Protezione delle mie password di alto valore contro gli attacchi offline

Naviga le tue risposte
8

Sommario

Sono un utente LastPass, ma temo di archiviare password di alto valore, come la mia password bancaria, online. Ho letto alcuni post su questo argomento ma ho ancora domande.

Minacce

Sto cercando una soluzione che risolva le seguenti minacce (LastPass gestisce i punti 2 e 3 ma non # 1):

  1. L'utente malintenzionato riceve le mie password crittografate e dispone di risorse sufficienti per infrangere la mia passphrase. L'utente malintenzionato decodifica la mia password di banking online offline, effettua l'accesso e ruba tutti i miei soldi.
  2. L'autore dell'attacco mi induce a inserire la mia password su un sito diverso da quello che intendo (phising). L'hacker ottiene la mia password di banking online, ruba tutti i miei soldi.
  3. Uno dei miei account di alto valore viene compromesso. L'utente malintenzionato utilizza la mia password lì per indovinare le password ai miei altri account di alto valore.

Ho 4-5 account online che considero sufficientemente prezioso da essere preoccupato per queste minacce.

Domande

Innanzitutto, esistono minacce più importanti che trascuro qui?

In secondo luogo, come posso affrontare questi problemi? Stavo pensando di fare in modo che un gestore di password memorizzi un valore salt in modo casuale per ogni account di alto valore, esegui l'hash con una password "master" e utilizzalo come password dell'account reale (un po 'come PwdHash). Né le password dell'account reale né la password principale verrebbero archiviate ovunque (crittografate o meno). Questo sembra forzare l'attaccante a provare le proprie parole d'ordine nei confronti del servizio online, piuttosto che essere in grado di romperle offline.

Si noti che questa password "principale", che viene utilizzata per derivare le password dell'account, è diversa da "password / passphrase master" dell'ultimo passaggio, utilizzata per crittografare i dati memorizzati.

Questo schema riguarda le minacce di cui sopra? Qualsiasi software che implementa questo per Chrome su Linux?

    
posta user1020406 01.02.2015 - 22:00
fonte

2 risposte

1

Ho usato sia KeePass che LastPass e condividerò alcune delle cose che ho trovato utili quando ho deciso di utilizzare un gestore di password basato sul Web.

C'è un articolo di alcune persone di Berkeley che hanno analizzato vari gestori di password online. Questo collegamento ti indirizza verso quel documento . LastPass risolto il problema del bookmarklet .

Per la minaccia n. 1: una password master avanzata (leggi: lunga e casuale) non dovrebbe essere decifrabile, presupponendo che gli sviluppatori di password manager abbiano svolto correttamente il loro lavoro. Devo affidarmi ai professionisti della crittografia per fare questa valutazione.

Ora che LastPass è stato violato credo che riuscirò a trovare fuori se lo facessero.

Per la minaccia n. 2: le minacce di phishing sono molto reali e possono sconfiggere 2FA ( guarda questo pezzo di Brian Krebs ). Non vedo come LastPass eviti il tipo di attacco descritto da Krebs. Si consiglia di effettuare operazioni bancarie su un CD live per evitare compromissioni del sistema.

Per la minaccia n. 3: non riutilizzare le password.

Se la tua preoccupazione principale è che qualcuno possa ottenere il tuo database delle password crittografato, allora sei un po 'più sicuro con KeePass o altre soluzioni locali rispetto a LastPass. Tuttavia, non è una protezione totale. Se il sistema viene compromesso o se viene colpito da phishing, l'archiviazione locale non ti protegge.

La minaccia che penso tu stia ignorando è questa: hanno persino bisogno della tua password per entrare nella tua banca, ecc.? Matt Honan ha scritto su questo .

Se esiste un modo più semplice per accedere al tuo conto bancario rispetto alla bruta-forzatura della password del tuo database, allora questa è la minaccia che devi preoccuparti. Spero che i collegamenti che ho fornito siano stati utili.

    
risposta data 25.02.2015 - 17:41
fonte
1

1) Se usi password sicure, molti gestori di password usano cifrari molto sicuri, che non dovrebbero essere decifrabili tramite la forza bruta, ma come diceva dangenet, dobbiamo davvero fare affidamento sui professionisti per svolgere il loro lavoro proprio qui

2) La maggior parte dei Manager usa l'autenticazione del dominio quando lavora all'interno del tuo browser, quindi in questo caso dovresti essere più sicuro, ma ovviamente il gestore delle password non può impedirti di copiare manualmente la password e inserirla da solo

3) usa password casuali e non riutilizzarle, questa è la principale minaccia che i gestori di password dovrebbero impedire.

Come dimostrato molte volte, il modo più semplice di tener conto al giorno d'oggi è l'ingegneria sociale ( link e molte istanze simili). Il rischio principale qui non è dalla tua parte e non riusare le password, usare un modo sicuro per ricordarle (fidati gestori di pswd o la tua memoria) e guardare dove inserisci le tue password, non dovresti essere molto a rischio

    
risposta data 20.02.2016 - 12:04
fonte

Leggi altre domande sui tag

Esiste il rischio di abilitare CORS con un carattere jolly su S3? Come verificare se il popup della password di iCloud è legittimo?