Ho appena iniziato a utilizzare un gestore di password e mi stavo chiedendo quale sia la migliore pratica in merito a dove tracciare la linea relativa a ciò che è memorizzato nel software.
Idealmente potrei memorizzare password utente Windows / Unix, password sudo per server remoti, password per chiavi SSH, password dell'account e-mail e password di banking online e password per i siti Web, ma quale di questi è sicuro conservare nel gestore delle password ?
Quando si utilizza un gestore di password, si crea un singolo punto di errore. Se si archiviano tutte le password in un sistema e tale sistema è compromesso, tutte le password vengono esposte. Questo è lo stesso problema con l'accesso singolo. Tuttavia, è possibile memorizzare diversi set di password in diversi database master per fornire una certa segregazione laddove possibile. È anche possibile archiviare le password meno frequentemente utilizzate o più sicure offline su un disco USB.
Inoltre, come punto di chiarimento, vuoi assicurarti di utilizzare un gestore di password crittografato (ad esempio, KeePass non solo qualcosa di integrato Il gestore, inoltre, sono scettico nei confronti dei gestori di password basati sul servizio Web perché non si sa se è possibile fidarsi del proprio browser per la voce, della rete per la trasmissione o del provider per l'archiviazione sicura. Esiste anche un rischio molto più limitato se sincronizzi il tuo database usando qualcosa come dropbox, ma solo perché è in più punti, anche se questo impedisce il rischio di un DoS autoinflitto se perdi la tua sola copia del tuo database delle password.
Con la maggior parte dei gestori di password crittografati, è possibile limitare ulteriormente l'esposizione impostando i timeout che bloccano il database dopo un intervallo di tempo, quando si attiva lo screen saver o quando si blocca manualmente il sistema. È inoltre possibile applicare l'autenticazione a più elementi, ad esempio certificati, smart card, dati biometrici e lt; a seconda della compatibilità del software. Inoltre, si desidera garantire che la crittografia sia strong e sia stata implementata correttamente. Dovresti tenere d'occhio il sito web dello sviluppatore di password manager per eventuali aggiornamenti di sicurezza, ecc.
Ovviamente, se qualcuno dovesse utilizzare qualcosa come la memoria di un browser o qualcosa con crittografia no o debole (file excel protetto da password), si sta più o meno memorizzando le password in un file di testo in chiaro.
Conservo tutto sul mio gestore di password. Mi piace l'idea di un singolo punto di errore, semplifica enormemente il processo generale di protezione dei miei dati.
Ho una memoria orribile. Molto orribile. L'alternativa a un gestore di password sarà probabilmente una password debole per ogni servizio che uso. Questa è ovviamente una cosa molto brutta. Mantengo tutte le mie password generate casualmente protette in un database di password utilizzando un file chiave.
Questo dovrebbe essere abbastanza sicuro se prendi alcune precauzioni. Non NON aprire il database delle password su un computer non affidabile. Tutta la crittografia nel mondo non ti salverà se sblocchi il tuo database per il simpatico keylogger nascosto nella macchina.
Leggi altre domande sui tag password-management