado, no veo ningún beneficio al aplicar la contraseña cifrada por segunda vez, ¿qué me estoy perdiendo?
Es posible que estés malinterpretando una de las variaciones.
Una variación útil, conocida como Desafío / Respuesta, es que el inicio de sesión en el sitio web, en lugar de pedirle al usuario una contraseña, envía un nonce (un número que se usa una vez, es decir, es un azar al azar). número) al usuario. El usuario luego responde con Hash (contraseña de usuario + nonce + cualquier otra cosa que el sitio web sepa).
El sitio web realiza el mismo cálculo y compara su hash calculado con el hash devuelto por el cliente. Una coincidencia demuestra que el cliente conoce la contraseña, sin tener que enviar la contraseña por sí mismo.
Claro, la comunicación está cifrada, pero la seguridad debe considerarse como una cebolla. Cuantas más capas, más difícil es agrietarse, pero solo si no te descuidas en algunas capas pensando que las otras capas llevarán la carga. Incluso si sabe que está en un canal "seguro", hable como si cree que no es seguro. Incluso a través de un canal encriptado, no enviar la contraseña es más seguro que enviarla.
En primer lugar, la contraseña no se hace necesariamente hash solo porque se envía por cable. Es una buena práctica hacerlo, pero incluso las empresas de TI como Adobe se han visto atrapadas con el almacenamiento de contraseñas de manera reversible.
Los creadores de contraseñas son una forma de garantizar que las contraseñas de cada sitio web sean únicas. Al igual que cuando un atacante obtiene el control de un sitio web durante un tiempo suficientemente largo, y puede capturar su contraseña mientras aún no está dañada, o cuando un sitio web almacena sus hashes en texto sin formato, puede obtener su contraseña y, si la reutiliza, obtendría acceso a otro de sus inicios de sesión, también.
Una solución a este problema sería crear manualmente contraseñas únicas para cada sitio web . Entonces, sin embargo, deberías recordar muchas contraseñas .
Ahora podría pensar "¿qué pasa con el uso de una contraseña maestra segura y luego agregar el nombre del sitio web ?" Sin embargo, esto no lo protegerá de ninguno de esos ataques, ya que el atacante obtiene la contraseña sin cifrar, y probablemente pueda adivinar el nombre del sitio web, y pruebe su método con otros sitios web.
Los creadores de contraseñas hacen exactamente lo mismo que arriba, pero antes de enviar la contraseña, la envían a través de una función de una sola vía, como un hash. Ahora el atacante debe romper el hash para cambiar la parte del sitio web e iniciar sesión en otros sitios.
La gran desventaja de los creadores de contraseñas en comparación con los administradores de contraseñas, es que el atacante puede descifrar el hash. Si su contraseña es débil, pueden romperla y pueden usar ataques sin conexión una vez que recuperaron el hash de "texto sin formato". Las claves secretas pueden resolver este problema, pero también debe cuidar ese archivo de claves y perder una de las grandes ventajas de los creadores de contraseñas en comparación con los administradores de contraseñas: solo tiene que cuidar su contraseña y puede iniciar sesión desde cualquier instalación nueva del administrador de contraseñas sin tener que hacer el emparejamiento o copia de las claves.
Para responder a su pregunta:
Los administradores de contraseñas solucionan otro problema que no sea TLS: TLS se encarga de asegurar la conexión con el servidor, los administradores de contraseñas intentan asegurar la contraseña del servidor, que de lo contrario se enviaría al servidor de forma clara.