Gestore password o libro delle password

5

Ho visto molte discussioni online riguardanti l'utilizzo di un software di gestione password più sicuro rispetto alla scrittura di password su carta e viceversa. Tuttavia, gran parte di questa discussione presuppone che l'utente stia semplicemente scrivendo i nomi utente e le password in testo in chiaro.

Quanto è più sicuro, se non del tutto, un gestore di password rispetto alla carta assumendo che tu li offuschi in qualche modo? Sono un po 'scettico nel mettere tutte le mie password in un software e avere quel singolo punto di errore a cui è possibile accedere tramite Internet.

    
posta Luke Glazebrook 07.12.2017 - 17:36
fonte

4 risposte

4

Non c'è una risposta pulita a questo. Dipende dall'utilizzatore. Solo una manciata di considerazioni immediate (ce ne sono molte altre) -

  • Come viene memorizzato il libro fisico? Cioè qualcuno che tiene un libro in una cassastrong fisica in una casa recintata è molto più sicuro del ragazzo che porta in giro il libro dicendo "password" sul davanti nello zaino.
  • Quanto è sicura la macchina su cui è utilizzato il gestore password? Se il codice non affidabile è in esecuzione su quella macchina come lo stesso utente teoricamente, non c'è nulla che impedisca la lettura delle password.
  • Non tutti i gestori di password sono basati su Internet. Puoi solo memorizzarli localmente o utilizzare un dispositivo hardware.
  • Quali password vengono utilizzate? Qualcuno che usa un gestore di password ha molte più probabilità di utilizzare password generate casualmente più a lungo rispetto a chi le copia da un libro.
  • Che cosa protegge la password? Cioè la tua password scritta nella stessa posizione fisica di una macchina con un disco non criptato non riduce in realtà la sicurezza di un avversario vagamente tecnico. Scrivere la password su una chiavetta USB criptata sulla chiavetta lo rende inutile.

Entrambe le tecniche utilizzate correttamente possono essere molto sicure. Con un gestore di password hai la possibilità di avere anche una password principale che non è registrata da nessuna parte. Con un libro delle password ottieni sicurezza dai casi in cui devi inserire una singola password su un computer non affidabile.

    
risposta data 07.12.2017 - 17:46
fonte
1

Dipende da quanto paranoico sei. Ci sono pochi livelli di paranoia per quanto riguarda la privacy.

  • Livello 3 : pensi di essere abbastanza intelligente e nessuno passa attraverso le tue note crittografate personali dove hai scritto la passphrase utilizzando alcuni dei tuoi metodi di crittografia inventati. Quindi dovresti usare la passphrase book.

  • Livello 2 : ritieni che qualcuno possa trovare il tuo taccuino o che potresti perdere (come devi portare ovunque), quindi potresti utilizzare il gestore delle password. Se non ti piace il closed source puoi usare il gestore delle password open source come Keepass o Lesspass . Lo consiglierei a tutti.

  • Livello 1 : non ti fidi di nessuno tranne della tua buona vecchia memoria. Li memorizzi tutti senza compromettere la casualità. Mi piacerebbe spiegare qui come organizzare, memorizzare la tua passphrase senza compromettere la casualità, ma è irrilevante qui.

Per vostra informazione: ho usato la parola passphrase in ogni caso della parola password . Credo che tutti dovremmo fare lo stesso.

    
risposta data 07.12.2017 - 19:11
fonte
0

Si può effettivamente fare una combinazione di entrambi. Compra / usa un prezzo basso, ev. smart phone Android vecchio o di seconda mano - non deve essere in esecuzione. Pulisci. Personalmente installerei lineage-os su di esso senza la suite google. Crittografa il dispositivo con una frase hardpass. Disabilitare tutte le reti (modalità aereo). Memorizza la tua passphrase book in un file di testo, e usala solo per quello. Considera la tua versione elettronica del tuo passphrase book. Alla fine, ne acquisti due, per avere un backup; oppure puoi fare una copia nandroid criptata su una chiavetta USB che metti in una cassastrong. Non connettere mai il dispositivo a una rete, mantienilo sempre in modalità aereo. È un modo per dare una seconda vita a uno smartphone più vecchio: come un notebook crittografato.

    
risposta data 07.12.2017 - 22:22
fonte
0

Non posso dare una risposta definitiva a questa domanda perché dipende da molte cose. Quindi mi limiterò a dare alcune osservazioni:

I am slightly skeptical of putting all of my passwords into a piece of software and having that single point of failure that can be accessed through the internet.

Quindi sono! Il mio vault password esiste in 2 punti: sul mio desktop e sul mio smartphone e non viene mai copiato su una cartella cloud: non è un punto singolo e solo un attacco precedente riuscito potrebbe renderlo accessibile tramite internet . Quello che voglio dire qui è che io uso 2 linee di difesa: il file non è pubblicamente disponibile e i suoi dati sono protetti con una password e una crittografia strong

... is more secure than writing your passwords down on paper

Le password su un foglio sono generalmente considerate una soluzione veramente sicura se la carta viene quindi conservata su una cassastrong fisica. È ancora comune per i segreti per i quali la perdita di disponibilità avrebbe gravi conseguenze per un'organizzazione: solo poche persone (idealmente una sola persona) usano il segreto in normali casi d'uso, ma se quella persona muore o viene seriamente ferita, un backup consente all'organizzazione di fornire il segreto a qualcun altro.

... assuming you obfuscate them in some way?

L'offuscamento è generalmente disapprovato quando viene ricercata sicurezza . Non hai spiegato come vuoi offuscare quindi non posso darti un consiglio (nessuno può). Ma non puoi fare a meno di rivelare il segreto, quindi puoi solo fare affidamento sulla tua idea di essere abbastanza originale da impedire a un aggressore di indovinarlo, qualunque cosa possano sapere su di te. Sei da solo a questo punto, ma fare la domanda è un segnale che non ne sei sicuro ...

    
risposta data 08.12.2017 - 17:32
fonte

Leggi altre domande sui tag