Gestione password e recupero account

3

Vorrei iniziare a utilizzare un gestore di password, ma non sono sicuro di come gestire il recupero dell'account.

Non sono un criminale o un agente segreto, quindi se perdo la mia password principale (o il mio secondo fattore di autenticazione, come una thumbdrive Yubikey, o il mio pollice), non voglio che i miei dati siano irrecuperabili ( e "i miei dati", intendo "il mio diritto di accesso a tutti i miei account per i quali ho utilizzato il mio gestore di password per archiviare password potenzialmente generate e dimenticate automaticamente": posso permettermi di perdere l'accesso al mio gestore di password, se posso resettarlo e riottenere l'accesso a tutti i miei account separatamente con ciascuna delle opzioni di recupero dell'account).

Supponiamo che non utilizzi il recupero del vault del gestore di password, poiché tutti i file non sono sicuri o non sono disponibili, quando sono disponibili.

L'unico modo per essere in grado di recuperare qualsiasi account in qualsiasi situazione (telefono, computer e password-elenco-su-un-pezzo di carta persi o presi da qualcun altro, ad esempio) è utilizzando il recupero dell'account da un indirizzo email, dal momento che richiede solo un accesso a internet e una password, ma sposta semplicemente il problema altrove.

Ad esempio, potrei utilizzare un indirizzo email di recupero univoco per tutti gli account di un provider orientato alla sicurezza come ProtonMail e usarlo solo per il recupero dell'account per renderlo meno visibile ai potenziali aggressori.

Ma è ancora un'altra password da ricordare (con la password principale) e un altro punto di accesso, e se utilizzo il gestore password per memorizzare questa nuova password ma perdo la password principale, l'indirizzo di recupero diventa inutile.

L'unica soluzione a cui riesco a pensare è quella di utilizzare una persona fidata (come mia moglie) per memorizzare sul proprio gestore di password la password del mio indirizzo di ripristino e non cambiarla mai (a meno che la loro password principale sia compromessa, ad esempio), e potrei fare lo stesso per loro. In questo modo, è improbabile che entrambi perdano l'accesso ai nostri rispettivi gestori di password.

Quindi la mia domanda è: Quale strategia è la migliore per quanto riguarda password manager e recupero account?

I gestori di password riescono a ripristinare il recupero in modo più sicuro rispetto alle mie proposizioni? Ci sono alternative migliori?

P.S. : Quando dico "recupero del vault del gestore password", intendo "il gestore password significa recuperare il mio vault o la mia password principale", e quando dico "recupero account", intendo "il fornitore dell'account significa recuperare il mio account o la mia password che Ho memorizzato nel mio gestore di password ", ad esempio, mezzi di recupero dell'account specifico di Facebook.

    
posta CidTori 15.04.2018 - 15:01
fonte

3 risposte

1

Penso che tu sia confuso su come funzionano i gestori di password. Hai menzionato l'utilizzo di un'opzione di recupero della posta elettronica, che non è possibile con nessun gestore di password serio. Un servizio di gestione password non conosce la tua password principale, quindi non può restituirtela in un messaggio di posta elettronica. È semplicemente impossibile.

Alcuni gestori di password supportano l'accesso di emergenza (ad esempio: l'accesso di emergenza di LastPass ) che forniscono ad altri utenti ritardo accesso al tuo vault. Questo ti consente di dare accesso a qualcuno al tuo vault dopo che non hai effettuato l'accesso per alcuni giorni. Si noti che questo potrebbe non includere il recupero della password principale (LastPass non supporta il recupero della password), ma fornisce l'accesso al contenuto del vault. Utilizzando tale metodo di recupero, è possibile memorizzare la password principale nel vault e fare affidamento sulla persona di fiducia e sull'accesso di emergenza ritardato per recuperare la password principale.

La strategia di recupero di emergenza è simile all'utilizzo del vault di un'altra persona per memorizzare la password, ma aggiunge un ritardo. Questo ha pro e contro. Se hai bisogno di una password veloce, il ritardo è una seccatura. Ma se la password della seconda persona è in qualche modo compromessa, il ritardo ti dà il tempo di revocare l'accesso di emergenza prima che anche la tua sia compromessa.

Se vuoi usare la carta come backup della tua password principale, salvala in un posto sicuro, come una cassetta di sicurezza. Sebbene ciò non fornisca accesso immediato, riduce la possibilità che la carta venga vista da vicino da vicino.

