Gestore password: più sicuro sul laptop o sullo smartphone?

36

Voglio raccomandare un gestore di password ai miei amici e familiari non tecnologici e aiutarli a configurarlo e usarlo. Una delle decisioni che devo prendere è se ne raccomando uno che funziona su laptop o uno che funziona su smartphone.

Smartphones:

  • Ha un isolamento dell'applicazione molto migliore. Questo è di gran lunga il vantaggio più grande.
  • Sono trasportati ovunque, eliminando la necessità di prendere in considerazione anche un gestore di password online in quanto le persone hanno sempre accesso al loro gestore di password già.
  • È un dolore da smontare. Dove gli attacchi a freddo contro desktop e portatili sono estremamente rari, li considero ancora più rari contro gli smartphone.
  • È un dolore da digitare, limitando la durata della password principale. D'altra parte, la maggior parte dei non-techies probabilmente non digita molto velocemente sui computer.
  • Non un singolo gestore di password per smartphone consente di generare passphrase, che sono molto più facili da digitare su un computer rispetto a una password casuale, pur essendo ugualmente sicuri. (5 parole casuali (dizionario di 43k parole) contengono 75 bit di entropia, 12 caratteri (alfanumerico, caso misto) contengono 70 bit).

Portatili:

  • Potrebbe essere compromesso facendo clic sulla cosa sbagliata durante la navigazione. Mi sento come se gli smartphone non avessero questo problema tanto e anche se qualcuno installa un'app difettosa dallo store, dovrebbe essere isolato.
  • Consenti di copiare la password anziché digitarla da uno smartphone, consentendo password più forti. (Mi aspetto che il 90% delle volte le persone accedano a un account sul proprio laptop, non sul proprio smartphone.)
  • Sono disponibili più gestori di password. Per gli smartphone, esiste esattamente one un gestore di password open source appropriato mentre per i laptop ne conosco diversi.

Concludo che gli smartphone hanno un leggero vantaggio, ma devo trovare una soluzione per generare passphrase, idealmente usando una tastiera personalizzata in modo che non debbano essere passati negli appunti.

Ho perso alcune considerazioni (importanti)?

    
posta Luc 07.05.2017 - 17:32
fonte

5 risposte

40

Non capisco perché non vuoi un gestore di password che funzioni su entrambi? I tuoi amici non tecnologici che non utilizzano ancora un gestore di password sono troppo limitati dalle tue esigenze. Sembra che tu stia correndo in modalità paranoica. I tuoi amici vogliono qualcosa che sia conveniente.

Se riesci a farli passare a Lastpass , sarà un enorme miglioramento rispetto alla loro attuale sicurezza.

  • Può essere condiviso su telefono e laptop gratuitamente ora
  • Ha 2FA, che è probabilmente già troppo complicato per molti e molto scomodo, ma ha questa opzione. Se impostato correttamente, impedisce gli accessi da computer sconosciuti.
  • Lastpass ha la sua app 2FA, che lo rende ancora più semplice.
  • Se qualcuno accede da un'altra posizione, ricevi un'email a riguardo.
  • L'accesso può essere limitato a determinati Paesi.

NB: non intendo limitarlo a Lastpass. Altri gestori di password come 1Password probabilmente hanno lo stesso bonus. Non li uso, quindi non lo so. Keepass è un'opzione offline, ma la condivisione del database in Dropbox o Google Drive lo rende piuttosto online ma ancora più difficile da utilizzare.

Alcune domande:

  • Qual è la tua obiezione a Lastpass o soluzioni simili? Non dico che tu devi usarlo. È per i tuoi amici, che hanno bisogno di aumentare la loro sicurezza per usare qualcosa invece di niente. Lastpass è molto più sicuro di niente, secondo me.
  • Perché non menzioni i gestori di password che consideri? Renderebbe questa discussione molto più significativa!
  • Di cosa si tratta scegliendo tra laptop e telefono? Quindi non posso usare password sul telefono che uso sul laptop? Se i tuoi amici si connettono a Facebook, ne hanno bisogno sia sul telefono che sul laptop!
  • I non-tecnici possono digitare a velocità incredibili! Più in basso nella tua domanda parli di password che consistono in parole normali. La maggior parte delle persone può digitare parole normali a velocità normale.

Ho paura che la tua soluzione risulterà scaricata nella prima occasione in cui l'inconveniente diventa brutto. Sii saggio e scegli il compromesso!

    
risposta data 07.05.2017 - 22:15
fonte
7

Divulgazione: lavoro per AgileBits, i creatori di 1Password.

Generatore di passphrase su dispositivi mobili

Not a single smartphone password manager allows generating passphrases

1Password fa su iOS, anche se non in 1Password su Android.

Le parole vengono scelte in modo casuale e uniforme da un elenco di circa 18400 parole inglesi da 3 a 8 lettere.

