I gestori di password non sono ancora incredibilmente rischiosi?

17

Comprendo l'utilità di avere un'applicazione che ricorda un sacco di password lunghe e casuali, ma tutto ciò di cui hai bisogno è una truffa di phishing ben posizionata o un keylogger e ottengono tutte le chiavi del regno.

Ci sono stati progressi in questo settore? Voglio prendere in considerazione l'utilizzo di un gestore di password, ma mi sento incredibilmente a disagio nel mettere tutte le mie uova in un paniere. Potrei teoricamente avere più manager e ricordare solo 3 password lunghe o giù di lì (prova a diversificare il rischio), ma mi sembra che sia solo così lontano.

È frustrante che le migliori password sembrino esattamente quelle che non riesci a memorizzare bene. Dove disegno la linea?

    
posta user49637 23.06.2014 - 20:24
fonte

7 risposte

12

I gestori di password introducono i rischi diversi , non eliminano tutti i rischi. È discutibile se un gestore di password è in genere più intrinsecamente rischioso rispetto a decine di password memorizzate. Il rischio di una password centrale supera i rischi di avere dozzine di password mal implementate? Tutto potrebbe dipendere dall'implementazione.

I gestori di password automatizzano il processo di creazione e "memorizzazione" di password univoche con la massima complessità e possono automatizzare il rinnovo delle password su base regolare. Non solo, ma possono evidenziare il fatto che non sei nella pagina di accesso per il sito web che pensi di essere. Tutti questi vantaggi sono difficili da superare, ma devi assicurarti che il tuo gestore di password sia correttamente protetto.

Hai ragione nel dire che mettendo tutte le uova in un paniere, corri il rischio di un accesso diffuso. Ma ci sono modi per mitigare tale rischio. Ad esempio, alcuni gestori di password richiedono l'autenticazione a 2 fattori per accedere alle password.

"Risky" è sempre negli occhi di chi guarda. Ciò che è accettabile per uno non sarebbe per un altro. Ogni persona / organizzazione deve fare quella determinazione per se stessa.

    
risposta data 23.06.2014 - 20:43
fonte
2

[Divulgazione: lavoro per AgileBits, i creatori di 1Password]

Come è stato sottolineato da altri, i gestori di password sono soggetti a rischi diversi. Ovviamente sento che usare un gestore di password ben progettato è una buona scelta.

Voglio affrontare il problema "uova in un cestino" che è stato sollevato. Sì, i gestori di password mettono tutte le tue uova in un unico paniere, quindi dovresti vedere quanto bene quel paniere è protetto. Ma guardiamo allo stesso problema di sicurezza (molte uova in un cestino) quando non utilizzi un gestore di password.

Il riutilizzo della password mette anche più uova in un cestino

Supponiamo che Molly (uno dei miei cani) riutilizzi la password 1chaseR4bbits per dieci diversi siti e servizi. (Molly non è un cane molto intelligente). In tal modo ciascuno di quei dieci siti diventa un uovo nello stesso paniere. Se la sua password viene scoperta, tutti i suoi account su questi siti sono compromessi.

Vediamo ora quanto bene quel cesto di riutilizzo è protetto. È vulnerabile alla cattura della sua password in transito, è vulnerabile al phishing, è vulnerabile alla violazione di uno qualsiasi dei dieci siti e servizi. Infatti, più grande è il cestino (più siti utilizza la password) più è vulnerabile.

Semplicemente, il riutilizzo della password sta mettendo più uova in un cestino molto poco protetto . Un buon gestore di password risolve il problema del riutilizzo della password e ti offre un cestino molto solido.

Miscellanea

Hai elencato gli attacchi di phishing come una minaccia per la master password per un gestore di password. Con 1Password, l'app viene eseguita completamente in locale, quindi c'è poco spazio per un attacco di phishing. Esiste la possibilità che alcuni programmi in esecuzione localmente tentino di falsificare 1Password. Non abbiamo ancora visto niente del genere (ancora) e quindi non abbiamo abilitato contromisure. (Qualcuno ricorda i tasti del sito? Yuck!)

