È realistico ricordare solo la password per il gestore di password?

11

È possibile ricordare solo la password principale per il gestore della password ed essere ancora al sicuro? Ad esempio, è necessario conoscere anche la password per accedere al computer (e possibilmente la password per la crittografia completa del disco) prima di poter accedere a Gestione password. Moltiplicalo per ogni dispositivo.

Se esegui il backup del tuo database delle password, probabilmente hai bisogno anche di una password (soprattutto se stai utilizzando un servizio basato su cloud, come Google Drive o Dropbox, per il backup). Inoltre, se hai attivato l'autenticazione multifattore, probabilmente devi ricordare anche la password per il tuo telefono (se usi app come Google Authenticator).

C'è un modo migliore, o sto fraintendendo qualcosa? È davvero possibile solo conoscere la password per il gestore di password?

    
posta Celeritas 04.08.2016 - 09:45
fonte

6 risposte

10

Possibile? Sì realistico? No

Ho impostato la mia password di accesso di Windows per essere uguale alla mia password FDE. Una scelta controversa, ma non vedo grossi rischi con questo.

Se hai FDE, in teoria puoi usare un gestore di password senza password principale e comunque essere al sicuro. Tuttavia, molte persone (e io includo me stesso) non si sentono a proprio agio con questo. Quindi sono due password almeno.

Ci sono alcune password che non voglio inserire nel mio gestore di password, ad es. PIN per carte bancarie. Quindi devo memorizzarli.

Trovo anche che ci siano alcune password che è necessario memorizzare per motivi pratici. Un esempio è la mia password Apple AppStore. Anche con Touch ID mi trovo a digitare abbastanza che ne ho bisogno memorizzato. Non puoi incollare nel campo della password, ed è modale, quindi non puoi passare da esso a password manager.

    
risposta data 04.08.2016 - 11:12
fonte
2

Se si utilizza una SmartCard o una tecnologia simile per accedere al computer, IMO si può scappare con password singola per il gestore delle password. Ancor più: alcuni gestori di password sono in grado di autenticarsi tramite SmartCard o token sull'unità USB.

Questo lascia i dispositivi come smartphone, che richiedono una password. Tuttavia, se viene utilizzata l'autenticazione delle impronte digitali (che però non è un metodo di autenticazione più sicuro), tecnicamente, è necessaria una sola password ... sul dispositivo dello smartphone.

    
risposta data 04.08.2016 - 10:17
fonte
1

Sì, tecnicamente è possibile memorizzare le password in un gestore di password e solo avere la password per il gestore di password per ottenere l'accesso.

Ma se lo fai, dovresti davvero scappare da una "password" e magari usare una "passphrase", una password così lunga, che non è realistico essere forzato brutalmente. Un altro problema è che questi gestori di password possono essere violati, quindi sii anche a conoscenza di ciò.

Un'altra opzione molto buona è un gestore di password che controlla l'indirizzo fisico di un computer invece di una password digitata, quindi non è necessaria alcuna password. Questo è particolarmente utile per le aziende, perché funzionerebbe solo con i computer di un'azienda.

Quindi, tutto sommato, sì, è possibile ottenere un gestore di password per crittografare e archiviare tutte le password, ma ottenere una password molto potente per il gestore di password per sicurezza.

    
risposta data 04.08.2016 - 10:34
fonte
1

Questa domanda è leggermente basata sull'opinione, tuttavia non direi che è sufficiente per essere chiusa.

Realisticamente probabilmente avrai bisogno di ricordare alcune password diverse.

Se porti lo stesso dispositivo ovunque contenente il tuo password vault, ovvero il tuo telefono, probabilmente dovrai ricordare almeno due password:

  • Password del telefono
  • Password gestore password

All'interno di Gestione password è possibile memorizzare le password per gli altri dispositivi.

Tuttavia, si presume che non si perda mai il telefono. Pertanto ti consiglio di ricordare anche la password del tuo portatile, quindi hai un altro dispositivo affidabile a cui puoi accedere quando hai bisogno di accedere alle tue password.

Se utilizzi sistemi separati di cloud e password manager piuttosto che qualcosa integrato nel cloud come Lastpass, allora questa è un'altra password che potresti dover ricordare.

Raccomando di utilizzare diversi Dicew per ogni password che devi ricordare, perché sono più memorabili. Una tecnica di memoria come il metodo di collegamento può aiutarti a ricordare elenchi di parole, tuttavia Dicewords a volte può produrre alcuni rari e parole insolite. Trovo però che questo funzioni per me e spesso può trasformare le parole prodotte abbastanza da poterle ricordare dopo averle digitate abbastanza volte.

