Come memorizzare in modo sicuro le mie password?

Saluti, là fuori ci sono molti gestori di password che faranno ciò di cui hai bisogno.

Un'opzione popolare è KeePass , che è gratuita e ha anche il vantaggio di avere app per alcune piattaforme là fuori (Windows phone, IOS , Android).

Se il tuo "quadrante paranoico" è alzato fino a 11, la risposta breve è "No".

Indipendentemente dal modo in cui memorizzi le tue password, a un certo punto ci sarà un trasferimento in memoria che è una rappresentazione in chiaro di qualche autenticatore. Quel "testo in chiaro" potrebbe essere la tua password ASCII, o potrebbe essere un hash di esso, ma sarà comunque sufficiente per convalidare in modo indipendente le tue credenziali al destinatario. Questo perché l'autenticatore deve essere inserito nella sua forma naturale, prima che il sistema possa elaborarlo per l'hashing o la crittografia.

Se la tua preoccupazione riguarda rootkit, debugger maligni e attacchi simili, non esiste un metodo di gestione delle password o di archiviazione che possa mantenerti totalmente al sicuro.

L'unica vera soluzione per questa vulnerabilità è di avere un'autenticazione a due fattori, con un fattore che è un elemento dinamico di qualche tipo (ad es. token RSA o autenticazione "callback"), su tutto . In questo modo, indipendentemente dagli elementi statici catturati dalla tua memoria, un utente malintenzionato non potrà mai riutilizzare le tue credenziali senza l'autenticatore dinamico.

Naturalmente, c'è ancora la possibilità di attacchi da canale laterale come il dirottamento di sessione e simili, ma questi non rientrano nell'ambito di questa domanda.

Per un modo più pratico di proteggere la tua password, che coprirà le vulnerabilità più difendibili, ti conviene farlo con un gestore di password sicuro come KeePass o altri simili.

In primo luogo, vediamo le cose in prospettiva: le password sono troppo rotte per essere ossessionate fino a questo punto. Se la perdita di una password è intollerabile, probabilmente non dovresti utilizzare una password, in primo luogo, cerca di utilizzare password singole, autenticazione a due fattori, schemi basati su certificati o simili.

Dopotutto, prima o poi devi digitare la password in qualche client di cui ti devi fidare (potrebbe anche non essere un computer che controlli, potrebbe essere keyloggato). Qualcuno potrebbe vederti inserire la password. Non solo, ma la tua password viene quasi certamente elaborata e archiviata in un sistema di destinazione completamente fuori dal tuo controllo, probabilmente più di uno se riutilizzi le password tra i sistemi come fa la maggior parte delle persone. Tutto lo storage in questione è quasi certamente più vulnerabile e molto più facile da compromettere rispetto alla RAM in un dispositivo affidabile sotto il controllo fisico.

Quindi la tua password (s) dovrebbe essere considerata come fondamentalmente disponibile e improbabile che rimanga riservata per un periodo prolungato, non importa quello che fai.

Detto questo, le password non stanno andando via in qualunque momento presto, quindi utilizza una serie di password che puoi ricordare (ad esempio, hai password o passphrase diverse e usali per siti di diverso valore), oppure usa un gestore di password o un generatore / gestore di password.

TOTAL REWRITE: Il punto di AviD era ben preso: la prima edizione era per la memorizzazione delle password sul server, non per un utente che memorizzava le sue password sul client. Ecco la prova # 2.

Se stai memorizzando password per vari siti, la tua applicazione dovrà: - Conservali in modo sicuro - Recuperali accuratamente

Quindi non puoi semplicemente salare le password, hai bisogno di un sistema che le cripta. Ciò suggerisce che si potrebbe voler esaminare applicazioni che sono conformi a FIPS 140-2. Esistono 4 livelli di FIPS, ma tutto si concentra sui dispositivi crittografici con funzionalità di archiviazione chiave che offrono varie funzionalità di sicurezza crescenti. L'estremità più bassa è una buona pratica di base che può essere implementata nelle librerie SW, la parte superiore è costituita da dispositivi che costano molto denaro ma offrono un'alta affidabilità nella capacità del sistema di proteggersi. Per un essere umano normale, penserei che FIPS 1 o 2 (i livelli bassi) sarebbero sufficienti.

Potresti scrivere la tua applicazione usando una libreria compatibile con FIPS (NSS è una, se ti capita di essere un geek Java), o cercare applicazioni che richiedano la conformità FIPS nelle loro implementazioni crittografiche.

Indipendentemente dal modo in cui memorizzi le password, finirai per avere bisogno di una chiave di qualche tipo per decrittografarle. Ciò significa che avrai il classico problema dell'uovo e della gallina - come conservi la chiave in modo sicuro in modo che le tue password siano sicure? Dato che hai un sacco di password raggruppate in un posto, hai aumentato le richieste di sicurezza per l'archiviazione delle chiavi. Il mio pensiero sarebbe quello di memorizzare la chiave, o memorizzarla nella memoria offline.

Nota correttamente non solo il pericolo di memorizzare le password in testo normale, ma anche di usare copia / incolla per spostarle.

Nella nostra domanda su Gli Appunti sono sicuri? , la risposta di Guillaume rileva che molte app e siti web hanno accesso ai tuoi appunti e che Password Safe evita che lasciandoti trascinare la password pagina Web in cui si desidera inserirlo. Inoltre cancella rapidamente la password dalla memoria.

D'altro canto, da Le password sono in memoria? risposta su keepass , Dice Paperjam

there's a cut-and-paste mechanism that clears the clipboard after 12 seconds, and it monitors the clipboard to see if there's other processes monitoring it as well. Further, there's an auto-type feature that skips the clipboard altogether.

quindi anche keepassa può essere buono.

Dipende dal meccanismo di sicurezza e autenticazione che stai cercando. Per un semplice caso, consiglierei link per generare password casuali difficili difficili.