Ci sono consigli su come utilizzare effettivamente una password sicura?

Naviga le tue risposte
5

Sento una spinta generale verso la sicurezza delle password (cloud / local). Ora che le persone tendono a utilizzare sempre più queste tecnologie, ho cercato le best practice o gli avvisi formali sulle password sicure per le password, ma non ho trovato nulla di utile.

C'è qualcosa a riguardo? Voglio dire più raccomandazioni di "usare una password master sicura e non perderla".

La mia password sicura, per esempio, mi permette di usare il mio accesso a Windows come mezzo di autenticazione. Può anche bloccarsi dopo una certa quantità di inattività o quando si disconnette dalla macchina, si avvia il salvaschermo, ecc. Tutte queste funzioni garantiscono la sicurezza in tutta comodità.

Se ho una password di ~ 40 caratteri e la decifrazione del database richiede 2 secondi, potrei infastidirmi facendo 10 volte al giorno.

Ad esempio, KeePass suggerisce di crittografare il file della password più volte per aumentare il tempo di lavoro, ma un utente normale che passa a una password sicura probabilmente non ne capirà l'impatto. Anche se un utente di questo tipo fosse su Google, avrebbe comunque bisogno di distinguere tra l'hashing di qualcosa più volte e la crittografia, ecc.

    
posta Samuel 14.02.2017 - 08:46
fonte

1 risposta

5

Le cassette di sicurezza delle password dovrebbero essere utilizzate come vault di sicurezza, il che significa che non dovrebbero fare affidamento su nessun altro livello per l'autenticazione o la protezione. Quindi usare AD per accedervi non è consigliato. Cosa succede se la tua credenziale AD è compromessa? Oltre a questo, ecco le mie linee guida:

  1. Utilizzare una cassastrong nota come open source o da un fornitore affidabile e conosciuto
  2. Utilizza una passphrase per l'autenticazione che non viene utilizzata da nessun'altra parte
  3. Assicurati che la crittografia sia applicata all'intero file sicuro e che sia almeno AES 256
  4. Evita le casseforti del cloud se possibile (dove la cassastrong è fornita come servizio cloud, anche se crittografata con una chiave che genera per te). C'è troppo rischio con questi nuovi servizi. Ma è ok per memorizzare il tuo file chiave nel cloud finché il tuo software client lo cripta / decodifica (questo è il motivo per cui il portachiavi Apple è ok)
  5. Se si sta tentando di farlo per più utenti in un'azienda (ad esempio per le password di root / admin), utilizzare una soluzione di vault aziendale come Cyber Ark, non un software sicuro per la password; Assicurati inoltre di abilitare l'autenticazione a più fattori fornita da tutti (per evitare il problema di compromissione di AD in precedenza).
risposta data 04.10.2017 - 23:20
fonte

Leggi altre domande sui tag

Quanto sono sicure le chiavi hardware-backed in Android, quando le operazioni di crittografia avvengono in memoria? C'è un timeout per gli appunti?