Quindi, recentemente, dopo aver frequentato un corso di infosec (FutureLearn's Introduction to Cyber Security, che consiglio vivamente come materiale per principianti ben spiegato), ho deciso di fare il grande passo e finalmente la sicurezza della mia autenticazione in password protetta sistemi informatici. I miei obiettivi erano ...
- Utilizza password univoche per tutti i servizi protetti da password a cui posso accedere
- Rendili resilienti alla supposizione, alla forza bruta e agli attacchi di dizionario come fattibili praticamente
- Utilizza l'autenticazione a due fattori basata su qualcosa che ho quando possibile
- Evita di affidarti troppo alla disponibilità di un computer specifico (ad es. cellulare), oggetto o servizio (ad esempio copertura di rete), fondamentalmente roba che può essere facilmente violata e rubata
- Automatizza qualsiasi tipo di sincronizzazione dei dati richiesta
Mi è venuto in mente uno schema di cui sono abbastanza soddisfatto, ma vorrei verificare con qualcuno più esperto che comprendo pienamente i suoi punti di forza e di debolezza. Ed è qui che ho bisogno del tuo aiuto di esperti, se hai del tempo per aiutarmi in questo. Naturalmente, sentiti libero di riutilizzare questa procedura anche per te, non c'è alcun copyright su di esso.
Quindi ecco:
- Nel caso generale in cui ho accesso a un computer fidato con una connessione Internet e una porta USB, utilizzo LastPass per generare, gestire e sincronizzare password per-service casuali, con una password master avanzata e un Yubikey come secondo fattore di autenticazione. 2FA è abilitato per i servizi che lo supportano in modo sano.
- Per i casi in cui i computer fidati o le connessioni di rete non sono disponibili, ho anche configurato Lastpass per accettare accessi offline sul mio cellulare, utilizzando solo la password principale. L'autenticazione a due fattori viene mantenuta configurando LastPass per accettare solo accessi online dall'UUID di questo cellulare.
- Infine, per accedere a sessioni di computer, incluso il mio cellulare, ho scelto di assumere la disponibilità di nessun software e di usare passphrase. Queste passphrase sono generate nella mia testa in base all'identificazione del servizio e cose che sono abbastanza ridicole che me ne ricorderò. Esempi falsi di questo tipo potrebbero essere "HeyAmigo! IDonQuichoteDemandAccessToThisMac" o "OMG! Raptors! ToTheUNIXSystem!".
Ora, nessun sistema è perfettamente sicuro, naturalmente, ed è per questo che volevo essere sicuro di capire dove si trovano i punti deboli di questo schema di autenticazione:
- Come con qualsiasi gestore di password, ho bisogno di scegliere una password master molto buona per LastPass, in quanto l'incentivo per il cracking è elevato.
- Devo confidare che il client LastPass sia sicuro su qualsiasi piattaforma, nel senso che funzioni come pubblicizzato (ad esempio, genera password veramente casuali) e non trasmette dati sensibili.
- Mi devo fidare che il mio schema di accesso in sola scrittura di YubiKey sia efficace e che i server Yubico non perdano la mia chiave AES, perché l'autenticazione YubiKey rimanga protetta.
- I miei computer fidati, incluso il mio cellulare, devono essere privi di keylogger e altri tipi di malware che potrebbero intercettare le password di master e di servizio di LastPass. Il meccanismo UUID per cellulari di
- LastPass ', per il quale non ho trovato documentazione tecnica, deve essere sicuro: gli ID devono essere effettivamente unici e la loro creazione deve essere impossibile.
- Il mio meccanismo di passphrase di accesso è probabilmente meno sicuro delle password generate casualmente che uso altrove. Con lunghe passphrase (10 o più parole, incluse quelle non comuni), confido che sia invulnerabile agli attacchi di forza bruta e dizionario, ma potrebbe essere vulnerabile a indovinare da qualcuno che mi conosce. Quindi può essere abbastanza duro per l'accesso locale, dove ho anche un secondo fattore di autenticazione (accesso fisico alla macchina), ma per l'accesso remoto potrei desiderare qualcosa di più strong.
Pensi di aver capito bene o di vedere un altro punto debole nel mio schema di autenticazione che potrei voler diffidare e cercare di indurire in futuro?