La password principale di un gestore password migliora significativamente la sicurezza?

5

Uso il KeePass gestore delle password, che mi consente di modificare le impostazioni di derivazione / crittografia della chiave. Sono tentato di prendere tempo per scegliere impostazioni molto forti e un'enorme frase segreta.

Ma migliora davvero la sicurezza? La mia comprensione è che quando un malware viene eseguito su un account utente (che è l'unico modo in cui potrebbe tentare di attaccare il mio database delle password), non c'è un modo sicuro per nascondere i dati: potrebbe registrare le sequenze di tasti o fare screenshot quando le password appaiono sullo schermo oppure prova a leggere la memoria del gestore password quando il database viene decodificato o monitora gli appunti.

Inoltre, non vedo il punto di investire così tanto nel proteggere il mio database delle password quando altri dati personali e sensibili non sono criptati nella mia cartella utente, come i cookie di connessione o l'archivio delle mie foto, che è probabilmente più sensibile del mio password: quest'ultimo può essere modificato dopo una violazione, ma se il primo viene rubato, ho perso. Inoltre, mi infastidirebbe di più se qualcuno rubasse le mie foto rispetto alle password dei miei account sui social media.

Infine, utilizzo la crittografia completa del disco, impedendo a qualcuno con accesso al mio computer di utilizzare qualsiasi dato su di esso, incluse le mie password.

Per questi motivi, sto considerando l'utilizzo di KeePass con solo un file di chiavi che si inserirà nella mia cartella utente, rendendo la crittografia totalmente inutile in quanto la chiave sarebbe accessibile come il file crittografato. So che non è considerato una buona pratica, ma per i motivi sopra esposti non vedo il punto di assicurare solo questa particolare parte dei miei dati.

C'è qualche ragione per cui ho trascurato che renderebbe questa decisione stupida? Più in generale, in che modo una password principale può rappresentare un significativo miglioramento della sicurezza in quanto un malware potrebbe avere altre semplici opzioni per visualizzare le password?

    
posta Arno 25.02.2017 - 16:17
fonte

4 risposte

5

Tutto dipende da quali minacce consideri. Hai ragione, se il tuo sistema è mortalmente compromesso con i keylogger in tutto il mondo, c'è poco che si possa fare. Ma cosa succede se l'attaccante può solo prendere una copia di un file e se quel file è il vault della password?

L'uso comune di un gestore di password come Keypass è l'ipotesi che esista una gerarchia nella sensibilità dei dati:

  • i dati non sensibili possono vivere in file non crittografati sul disco
  • dati altamente sensibili (password per conti bancari, codice PIN della carta di credito, ecc.) devono essere protetti con una password principale in caso di furto di dati.

Se i tuoi dati non rispettano tale gerarchia, è possibile che la sicurezza del vault della password non valga una password master complessa. Ciò significa che utilizzi Keypass solo per la sua capacità di memorizzare le password e non più per la sua capacità di proteggere le password. In tal caso, potresti anche memorizzare le password direttamente nel tuo browser ...

    
risposta data 25.02.2017 - 16:31
fonte
1

Il più grande affare in questa materia è quello di attaccare con carta e penna, utilizzare le informazioni rilevanti che è necessario memorizzare e utilizzare le iniziali per ricordare il concetto. Cambia la password ogni mese e ricorda il giorno speciale di tutti in una volta. Non salvare mai quelle password, inoltre ogni volta che lo maneggio mi aiuta a memorizzare il concetto. Esempio: Jd, hd4y.jd, aswY.Jd, fmay.jd, aIk2. Descrizione: Gesù è morto, è morto per te. Gesù è morto e così anche tu. Gesù è morto, per me e te. Gesù è morto e io so 2.

    
risposta data 26.02.2017 - 17:38
fonte
0

Vado con una soluzione hardware per archiviare le chiavi di accesso come Yubico o altri sul mercato.

Potresti anche usare OATH HOTP con keepass e yubico per proteggere il tuo database Keepass. link

    
risposta data 01.03.2017 - 10:04
fonte
0

Dicono che l'accesso al tuo computer è il tallone d'Achille di tutta la sicurezza. Se qualcuno ha uno sniffer keylogger o password sul dispositivo, malware o fisico o altro, non c'è davvero molto che puoi fare per tenerlo al sicuro. Alla fine della giornata devi inviare la password per il login SOMEHOW. Anche se hai la password scritta su un pezzo di carta nel codice e la cambi ogni giorno, devi comunque inserirla per accedere e un malware sofisticato potrebbe ancora prenderlo. In realtà, penso che sarebbe molto più facile per il malware rubare una password che si digita materialmente rispetto a quella che si accede ciecamente a KeePass e quindi rimossa dalla memoria in seguito. In teoria, un file di password con crittografia avanzata dovrebbe essere sicuro nel cloud o altrove, ma se possono comunque rubare la tua password principale, non farà alcuna differenza. Anche una chiave USB fisica come quelle utilizzate dalle grandi aziende tecnologiche non è infallibile, in quanto in alcuni modi è ancora più facile rubare. Quindi, fondamentalmente si tratta di mantenere il computer libero da malware, evitando le tecniche di phishing e osservando i metodi di buona pratica come non tenere gli accessi in un file Word sul desktop senza nulla per impedire al ladro locale di trovarli.

Personalmente, la mia mente si ribella all'idea di lasciare la chiave del file che si trova proprio accanto al file della password, ma se il tuo computer è criptato comunque, di qualsiasi vera minaccia a corto di droga-lui-e-colpisci-lui -con una tecnica a chiave inglese verrà da online. La crittografia di tutto il disco dovrebbe proteggere i dump di dati o qualsiasi sistema di estensione della memoria tramite disco rigido sulla macchina. Consiglio comunque di mantenere le password crittografate oltre la crittografia del disco rigido. Non sai mai chi potrebbe inciampare nel tuo computer nei 30 secondi che ti allontani per ricaricare il tuo caffè.

Quindi di nuovo si tratta di come ti senti paranoico. Se il tuo governo vuole davvero la tua collezione di foto di gatti, ha un modo molto più diretto per ottenere l'accesso che giocando cloak-and-dagger con il tuo gestore di password. Per la maggior parte, la sicurezza abbastanza buona è probabilmente abbastanza buona. Dopotutto, ci sono molti obiettivi più facili là fuori.

    
risposta data 25.01.2019 - 01:49
fonte

Leggi altre domande sui tag