Utilizzo di Gestione password insieme a una password memorizzata

Question

Utilizzo di Gestione password insieme a una password memorizzata

#1 da (2 voti)
#2 da (0 voti)
#3 da (0 voti)

3

Da tempo desidera passare a un gestore di password. Ho letto e fatto ricerche, quindi conosco tutti i vantaggi dell'utilizzo di un gestore di password invece di utilizzare le stesse 3 password in tutti i siti. Una cosa che mi spaventa ancora è "mettere tutte le mie uova in un cestino". Per quanto improbabile, se il mio vault della password è compromesso, in sostanza tutti i miei account sono compromessi. La probabilità è piccola (LastPass è stato violato e la forza bruta dell'attaccante ha aperto il mio caveau), ma l'impatto è enorme. Questa è stata la ragione principale che mi ha impedito di utilizzare un gestore di password.

Che cosa succede se ho usato un gestore di password in combinazione con una password che è solo nella mia testa. Quindi la vera password per il mio account è di 2 parti, prima da password manager, seconda dalla mia testa, concatenata insieme. La seconda parte sarebbe qualcosa che è comune a tutti gli account, ma non scritta / archiviata ovunque.

l'unico lato negativo che riesco a vedere è che la compilazione automatica della password non funzionerà, ma la password completa per i miei account non viene mai memorizzata da nessuna parte.

Questo è uno schema migliore? Ottengo il vantaggio di una password complessa senza riutilizzo e persino un vault della password non rivelerà le mie password effettive.

password-management

posta Jack W 09.02.2018 - 01:42

fonte

3 risposte

Leggi altre domande sui tag password-management

Dove sono archiviati gli ACL di sicurezza NTFS su sistemi Windows? Fornire una funzionalità di recupero SMS senza compromettere la sicurezza di un account

score 2 · Answer 1

Il tuo piano è scomodo al punto che IMO non vale la pena che mi assoggetterei.

Mi fido abbastanza dei gestori di password (LastPass) per proteggere le password. Tutti i dati archiviati nel cloud sono crittografati, vengono decrittati sempre e solo localmente sul tuo browser.

Se mai mi preoccuperei del problema più grande che non tutti i siti web seguono le best practice per la gestione delle password / hashing, quindi avere solo la password, non importa quanto ben custodito, non è sufficiente.

La mia raccomandazione è lasciare che il gestore delle password si occupi delle password, ma assicurati di abilitare l'autenticazione secondo fattore (2FA) per i siti importanti.

Se un sito non supporta 2FA di qualche tipo, mi auguro che non sia un sito importante ... assicurati che non memorizzi la carta di credito o informazioni sensibili su di te.

score 0 · Answer 2

Se sei preoccupato per gli attacchi automatici (ad esempio una violazione su larga scala, con i bot che tentano di accedere a molti account diversi), questa potrebbe essere una buona strategia. L'aggiunta di una sola lettera a tutte le password bloccherebbe un bot stupido e, se non sei abbastanza interessato, nessuno potrebbe preoccuparsi di indagare sul motivo per cui non funziona. Personalmente, lo troverei inopportuno ma è più una preferenza personale.

D'altra parte, se sei preoccupato contro un attacco mirato, non sono così convinto che questa sia una buona idea. Puoi supporre che almeno una delle tue password sia trapelata, quindi un utente malintenzionato potrebbe capire il tuo modello. Cambiare tutte le password ogni volta che una persona trapelata diventa rapidamente non fattibile.

Quindi, forse, dovresti semplicemente prendere la password bit in più che devi memorizzare e aggiungerla alla tua password principale. In primo luogo, questo potrebbe impedire che il tuo deposito venga violato!

score 0 · Answer 3

Alcuni gestori di password (ad es. KeePass) ti permettono di autenticarti usando una combinazione di password principale e un file chiave (che puoi conservare su una USB) che è fondamentalmente una versione alternativa di 2FA.
Questo metodo è completamente offline poiché il file della password è archiviato sul disco. Se non ti fidi dell'archiviazione di terze parti del tuo file di password (come un'app online come LastPass) puoi optare per questo.