In questo modo finirai per dire un massimo di tre password che dovrai effettivamente ricordare, più forse una o due per dispositivi extra. Non è necessario un dispositivo memorabile per ogni dispositivo, purché sia possibile accedervi quando necessario, quindi è possibile recuperare le password degli altri dal proprio vault della password.

    
risposta data 04.08.2016 - 11:52
fonte
0

Is it possible to only remember the master password to the password manager and still be safe?

Dipende dalle circostanze. Se pensi che nessuno potrà mai indovinare, crack o in altro modo ottenere la tua password principale, quindi sicuro, sei il più sicuro possibile.

Il problema sorge se qualcuno ottiene la tua password principale - quindi si tratta di un danno molto più grande rispetto a quando si ricordano password diverse.

È semplicemente "tenere tutte le uova in un unico paniere" - potrebbe essere semplicemente troppo per il tuo livello di paranoia.

For example you must also know the password to log in to the computer (and possibly the password for full disk encryption) before you can access the password manager. Multiply this for each device.

Non è un problema. Lo stesso safe deve essere crittografato, quindi puoi e dovresti replicare la tua (criptata) sicura ovunque ti serva, possibilmente anche in spazi pubblici (ovviamente solo se ritieni che sia resistente agli attacchi di forza bruta) e privo di bug e backdoor).

Ad esempio, ho il mio KeePass sicuro sul mio PC di casa e sul mio smartphone; specialmente la versione sullo smartphone può essere facilmente accessibile da chiunque ci metta le mani sopra. Credo che la password e il programma siano "sicuri". Non lo metterei mai in uno spazio pubblico (ad esempio, su un repository github) perché, mentre credo che il software sia pulito ora, non sarebbe la prima volta che il software risulta essere cattivo dopo il fatto.

Questo è un problema leggermente diverso, "ti fidi della tua password sicura". Presumo che questo è dato, o la tua domanda attuale sarebbe discutibile.

If you backup your password database then you probably need a password for it too (especially if you’re using a cloud based service, such as Google Drive or Dropbox, for the back up).

In primo luogo, non avresti mai un database di password in chiaro, quindi non è un problema. Vedi sopra, è la stessa cosa.

Also if you have multifactor authentication enabled, you probably need to remember the password for your phone too (if using app such as Google Authenticator).

Certo, devi ricordare le password per i dispositivi che usi effettivamente per accedere alla tua cassastrong. Nulla cambierà mai questo, a meno che non usi la stessa password per la tua sicurezza e per i tuoi dispositivi. Questo, almeno al mio livello di paranoia, sarebbe inaccettabile, anche perché sarebbe più probabile che venisse intercettato.

Is there a better way, or am I misunderstanding something? Is it really possible to only need to know the password to the password manager?

In linea di principio, sì, con l'eccezione come sopra.

    
risposta data 04.08.2016 - 17:06
fonte
0

Is it possible to only remember the master password to the password manager and still be safe?

Ovviamente è possibile ricordare la password principale, ma è sicura? Non ne sono sicuro. Se stai cercando qualcosa che forse sarai l'unico a ricordare, anche se le persone vedessero la parola non ne dubiterebbero, puoi impostare il passphare principale su qualcosa di complesso che non ha significato e forse con alfabeto di lingue diverse da Inglese come russo sulla tastiera RU. Mi piace: одоЧтетьаелбан

Questo forse ti aiuterà in una certa misura. Non se qualcuno cerca intenzionalmente quella password. Niente online è sicuro al 100%, è una questione di tempo e di indurimento, ma tutte le cose su Internet sono fragili.

Is there a better way, or am I misunderstanding something? Is it really possible to only need to know the password to the password manager?

È possibile, ma un rischio, un modo migliore per la tua tranquillità, è l'autenticazione doppia per il tuo Password-Vault. Ancora meglio qualcosa come un token fisico che ti porti via la maggior parte del tempo. in questo modo, anche se un utente malintenzionato ha avuto accesso alla tua password principale per il vault, avrà comunque bisogno di una seconda autenticazione fisica per ottenere l'accesso.

Mi piace molto Yubico per quel particolare motivo.

    
risposta data 04.08.2016 - 10:45
fonte

Leggi altre domande sui tag