Se posso vantarmi un po ', la mia fama di lame è nel far rivivere l'interesse per Diceware - come i generatori, con un post sul blog sei anni fa che ha ispirato un certo fumetto XKCD . Il particolare schema che usiamo in 1Password oggi è stato presentato su PasswordsCon nel 2015.

Evitare gli appunti

... so they don't have to be passed through the clipboard.

Su Android, 1Password offre un blocco appunti personalizzato, ma non credo che faccia tutto ciò che desideri. Su iOS noi (e altri gestori di password) utilizziamo le estensioni delle applicazioni per consentire l'integrazione con app che consentono l'uso di queste estensioni. Ma nessuna di queste soluzioni complete.

Questo è un problema difficile, che tutti i gestori di password affrontano e indirizzano in modi diversi. Sul laptop, la maggior parte dei gestori di password utilizza estensioni del browser che in qualche modo comunicano con i dati della password effettiva. (Il "in qualche modo" differisce tra i gestori di password, con vantaggi e svantaggi per ciascun approccio.)

Sul cellulare, l'applicazione sandboxing (una buona cosa per la sicurezza) rende questo più difficile. Una cosa che abbiamo fatto attenzione è non usare gli appunti senza che sia chiaro all'utente che è ciò che sta accadendo. Cioè, non usiamo silenziosamente gli appunti.

Ancora una volta, nessuno ha una soluzione perfetta e affrontiamo tutti gli stessi tipi di problemi difficili in modo leggermente diverso.

Piattaforme

La domanda è un ottimo lavoro nel valutare i vantaggi e gli svantaggi del portatile rispetto al laptop, compresa la sicurezza dell'utilizzo di un gestore di password sulla piattaforma, ma il resto dei dettagli sembra presupporre che per i dispositivi mobili stai considerando solo Android. Mi sembra strano. Google sta facendo enormi passi avanti nell'aiutare le persone a evitare il malware e ad aiutare le persone ad aggiornare i loro sistemi, ma Apple è ancora sostanzialmente migliore sotto questo aspetto.

Per quanto immagino che odi il cloud, le persone vorranno avere i loro dati di password disponibili su tutti i sistemi che usano. Avere un gestore di password su uno solo di questi sistemi lascerà le persone nella stessa posizione in cui sono oggi. Continueranno a riutilizzare le password relativamente deboli a meno che il loro gestore di password non lavori per loro dove lavorano.

E questo ci porta a ...

Usabilità

Stai cercando un gestore di password per "amici e famiglia non tecnologici". L'usabilità è più di una semplice interfaccia utente. Si tratta di progettare le cose per lavorare con il modo in cui le persone operano invece che contro il grano. Non si tratta di una domanda di "usabilità contro sicurezza", ma di rendere più facile per le persone comportarsi in modo sicuro che non precario.

Se vuoi che le persone effettivamente utilizzino il sistema che hai configurato per loro, devi tenere conto di tutto questo.

Funzioni invisibili

I gestori di password affrontano gli stessi problemi e spesso arriviamo a soluzioni simili. Ma ci sono ancora differenze sostanziali sotto il cofano. Ciò che conta come "metadati" è una cosa. Quello che un servizio può apprendere sul comportamento dei suoi utenti è un altro. Quali difese offre se c'è un compromesso del server. Quali difese ci sono contro la manomissione dei dati e molti altri. Questi tipi di cose non sono generalmente visibili agli utenti (o anche a molte persone che esaminano i gestori di password).

Ti incoraggio a guardare questo genere di cose. Il white paper sulla sicurezza di 1Password ha ancora sezioni mancanti (stiamo lentamente riempiendole), ma entrambe vanno nei dettagli e parla sia dei lati positivi che negativi dei vari elementi di design.

    
risposta data 08.05.2017 - 19:42
fonte
3

Suggerirei di posizionare il gestore password su una chiavetta USB, perché fornisce l'isolamento da eventuali potenziali attacchi a meno che non sia collegato e non richiede la stupidità di portare in giro un laptop con spazio vuoto con la scheda NIC disattivata.

    
risposta data 08.05.2017 - 04:20
fonte
2

Sì, ti manca l'ovvia raccomandazione di avere un laptop o smartphone con tecnologia airgapped con traffico Internet disattivato esclusivamente per la gestione delle password e altre attività sensibili. Anche se questo è un po 'più paranoico del solito, potrebbe spostare i pali abbastanza lontano da convincere alcune persone a usare i gestori di password.

Mentre ci sei, puoi sicuramente ricordare al tuo familiare / amico di controllare il suo laptop / telefono per trojan. Dopo tutto, non ha senso installare un gestore di password su un keylogger.

    
risposta data 07.05.2017 - 21:01
fonte
0

Come suggerito da altri, ci sono buoni programmi là fuori che possono essere eseguiti su più dispositivi. Consiglio vivamente Norton Identity Safe . È gratuito e facile da usare. Ha un'interfaccia web, un'applicazione Windows e app per IOS e Android. Hanno un generatore di password sul loro sito, ma non nell'app.

    
risposta data 08.05.2017 - 01:05
fonte