Quanto sono sicuri i gestori di password con il recupero dell'account?

19

Le maggiori società di gestione password commerciali sostengono di avere un sistema a "conoscenza zero". Ciò significa che la password principale dell'utente è l'unico modo per decrittografare i dati e non è memorizzata da nessuna parte. Quindi anche la società non conosce la password principale o ha accesso ai dati degli utenti. Ho messo le mani su KeeperSecurity , LastPass , Dashlane e 1Password .

Fin qui tutto bene. Ma KeeperSecurity e LastPass fornisce la possibilità di recuperare un account quando l'utente ha perso la sua password principale. Voglio dire, come è possibile, se la password principale è l'unico modo per accedere ai dati e nessuno lo sa tranne l'utente?

KeeperSecurity gestisce questo salvando una seconda copia dei dati degli utenti che non è crittografata con la password principale, ma con una domanda di sicurezza, precedentemente richiesta, e una risposta. Ma questo significa che c'è un altro modo per accedere ai dati degli utenti. E c'è la possibilità che qualcuno conosca la risposta di sicurezza. Va bene il recupero richiede l'accesso all'account e-mail e un secondo fattore di autenticazione. MA c'è ancora un'altra possibilità di accedere ai dati oltre alla password principale!

Dashlane e 1Password non forniscono un recupero dell'account.

Come possono i gestori di password fingere di essere sicuri e affermare che la password principale è l'unico modo per accedere ai dati, ma d'altra parte fornire un'opzione di recupero.

Che cosa pensi dei gestori di password con opzione di recupero? Voglio dire che tutti coloro che utilizzano un gestore di password dovrebbero essere consapevoli di perdere la password principale.

Un gestore di password con opzione di ripristino è davvero affidabile? Forse qualcuno potrebbe dare una piccola valutazione sulla sicurezza di tali sistemi di recupero.

    
posta David 16.02.2018 - 13:52
fonte

4 risposte

22

Avere un'opzione di recupero è perfettamente soddisfacente finché è adeguatamente protetto. Spetta a te decidere se perdere la password se perdi la password principale o se desideri che la società di gestione password abbia accesso alle tue password.

Ricorda che la sicurezza è un mezzo per raggiungere un fine. Ci sono sempre dei compromessi da fare. Puoi avere un computer perfettamente sicuro non avendo un computer. L'usabilità soffre, però.

Modifica

Poiché le persone nei commenti vogliono la domanda specifica di "quanto sono sicuri i gestori di password con opzione di ripristino" hanno risposto, aggiungerò alcuni punti:

È possibile fornire opzioni di ripristino che sono sicure, ma questo dipende sempre dal modello dell'attaccante. La sicurezza SEMPRE dipende dal modello dell'attaccante : le password sono pessimi lettori contro la mente!

Ecco alcune idee possibili per schemi di recupero ragionevolmente sicuri:

  1. Criptare una copia del database con una chiave diversa e chiedere agli utenti di stampare questa chiave e conservarla nella loro cassastrong. Questo è ciò che fa keybase.io o la crittografia dell'unità Ubuntu.
  2. Memorizza una copia del DB che richiede una chiave dalla società sul computer degli utenti.
  3. Avere due reparti dell'azienda, uno in cui è stata salvata una copia del database, l'altro che ha memorizzato la chiave necessaria. Se vuoi recuperare, verifica la tua identità e ti mando la loro parte.

Tuttavia, nessuno di questi significa che è impossibile per qualcun altro ottenere le tue password. (non si usa la "conoscenza zero" perché ha significato specifico che funziona in modo completamente diverso se applicato alle password) Dopo che tutti i dipendenti potrebbero essere entrati in collisione o possono essere suddivisi in casseforti.

Ogni opzione di recupero per te è anche un'opzione di recupero o un percorso di attacco alternativo per rubare le tue password.

