Perché usare Keepass, ecc. se tutte le password sono in un posto?

5

Sono un valido sostenitore dell'uso di un gestore di password come Keepass per generare e archiviare password sicure. Incoraggio anche gli altri a fare lo stesso.

Ma c'è sempre una persona che dice che non la useranno mai perché mantiene tutte le password in un posto, quindi se un utente malintenzionato irrompe nel loro database Keepass, avranno tutte le loro password.

Ho sottolineato che la stessa cosa può accadere con i loro account di posta elettronica e che l'autore dell'attacco può semplicemente usare "hai dimenticato la password?" opzione per ottenere tutte le loro password, ma di solito non aiuta, e sono un po 'curioso su questo me stesso.

Qualcuno ha altre confidenze più approfondite su questo?

    
posta Colonel Thirty Two 24.05.2014 - 01:44
fonte

3 risposte

13

Secondo me, c'è una lunga risposta a questa domanda, e ce n'è una breve. Quello corto è simile a questo:

La maggior parte delle esposizioni (di nomi utente e password) che vediamo non sono attacchi mirati contro un individuo, ma possono far sì che le credenziali di un individuo vengano esposte. Un gestore di password aiuta a limitare l'impatto su un utente singolo consentendo loro di utilizzare password diverse su tutti i siti web che accedono, riducendo al minimo il rischio che li dimenticheranno.

Dalla mia esperienza, le persone che si oppongono all'uso di un gestore di password hanno paura di un attacco mirato contro se stessi, piuttosto che gli attacchi opportunistici che ho descritto - ma sono corretti: se qualcuno accede al loro repository di password, è game over .

Ora, c'è un modo "giusto" e un "sbagliato" per usare i gestori di password. Ecco alcuni suggerimenti:

  1. Assicurati di fare la tua ricerca prima di scegliere quale gestore di password vuoi usare: vuoi assicurarti sapere dove vengono archiviati i tuoi dati e come viene crittografato. Inoltre, assicurati di utilizzare un prodotto affidabile.
  2. Assicurati che la tua password principale sia sufficientemente complessa. Sia che tu scelga di utilizzare una passphrase sicura o una password complessa, vuoi assicurarti che sia abbastanza strong da proteggere il tuo database. Se qualcuno indovina la tua password (o riesce a decifrarla), tutte le tue password sono esposte.
  3. Non accedere mai al database delle password da un computer pubblico. E, se è necessario, cambiare la password principale (da un computer privato) in seguito. I computer pubblici possono avere keylogger e tutti i tipi di altre cose divertenti che possono esporre la tua password principale. Ancora peggio, se il tuo database è un database offline (ad esempio KeePass) in realtà non lo stai eliminando dal disco quando lo invii al cestino.
  4. Assicurati che il tuo computer privato disponga di un'adeguata protezione antivirus / antimalware. La stessa logica del numero tre: non si vuole dare alle persone l'accesso alla propria password principale in nessun caso.
  5. Utilizza l'autenticazione a più fasi ogni volta che è possibile. La maggior parte dei provider di posta elettronica più diffusi lo offre ora ed è un ottimo modo per ridurre al minimo la probabilità che il tuo account venga visitato, anche se qualcuno rileva la tua password di 128 caratteri.

Infine, la mia preferenza personale è quella di evitare qualsiasi gestore di password online "pubblico" (ad esempio LastPass ). Non mi dispiace che i database delle password siano online (ad esempio, inserendo il tuo database KeePass in Dropbox - non che io lo faccia), perché questo richiederebbe un attacco mirato affinché qualcuno possa trovare le tue password. Ma sono sicuro che gli aggressori amano mettere le mani sul database di uno di questi fornitori di servizi - per nessun altro motivo che dire che lo hanno fatto. Da lì, è solo una questione di un individuo opportunista che diventa fortunato, e tutte le tue password diventano le loro.

    
risposta data 24.05.2014 - 02:43
fonte
2

Dipende dall'alternativa. Se la persona che discute contro KeePass ricorda invece dozzine di buone passphrase, allora ha ragione con la sua critica. In realtà, tuttavia, le persone tendono a essere pigre e continuano a riutilizzare lo stesso insieme di password deboli. In tal caso, KeePass è molto meglio, perché almeno protegge da attacchi "blunt" in cui qualcuno trova una vulnerabilità di SQL injection e scarica tutti i dati utente da un sito Web.

Attaccare KeePass è un po 'più difficile. Se il database viene tenuto offline, l'utente malintenzionato deve effettivamente compromettere questo particolare sistema. E in tal caso, è praticamente finita la partita, comunque. L'autore dell'attacco potrebbe anche tentare di ottenere le password durante la digitazione.

    
risposta data 24.05.2014 - 05:40
fonte
0

Sono d'accordo, tutte le password sono in un posto, questo rende Keepass un singolo punto di errore.

Tuttavia, la maggior parte degli utenti ha già altri due punti di errore singoli:

  • Indirizzo email - in genere tutti i tuoi account utilizzano lo stesso indirizzo email e, se un utente malintenzionato prende il controllo della tua email, possono utilizzare la procedura di password dimenticata per accedere a tutti i tuoi account.
  • Laptop : la maggior parte degli utenti ha un laptop principale che utilizza per accedere a tutti i suoi siti. Se un utente malintenzionato riceve un keylogger, può ottenere tutte le tue password.

Se hai più indirizzi e-mail o portatili, probabilmente dovresti avere più cartelle Keepass.

Quindi, l'introduzione di un singolo punto di errore non è una novità e i vantaggi di un gestore di password sono significativi, quindi la maggior parte degli utenti farà bene a utilizzarne uno.

    
risposta data 24.05.2014 - 16:22
fonte

Leggi altre domande sui tag