Quali password da escludere da un gestore di password?

Naviga le tue risposte
6

I vantaggi di un gestore di password sono chiari. Tuttavia, sembra che ci possa essere un caso per mantenere almeno alcune password al di fuori di esso:

  • La tua e-mail principale, per minimizzare il problema del "single point of attack", oltre a potenziali problemi di blocco dell'autenticazione a due fattori;
  • I tuoi conti bancari e conti con informazioni finanziarie, per evitare violazioni di termini e condizioni;
  • Accedi ai codici per l'hardware fisico.

Questa risposta suggerisce che tali account dovrebbero essere scelti in base al (a) livello di vulnerabilità in caso di compromissione dell'account e (b) ) livello di fiducia in un gestore di password. . Se tutti gli account esclusi sono protetti con autenticazione a due fattori e password almeno altrettanto forti di quella che protegge il gestore di password, tuttavia, l'esclusione non sarebbe utile anche per la disaggregazione del rischio?

Esiste un compromesso diverso dall'aggregazione del rischio rispetto alla praticità?

    
posta Simon Podhajsky 08.05.2015 - 19:05
fonte

3 risposte

4

Non sono d'accordo con la tua premessa che ha senso mantenere alcune password da un gestore di password (sicuro e non proprietario).

Anche se potrebbe sembrare che alcune password potrebbero avere senso al di fuori di esso, penso che queste potrebbero essere limitate a due tipi:

  1. Una chiave di crittografia su disco intero su un dispositivo che contiene lo stesso gestore di password. Questo è principalmente dovuto al fatto che avrai bisogno di quella password per entrare nel gestore di password stesso. Per generare questa password usa qualcosa di sicuro e casuale come una password diceware di 7-9 parole.

  2. La password per il gestore della password stesso. Solo perché è irrilevante farlo, non per scopi di sicurezza.

Risponderò anche alle tue proposte:

  1. E-mail principale: se la gestione delle password è compromessa, è probabile che sia già stato effettuato il login. Supponendo una via di attacco che permetta a qualcuno di entrare nel tuo database di password (keylogger, screen capture, qualunque cosa) hai già una vulnerabilità significativa che include quasi sicuramente l'accesso alla tua password di posta elettronica. Perché non includere solo la tua password e-mail (s) per motivi di sicurezza? Sulla nota dei problemi di autenticazione a due fattori, potrebbe essere logico utilizzare un'altra password diceware per la tua e-mail in modo da averla memorizzata anche tu. Il vantaggio in termini di costi favorisce il mantenimento della password in un database sicuro.

  2. Conti bancari - Qualsiasi banca che non è bloccata con la testa nella sabbia dovrebbe AMARE che stai usando un gestore di password. I dati finanziari dovrebbero sempre essere protetti da chiavi casuali. Non sono sicuro di quali violazioni dei termini si potrebbero eseguire se l'hai fatto. Soprattutto se questi sono i tuoi account personali di cui stiamo parlando. Se sono altri account con informazioni finanziarie che non sono tue, direi che hai un obbligo etico (se non legale) di proteggere i dati nel miglior modo possibile. Ciò significa utilizzare password generate casualmente da un database delle password.

  3. Accedi ai codici sull'hardware fisico. Mentre capisco l'idea alla base di questo, se effettivamente si ha a che fare con l'hardware fisico molto e si vogliono dei codici sicuri, si vuole anche un metodo sicuro per archiviare i codici e renderli forti. Se ricorri all'utilizzo di codici errati o dello stesso codice moderatamente buono, finirai per fare più male che bene. Se necessario, procurati un netbook o un telefono sicuro e inserisci qui il database delle password.

Chiedete: "C'è un compromesso diverso dall'aggregazione del rischio rispetto alla convenienza?"

Vorrei incoraggiarti a pensare ai gestori di password meno come comodità e più come strumenti per mantenere una buona sicurezza. I gestori di password violati sarebbero effettivamente un problema, ma i problemi che impediscono sono piuttosto sostanziali e la probabilità che si verifichino errori con l'installazione corretta sono minimi.

    
risposta data 08.05.2015 - 20:34
fonte
11

La vasta riduzione del rischio che ti piace semplicemente utilizzando un gestore di password (nessun riutilizzo della password, password più potenti, resistenza al phishing, ecc.) supera di gran lunga ogni minimo rischio aggiuntivo di mantenere la tua password di posta elettronica nello stesso deposito. Cioè, supponendo che tu proteggi il vault della password con una password complessa.

Inoltre, quegli account sono quelli che cerco di proteggere maggiormente e un gestore di password rende più facile farlo. La password per il mio account e-mail e i miei conti bancari sono i più forti che riesco a farli, e li giro un po 'regolarmente. Non posso in alcun modo ricordare quattro o più password con più di 50 caratteri che vengono ruotate da due a quattro volte l'anno.

    
risposta data 08.05.2015 - 19:21
fonte
1

Perché non archiviare tutte le password in un gestore di password ma non memorizzare la password intera ? Fai in modo che, da sole, le password compromesse siano inutili. Lo fai semplicemente ricordando un prefisso, un suffisso, un infisso o una combinazione dei tre. Penso che il mio elenco di password sia il solo salt salt per la mia password singola che rimane nel mio gestore di password mentale.

    
risposta data 09.05.2015 - 03:52
fonte

Leggi altre domande sui tag

L'applicazione di AES è più sicura? C'è un modo per bloccare LD_PRELOAD e LD_LIBRARY_PATH su Linux?