Stessa password per la crittografia completa del disco, account utente, account amministratore

4

Considera un computer con solo 1 utente, ma 3 password:

  • 1 per Full Disk Encryption (FDE)
  • 1 per un account utente senza diritti amministrativi, che sarebbe l'account che l'utente utilizza quotidianamente
  • 1 per un account utente amministratore, che verrebbe utilizzato solo quando i programmi richiedono privilegi elevati

Stavo pensando a un computer Windows con Bitlocker, ma la domanda potrebbe riguardare anche altre soluzioni FDE (ad esempio TrueCrypt / VeraCrypt) o anche altri sistemi operativi (Linux, macOS, ...).

Ovviamente, l'utilizzo di 3 password diverse sarebbe ideale in termini di sicurezza.

Tuttavia, l'uso di un gestore di password non è realmente possibile per queste password.

Quindi, quali sono le implicazioni sulla sicurezza dell'utilizzo della stessa password per questi 3 casi d'uso ?

Posso pensare ai seguenti rischi: la password FDE è normalmente abbastanza sicura contro i keylogger del software (credo), tuttavia la password dell'account utente e la password dell'account amministratore non lo sono.

Ci sono altri rischi?

In alternativa, se si usano 2 password diverse, quale dovrebbe essere diverso dagli altri 2?

Direi che quello usato per FDE dovrebbe essere diverso. Sembra accettabile avere la stessa password per l'account utente e l'account admin (a condizione che ci sia solo 1 utente), nello stesso modo sudo chiede la password dell'utente (e non una password di root) su Linux sistemi.

    
posta user3409662 01.08.2017 - 22:08
fonte

4 risposte

2

Queste tre password ti proteggono da diverse minacce. Quali sono le più importanti dipenderà dal tuo modello di minaccia.

  • La password non amministratore protegge i tuoi file personali da altri utenti non amministratori
  • La password dell'amministratore protegge il tuo sistema da modifiche da parte di altri utenti non amministratori
  • Le password FDE proteggono il tuo sistema dagli aggressori con accesso fisico

Come ciò che l'attaccante può ottenere da ciascuno:

  • Se l'utente malintenzionato ottiene la password non amministratore, può provare a utilizzarla per accedere anche agli account admin. Pertanto controlla l'intero sistema.

  • Se l'utente malintenzionato ottiene la password amministratore, controlla l'intero sistema (compresi gli account non amministratori).

  • Se un utente malintenzionato ottiene l'accesso fisico al tuo computer e ha la password FDE, non importa le password rimanenti in quanto può cambiarle.

IMHO, password amministratore e password non amministratore dovrebbero essere sempre diversi. Il rischio che un utente malintenzionato aumenti i privilegi con la stessa password è troppo alto. Ma forse nel tuo modello di minaccia non è un grosso rischio dato che hai un solo account

Informazioni su FDE, non è un must per ogni utente. Se l'accesso fisico al tuo computer è parte del tuo modello di minaccia (come rapina, forze dell'ordine o 3 agenzie di lettere), allora dovresti usare una password completamente diversa anche per questo. Se questo non fa parte del tuo modello di minaccia, non importa quale password usi

Sul presupposto che la password FDE sia più difficile da ottenere dai keylogger del software, mentre ciò è vero, un attacker che è stato in grado di distribuire un keylogger nel tuo sistema potrebbe essere ugualmente in grado di ottenere la chiave di crittografia dalla memoria

    
risposta data 02.08.2017 - 05:06
fonte
1

Idealmente, dovresti avere 3 password diverse e forti per le 3 diverse azioni, e cambiarle tutte regolarmente. L'unico problema è che probabilmente sei un essere umano e trovare e ricordare password diverse e complesse non è così facile, e quelle password non possono essere facilmente estratte da un gestore di password.

Quindi proverei a fare un'analisi dell'uso e dei rischi. Mi piacciono molto i fumetti di xkcd per l'autorizzazione . Questo spiega perché alcuni sistemi Linux non hanno password di amministratore ma usano solo sudo, chiedendo all'utente nuovamente la propria password per eseguire attività amministrative. La stessa logica è dietro UAC su sistema Windows: un'attività non privilegiata non dovrebbe essere consentita per scalare silenziosamente i diritti di amministratore e richiede una convalida dell'utente; ma ciò che autentica l'utente è solo la sua password (*).

Dovresti davvero usare password diverse per gli account esposti a minacce diverse o se vuoi essere in grado di cambiarne uno senza modificare gli altri. Ciò si applica in genere alle password dei siti remoti in cui, se un sito è stato compromesso, si desidera evitare che il problema si estenda ad altri siti. Ma qui le 3 password in realtà proteggono la stessa cosa: il tuo computer.

Quindi il mio consiglio è di scegliere una buona password e usarla regolarmente per le 3 cose. Solo la password dell'amministratore potrebbe essere diversa, perché può essere archiviata in un vault della password nel caso in cui la dimentichi. Le cose sarebbero diverse in alcune di queste password sono state condivise con un altro utente (pensando a FDE qui), perché allora l'FDE dovrebbe essere diverso dalla password degli utenti.

(*) Molti attacchi consentono di eseguire codice indesiderato per conto dell'utente ma non di rubare la sua password

    
risposta data 02.08.2017 - 10:11
fonte
0

Usando la stessa password su Full Disk Encryption, l'account utente regolare e l'account utente amministratore, inserisci la:

Tipo di situazione "La tua unica forza come il tuo anello più debole"

Considera che utilizzerai il tuo account utente regolare più spesso del tuo account amministratore e sarà più incline al compromesso iniziale.

Se tale account / password utente normale è compromesso in qualsiasi modo, hai immediatamente concesso al malintenzionato l'accesso per decrittografare FDE e accedere ai privilegi di amministratore. Detto questo, una volta che un utente malintenzionato ha i privilegi di amministratore locale ... non è più il tuo dispositivo .

Non posso raccomandare di cambiare solo 1/3 di queste password. Rendili tutti diversi e forti se stai cercando di rendere il tuo dispositivo meno penetrabile.

    
risposta data 01.08.2017 - 23:26
fonte
-1

Usando la stessa password per i tuoi account non admin e admin, hai essenzialmente sconfitto lo scopo di avere un account non amministratore. È ora banale escalation da un compromesso dell'account non amministratore all'account admin. Se hai intenzione di usare la stessa password per entrambi, considera di non avere un account non amministratore. Almeno in questo modo sarai consapevole dei rischi che stai assumendo.

Naturalmente, è meno semplice ottenere i privilegi di amministratore quando gli account sono separati, anche se le password sono le stesse. C'è un qualche valore in quanto un utente malintenzionato dovrebbe scoprire che le password sono le stesse. Questa è essenzialmente la Sicurezza attraverso l'oscurità, che è una cattiva pratica.

La password FDE ti protegge da qualcuno che ruba il tuo dispositivo o il tuo disco rigido. Un utente malintenzionato che ha hackerato il tuo utente non privilegiato, il più delle volte, non sarà lo stesso attaccante a rubare il tuo dispositivo fisico. Ciò non è tuttavia vero per le forze dell'ordine o gli attori governativi. A seconda del modello di minaccia, il riutilizzo delle password per FDE e gli account utente diventa più o meno grave. Tuttavia, è quasi sempre una cattiva pratica.

    
risposta data 02.08.2017 - 02:53
fonte

Leggi altre domande sui tag