Il mio attuale modello di sicurezza (almeno per le password) è quello di archiviarli crittografati a riposo e utilizzare GPG (in combinazione con un Yubikey) per eseguire la crittografia / decrittografia. Sto utilizzando pass
( link ) per automatizzare il processo di crittografia / decrittografia. Questi file sono memorizzati 0700 e ho intenzione di sincronizzarli su iCloud Drive o su un repository git appropriato (ad un certo punto). In questo momento sto solo facendo loro il backup di un Ironkey (D20402A). Sto usando sottochiavi da 4096 bit per la crittografia / decodifica GPG.
Tuttavia, i codici TOTP vengono memorizzati sul mio iPhone (utilizzando Google Authenticator). So che ci sono soluzioni di terze parti come Authy, ma mi piacerebbe migrare lontano dal mio telefono, se possibile.
Idealmente mi piacerebbe conservare le mie chiavi segrete TOTP in un modo che possa essere recuperato (e adeguatamente sottoposto a backup) dal mio computer per semplificare lo scripting e l'automazione. Ci sono alcuni servizi come AWS che richiedono un codice TOTP insieme alle mie normali credenziali di autenticazione che lo motivano.
Conserveresti questi segreti TOTP insieme alle mie password (purché entrambe siano crittografate) abbastanza sicure o solo una cattiva idea? Il modo in cui lo vedo sono fondamentalmente quattro elementi necessari a qualcuno per sbloccare le mie chiavi:
- Computer fisico (crittografia dell'intero disco con APFS) o Ironkey
- Yubikey fisico (o il backup o il backup della chiave master)
- Password di decrittografia di Disk o Ironkey
- Il mio PIN Yubikey
C'è uno strumento chiamato link che posso utilizzare per questo.
Sono indeciso se si tratta di una soluzione di sicurezza accettabile. Da un lato, l'aspetto "secondo fattore" che il TOTP comporta viene sovvertito archiviando tutti i segreti su un singolo dispositivo.
D'altra parte, sono ragionevolmente sicuro che il dispositivo e i metodi che ho intenzione di utilizzare attorno alla mia soluzione proposta siano sufficientemente adeguati per proteggere questi dati. Riconosco che tutto questo vola fuori dalla finestra se la mia macchina stessa è compromessa (ma questo mi lascia fregato in ogni situazione).