Sommario
Sono un utente LastPass, ma temo di archiviare password di alto valore, come la mia password bancaria, online. Ho letto alcuni post su questo argomento ma ho ancora domande.
- Quanto sono sicuri i gestori di password come LastPass?
- L'utente medio ha davvero bisogno di un gestore di password ?
- Le password salvate in Chrome sono sicure come usare LastPass se la lasci connesso?
Minacce
Sto cercando una soluzione che risolva le seguenti minacce (LastPass gestisce i punti 2 e 3 ma non # 1):
- L'utente malintenzionato riceve le mie password crittografate e dispone di risorse sufficienti per infrangere la mia passphrase. L'utente malintenzionato decodifica la mia password di banking online offline, effettua l'accesso e ruba tutti i miei soldi.
- L'autore dell'attacco mi induce a inserire la mia password su un sito diverso da quello che intendo (phising). L'hacker ottiene la mia password di banking online, ruba tutti i miei soldi.
- Uno dei miei account di alto valore viene compromesso. L'utente malintenzionato utilizza la mia password lì per indovinare le password ai miei altri account di alto valore.
Ho 4-5 account online che considero sufficientemente prezioso da essere preoccupato per queste minacce.
Domande
Innanzitutto, esistono minacce più importanti che trascuro qui?
In secondo luogo, come posso affrontare questi problemi? Stavo pensando di fare in modo che un gestore di password memorizzi un valore salt in modo casuale per ogni account di alto valore, esegui l'hash con una password "master" e utilizzalo come password dell'account reale (un po 'come PwdHash). Né le password dell'account reale né la password principale verrebbero archiviate ovunque (crittografate o meno). Questo sembra forzare l'attaccante a provare le proprie parole d'ordine nei confronti del servizio online, piuttosto che essere in grado di romperle offline.
Si noti che questa password "principale", che viene utilizzata per derivare le password dell'account, è diversa da "password / passphrase master" dell'ultimo passaggio, utilizzata per crittografare i dati memorizzati.
Questo schema riguarda le minacce di cui sopra? Qualsiasi software che implementa questo per Chrome su Linux?