Password Manager uso e sicurezza [duplicato]

2

Recentemente ho letto un articolo che sostiene l'uso di gestori di password e, mentre capisco perché qualcuno possa pensare che l'uso di questi programmi potrebbe essere una buona idea, sono a conoscenza del fatto che questi tipi di programmi possono essere una debolezza per la sicurezza informatica. So che i gestori di password generalmente memorizzano la password su un file crittografato, localmente o su un server da qualche parte online, ma quei file che memorizzano la password possono essere un bersaglio per un utente malintenzionato, quindi in sostanza gli hai assegnato un obiettivo per ottenere tutto il tuo Le password. Ho ragione nella mia comprensione di questo, e c'è un modo sicuro per usare programmi come questo?

    
posta Stealth_kong 27.07.2015 - 15:30
fonte

2 risposte

4

Lo definirei un trade-off per la sicurezza piuttosto che una debolezza della sicurezza.

I gestori di password aiutano a risolvere il problema delle password duplicate (la mia mi rimprovera se uso la stessa password due volte, quindi la aggiusto) e di password facili (la mia rende facile generare 20 caratteri senza senso e "ricordarli" ) quindi non devo scriverli o usare variazioni del nome del mio cane per ognuno di essi.

Il possibile duplicato che @BadSkillz ha collegato sopra fornisce una buona risposta alla tua domanda che descrive i compromessi.

you've essentially given him one target to get all your passwords

Se fossi un pentester, identificherei il maggior numero possibile di gestori di password per l'organizzazione che stavo prendendo di mira e quindi inizierei a indovinare le password, sperando che qualcuno ne usasse uno facile.

is there a secure way to use programs like this?

Il rischio può essere attenuato dall'autenticazione a due fattori offerta da Yubikey o dalla messaggistica SMS. Questo lo rende meno conveniente, naturalmente.

Ho scoperto che, nel tentativo di competere, questi gestori di password aggiungono "funzionalità" di convenienza (come controlli del credito, compilazione automatica, sincronizzazione con altri dispositivi) che introducono complessità e quindi insicurezza. Queste "caratteristiche" devono essere valutate separatamente per motivi di sicurezza. In questo caso, il rischio può essere mitigato disattivando le funzionalità extra.

    
risposta data 27.07.2015 - 17:26
fonte
3

La risposta breve è che è improbabile che tu venga indirizzato individualmente per le tue password. Se la tua password viene compromessa, è più probabile che ciò avverrà a seguito di una violazione di un servizio che utilizzi, ad es. un sito web. Un gestore di password è utile per qualcuno che ha molte password da ricordare o non è molto bravo a ricordarle.

Vale la pena ricordare che nulla fermerà un determinato attaccante. Nella migliore delle ipotesi puoi tenerli fuori o persuaderli a passare a qualcuno più facile da attaccare.

Ecco alcuni buoni consigli sull'utilizzo di Keepass Perché utilizzare Keepass, ecc. se tutte le password sono in un unico posto?

    
risposta data 27.07.2015 - 15:59
fonte

Leggi altre domande sui tag