Hai menzionato la difficoltà di mantenere anche un piccolo numero di password forti, memorabili e di tipo. Circa quattro anni fa, ho scritto dei consigli (vedi Verso password migliori per i master ) su come farlo per le poche password che devi ricordare. È un consiglio che vale ancora oggi (ed è stato raccolto da XKCD) e se seguito correttamente rimane strong anche se gli hacker sanno esattamente quale sistema hai usato.

    
risposta data 27.06.2014 - 00:35
fonte
1

Stai confondendo un gestore di password con OpenID? Non so come si può phishing una password principale di password manager.

Ad ogni modo, il mio gestore di password è accessibile tramite app o plug-in del browser e richiede MFA dai nuovi dispositivi o da qualsiasi luogo al di fuori degli Stati Uniti.

Suppongo che dipenda come sempre, se i tuoi dispositivi fidati non sono sicuri, quindi è rischioso.

I gestori di password, almeno lastpass, sono estremamente utili contro la causa del phishing anche se non si cattura il dominio fasullo, lo farà.

    
risposta data 23.06.2014 - 20:29
fonte
1

Hai assolutamente ragione che il malware è la minaccia più significativa contro i gestori di password.

Un'opzione per proteggere il tuo gestore di password è metterlo sul tuo telefono. Al momento, il tuo telefono ha un rischio minore rispetto al malware rispetto al tuo laptop.

Se sei molto attento alla sicurezza, potresti ottenere un secondo dispositivo (iPod touch?) da utilizzare solo per la gestione delle password e nient'altro. Non accendi nemmeno il wireless, per non parlare di collegarlo a Internet. In tal caso il dispositivo è a bassissimo rischio da malware.

Molti gestori di password hanno alcune precauzioni anti-malware. Ad esempio, con 1password su Windows è possibile inserire la password principale a un prompt di sicurezza elevato. Ci sono anche trucchi per inviare in sicurezza le password alle applicazioni, come il missaggio di appunti e operazioni con la tastiera, che possono sconfiggere i keylogger. Queste precauzioni non sono a tenuta stagna, e dovresti pensare che il malware sul tuo laptop significhi un compromesso completo, ma sconfiggono un sacco di malware comune.

In definitiva, come altri hanno sottolineato, qualunque approccio tu porti alle tue password ha un certo livello di rischio. Credo che per la maggior parte delle persone che utilizzano un gestore di password sia preferibile utilizzare la stessa password ovunque, il che sembra essere l'altro approccio comune.

    
risposta data 24.06.2014 - 10:12
fonte
1

Il gestore della password potrebbe essere un buco di sicurezza, ma solo in base alle sue opzioni e al modo in cui l'utente finale lo utilizza. I gestori di password open source che ho usato e che conosco hanno tutte le opzioni che potrebbero sventare i keylogger e sicuramente non sarebbero trasmettibili. Se le opzioni dovessero essere ottimizzate in modo tale che il DB password venga aperto automaticamente senza autenticazione a due fattori, e anche in modo tale che gli accessi automatici a tutto siano sempre attivi, ottenere semplicemente un accesso fisico alla workstation darebbe a un hacker chiavi (o la possibilità di copiare tutte le chiavi).

La sicurezza è ed è sempre stato uno sport di squadra. I rischi e le opzioni devono essere compresi con o senza strumenti software aggiuntivi.

    
risposta data 27.06.2014 - 00:43
fonte
0

Sì, un gestore di password è rischioso, ma tutto ciò che fai ha dei rischi. Il fatto è che abbiamo bisogno di molti account. Quindi è sbagliato pensare solo a quali sono i rischi di fare X. Devi guardare le tue opzioni e scegliere l'opzione con il rischio che ti piace.

Un tipico cervello può ricordare solo alcune password. Se non si scrivono le password, è necessario utilizzare la stessa password in più posizioni o disporre di un sistema semplice per generare password per ogni account. L'uso della stessa password è di nuovo cattivo. I sistemi che un essere umano usa per generare sono per lo più deboli perché il tuo cervello non può fare una buona criptazione. In entrambi i casi le password non saranno molto sicure.

Quindi ci rimane la possibilità di scrivere le password o avere password deboli. Preferirei scriverli.

    
risposta data 24.06.2014 - 09:53
fonte
0

Sì, se qualcuno ha accesso al tuo computer, ha già installato un keylogger sul tuo computer per rubare le tue password. Innanzitutto, imposta una password sul tuo personal computer, quindi scegli una password per il tuo gestore di password.

    
risposta data 25.06.2014 - 03:06
fonte

Leggi altre domande sui tag