Uso passaggio per gestire le mie password e sincronizzarlo manualmente con un repository privato di git nel cloud.
Credo che questo sia sicuro perché il repository non è pubblico e, cosa più importante, i dati sono crittografati con GPG.
Sono a rischio di farlo?
Am I at risk doing this?
No
Se "pass" è sicuro, significa che sta facendo correttamente la crittografia, potresti inviare le tue password crittografate a chiunque desideri e staresti comunque bene.
Fintanto che non sono in grado di violare la tua password principale con la forza bruta, ma potrebbero essere necessari anni se hai una password master strong.
Passa trapelare i nomi delle voci: se la tua password è denominata web / site.com, sarà memorizzata nel file ~/.password-store/web/site.com.gpg , e nel repository git sarà solo web/site.com.gpg .
Quindi chiunque abbia accesso al tuo repository (nel tuo caso: github) sarà in grado di vedere il nome della tua password. Questo non è così grande per la privacy: diciamo che c'è un file chiamato web/pornhub.com.gpg , questo potrebbe dare un suggerimento circa le tue abitudini di navigazione;)
Inoltre, la dimensione dei file potrebbe anche dare un indizio su quali account potrebbero avere piccole password . Se un file è molto piccolo, è probabile che la tua password sia troppo piccola. Un utente malintenzionato potrebbe utilizzare queste informazioni per selezionare l'account che è più probabile che abbia una password debole.
Leggi altre domande sui tag password-management