Sicurezza aggiuntiva del file di chiavi su una password principale per KeePass

12

Uso KeePass + Dropbox per gestire e sincronizzare le mie password sui miei dispositivi. Questo sistema funziona davvero alla grande e mi fido del modello di sicurezza di KeePass.

Tuttavia la mia più grande preoccupazione rimanente è la password principale perché sono preoccupato di non essere in grado di proteggere il mio PC dai keylogger. Per alleviare questa paura, voglio introdurre un secondo fattore di autenticazione.

KeePass consente solo l'utilizzo di un file di chiavi come un secondo fattore di autenticazione, e mentre si memorizza un file di chiavi su una chiavetta USB sembra una soluzione sicura anche per me è troppo restrittivo. Se dovessi usare un file di chiavi, probabilmente lo memorizzerei su Dropbox, ma questo aggiunge davvero ulteriore sicurezza? Il mio pensiero è che se la mia password principale viene compromessa, per consentire all'aggressore di avere successo avrà anche bisogno del mio database KeePass. Se ha accesso a questo, probabilmente avrà anche accesso al file di chiavi, quindi non ho ottenuto ulteriore sicurezza.

Qualche commento o suggerimento per una migliore configurazione che non aggiunga troppo sovraccarico?

    
posta snth 12.05.2011 - 00:29
fonte

3 risposte

9

Penso che il tuo modello di sicurezza abbia un paio di potenziali difetti qui - elencherò i potenziali problemi che riesco a vedere, e puoi farmi sapere se sono delle preoccupazioni valide nelle tue circostanze particolari:

Se sei seriamente preoccupato di non essere in grado di proteggere il tuo computer dai keylogger, l'implicazione è che un utente malintenzionato può installare qualsiasi cosa, che a mio avviso significa game over: possono estrarre tutti i dati dal tuo KeePass con un token o non afferrando quei dati la prossima volta che usi KeePass.

Inoltre l'archiviazione su Dropbox significa che potrebbero potenzialmente eseguire questo attacco da altre posizioni condividendo il tuo Dropbox come da questa vulnerabilità .

La tua unica vera protezione contro un attore della minaccia che pensi possa compromettere la tua macchina è non usare quella macchina (a meno che tu non possa configurarla in modo tale che non possano comprometterla, ovviamente) e fare qualcosa di simile KeePass su un dispositivo mobile (in cui il rischio diventa quello di perdere il dispositivo o di averlo rubato).

    
risposta data 12.05.2011 - 10:25
fonte
1

Sebbene @Rory Alsop sia in definitiva corretto, la seconda opzione migliore è inserire la password principale KeePass in un desktop sicuro (quasi nessun keylogger funziona su un desktop sicuro ) e lo fanno insieme all'uso di key-based e / o auth OTP .

La tua migliore opzione, se disponibile, è quella di utilizzare il suggerimento sopra e di avere KeePass installato su una macchina remota che sai essere (meglio) fisicamente protetta. Questo essenzialmente espande il suggerimento di @Rory Alsop a qualcosa di utile.

    
risposta data 04.03.2013 - 07:47
fonte
0

Se un utente malintenzionato ha accesso al tuo computer, tutte le scommesse sono disattivate.

Una soluzione TFA overhead bassa utilizza un ID aperto fornito da google con app autenticatore . Tuttavia, questo non funziona ovunque.

    
risposta data 15.05.2011 - 03:39
fonte

Leggi altre domande sui tag