Ricorda: se vuoi chiedere "Quanto è sicuro X?" il modello dell'attaccante deve essere ovvio o dichiarato. La sicurezza dipende sempre dal modello dell'attaccante! Non esiste una sicurezza assoluta.

    
risposta data 16.02.2018 - 16:01
fonte
8

Questa è una specie di domanda di chi posso fidarmi . Quando si utilizza un gestore di password, e in particolare uno online, ci si fida di esso. Certamente, il tuo vault della password è archiviato in un modulo crittografato in modo sicuro che può essere decodificato con la tua chiave master privata, e ti fidi che il gestore della password non abbia mai perso la chiave - deve saperlo al momento della decrittografia. Per coloro che offrono una procedura di ripristino, il segreto principale può essere decodificato con la propria chiave privata o con una chiave alternativa. Se devi solo rispondere a una domanda di sicurezza, è sufficiente che un utente malintenzionato conosca la risposta alla domanda di sicurezza per accedere alle tue password. Se è molto più semplice indovinare la tua password principale, allora hai abbassato la sicurezza globale.

Se il ripristino implica sia la risposta a una domanda di sicurezza che l'accesso a una casella di posta, è sicuro quanto il più sicuro di entrambi. Ad esempio se si utilizza 2FA sulla propria casella di posta, può essere accettabile. Perché di nuovo ti fidi del tuo provider di posta.

Ad ogni modo, quando si utilizza un gestore di password, si ammette di disporre di procedure sufficientemente sicure (*) per proteggere le password da non essere più il punto più debole. Detto in modo diverso, ammette che sarebbe più facile per un utente malintenzionato hackerare il proprio sistema (dove si digita la password principale) rispetto al sistema che ospita il gestore di password. In caso contrario, non utilizzare tale gestore di password.

(*) Parlo di procedure qui, perché la sicurezza del sistema coinvolge molto più del software. È inoltre importante la sicurezza fisica del data center e se è possibile fidarsi di tutti i dipendenti che dispongono di privilegi di amministrazione nel sistema.

È solo la mia opinione, ma devo ammettere che sono ancora riluttante a utilizzare un gestore di password online per questi motivi e ad attenermi a un vault locale con backup privati.

    
risposta data 16.02.2018 - 17:24
fonte
8

This means the master password of the user is the only way to decrypt the data and it's is not stored anywhere.

No, non è così. "Conoscenza zero" significa che nessuno in azienda, né tanto meno un hacker, può decifrare i tuoi dati in nulla di meno del tempo di forza bruta, anche se vengono dati i dati su un piatto d'argento. I tuoi dati sono "archiviati", ma in un formato crittografato o due. Conoscenza zero significa che i tuoi dati non sono archiviati, in testo chiaro, in qualsiasi parte del sistema.

Se ci sono due, tre o cinque modi per ottenere i dati, è comunque sicuro fino a quando non è possibile ottenere alcun bit di informazione dai vari moduli criptati (e presumibilmente, c'è un padding casuale per scoraggiarlo) .

Avere più di un metodo per ottenere i dati è ancora ragionevolmente sicuro, fintanto che le domande sono qualcosa a cui solo tu potresti rispondere, o richiedere 2FA, ecc.

    
risposta data 16.02.2018 - 22:32
fonte
5

La documentazione di LastPass dice di fare quanto segue per resettare una password:

If the [password] hint doesn't help, go to the Account Recovery page to activate your local One Time Password. This allows you to change your Master Password if you've logged into LastPass previously on that computer, and is the only way to 'reset your password'. You should try this on all browsers and on all computers where you've used the LastPass plugin to access your account. This method does not work on mobile devices. Account recovery is not supported on mobile devices or apps. Changing the master password, reverting the account, or clearing the browser cache for LastPass can destroy these files.

Questo è strongmente indicativo che il materiale di codifica pertinente (o forse l'intero caveau) risiede nel browser e non nei server di LastPass. Altrimenti, queste restrizioni non avrebbero alcun senso.

If you have updated your Master Password within the last 30 days, you can go through these steps to Revert to change to your previous Master Password. Please note, we do NOT recommend selecting the "restore" option unless you have confirmed with LastPass Support that this is the best course of action.

Questo indica che conservano una vecchia copia del materiale per la codifica per trenta giorni, ma ciò non significa che mantengano il testo non crittografato.

Il tuo altro link non fornisce informazioni sufficienti per valutare dove conservano il loro materiale di codifica, perché dice solo che "Se hai attivato il recupero dell'account sul tuo account, sarai sottoposto a una procedura per reimpostare la password principale ". Non indica ciò che questa procedura comporta o se è possibile eseguirla su un computer nuovo di zecca.

    
risposta data 17.02.2018 - 00:23
fonte