La soluzione più semplice è, ovviamente, non dimenticare la password principale. Personalmente, scrivo la mia password principale quando la cambio, la porto con me per alcuni giorni, quindi la caccio in modo sicuro (considera il fuoco) una volta memorizzata. Non l'ho mai dimenticato (anche se ho impostato il ripristino di emergenza).

    
risposta data 15.04.2018 - 16:14
fonte
1

Sto usando una password vault da anni e non ho mai dimenticato la password principale. Le minacce che ho sono:

  • hacking dei miei account web: il gestore di password offre una facile generazione di password casuali
  • stolen vault: il vault della password è installato solo nei dispositivi locali (il mio telefono, il telefono di mia moglie e il nostro PC e non viene mai inviato sulla rete = > può essere rubato solo se uno dei dispositivi lo è. pianificato di cambiare tutte le password al più presto se ciò dovesse accadere
  • Vault danneggiato: poiché esiste su 3 diversi dispositivi, spero che il 3 non si rompa allo stesso tempo e che dovrei essere in grado di ripristinare una copia danneggiata da una buona
  • perdita della password principale: spero che mia moglie e io non lo dimenticheremo allo stesso tempo. Il rovescio della medaglia è che raramente lo cambio. Idealmente dovrebbe essere scritto su una carta conservata in una cassastrong fisica, ma credo che il rischio non ne valga la pena

I rischi che accetto:

  • Devo fidarmi di mia moglie ...
  • la password principale non è così strong e non cambia frequentemente - ma un hacker dovrebbe prima rubare un dispositivo fisico, e ho programmato di cambiare tutte le password contenute se ciò dovesse accadere
  • la sincronizzazione tra i tre vault è manuale: so che devo farlo ogni volta che viene aggiunta o modificata una password
  • se un cattivo riesce a rubare uno dei dispositivi che custodiscono il caveau, spero che lo noterò e potrò cambiare tutte le password prima che possa rompere la password principale

Le minacce che non sono nemmeno mitigate:

  • l' attacco del tubo di gomma . IMHO è probabilmente il rischio più alto in termini di conseguenze se non si verificano, ma è ancora più difficile da prevenire
  • attacchi interni ai siti (banca). Devo fidarmi dei siti che uso.

Non pretendo che questa sia la soluzione migliore, è solo una possibile e adatta ai miei bisogni.

    
risposta data 17.04.2018 - 11:42
fonte
0

Fondamentalmente, non vuoi che tutte le tue password siano dipendenti da una singola password, che potresti dimenticare! e questa è una precauzione ragionevole. Scommetto che più persone hanno perso l'accesso ai gestori di password dalle password perse che agli "hacker" di posta.

La tua soluzione di condivisione con tua moglie risolverebbe questo problema, poiché entrambi fungeranno da backup reciproci, ma ti esporrà anche a una nuova minaccia. Se qualcuno avesse violato l'ultimo passaggio di tua moglie, avrebbero ottenuto anche il tuo. Continuo a pensare che la soluzione sia pratica, ma non la definirei "migliore".

Diventa leggermente più complicato quando parliamo di MFA. Perché le password da sole non sono sufficienti se hai perso il token / codice MFA.

Usando LastPass come esempio, la tua MasterPassword viene utilizzata per crittografare tutte le tue password. Senza di esso, non saresti in grado di recuperare le tue password, tuttavia il tuo codice MFA NON viene utilizzato per la crittografia, ma solo per l'autenticazione. Quindi una perdita del token / codice MFA sarebbe ancora recuperabile, solitamente tramite il ripristino della posta elettronica.

Se la tua e-mail principale ha un MFA, puoi vedere che tipo di tana del coniglio stiamo andando qui. Se sei su GMail, presumibilmente, dopo un lungo back-and-fro con un dipendente di Google, riceverai la tua posta, che ti consentirà di recuperare l'accesso LastPass (non le password in LastPass, solo l'accesso a il blob crittografato che memorizza). Dopo averlo fatto, puoi ottenere la password dall'account di tua moglie e voilà, tornando alla normalità - ma questo processo può richiedere giorni (forse settimane).

La mia raccomandazione è di memorizzare la tua MasterPassword e alcuni codici di backup fisicamente da qualche parte (scollegati da Internet). O su un pezzo di carta o su un ThumbDrive che usi specificamente per questo scopo. Per essere chiari, le password e i codici devono essere tenuti separati gli uni dagli altri, poiché vengono utilizzati per situazioni diverse. E un ladro che ha rubato accidentalmente uno non potrebbe accedere al tuo account.

Quella "cosa" fisica può essere assicurata in un luogo che tu e tua moglie conoscete - in un cassetto sicuro, chiuso a chiave a casa vostra, anche solo un pezzo di carta nascosto nell'enciclopedia brittanica (perché io C'è ancora da incontrare un ladro che ha rubato uno di quelli).

In caso di perdita di una password, ti aspetterei per la carta / unità con la password lastpass. In caso di smarrimento del telefono (con il token MFA su di esso), ti limiti a raggiungere i codici di backup MFA (perché ricordi ancora la tua password).

Nell'evento "vietato il cielo" muori in un incidente aereo, dove vengono persi sia la tua password che i token - i tuoi cari possono raggiungere entrambi e riattivare il tuo account (a patto che tu abbia detto loro dove entrambi sono).

Naturalmente, c'è sempre la possibilità che qualcuno entri in casa e rubi "sia" sia la password e i token e acceda al tuo account. Questo per me è un rischio ragionevole da prendere - il rovescio della medaglia è ricordare la tua password e solo scrivere i token di backup.

    
risposta data 16.04.2018 - 06:29
fonte