Master Password vs Passphrase

Naviga le tue risposte
2

Circa un anno fa, ho provato a utilizzare LastPass ma ho trovato l'esperienza utente molto carente, e sono tornato al mio metodo provato e vero di avere solo un sacco di password diverse (qualche riutilizzo della password, ma non ho mai funzionato in problemi con esso) e la mia e-mail ha una passphrase unica, non riutilizzata di 30 caratteri e credo che potrei semplicemente reimpostare la password qualsiasi servizio eventualmente dirottato.

So che questo non è buono e capisco le conseguenze: non si tratta di questo.

Recentemente ho deciso di "hey, diamo un altro colpo ai gestori di password" e questa volta è andato con Firefox Sync (& Master Password).

Da quanto ho notato, crittografa il cryptoblob memorizzato localmente usando una chiave, che è di per sé crittografata usando la password principale. Le password memorizzate sul loro server sono (per qualche motivo) crittografate usando la mia password di Firefox Sync (che è, ovviamente, memorizzata in cryptoblob).

Full disclosure: la mia password di Firefox Sync non è strong come la mia password principale. Se qualcuno l'avesse rubato, in teoria potrebbero scaricare una copia non crittografata della mia password blob su un nuovo dispositivo semplicemente accedendo al mio account. Tuttavia; questo mi richiede di confermare l'accesso dalla mia e-mail. La password per la mia email è, alla data corrente, la stessa passphrase che uso per la mia password master firefox.

Ora, alla domanda: C'è qualcosa di intrinsecamente meno sicuro nell'usare una passphrase lunga e umanamente memorabile (la mia password principale) per la mia e-mail (richiesta per scaricare il mio cryptoblob) piuttosto che avere una password sicura per i dati archiviata in detto cryptoblob?

    
posta Wolfie 11.10.2016 - 12:29
fonte

2 risposte

3

Dipende dal modo in cui generi la passphrase.

Una passphrase derivata da una storia, o una canzone, o una citazione di un libro o poesia, è intrinsecamente insicura. I cracker sono già utilizzando citazioni da lavori disponibili pubblicamente e trasformazioni comuni (come prendere la prima lettera di ogni parola) per indovinare le password.

Una passphrase inventata da te è migliore, ma è comunque intrinsecamente meno sicura di una password completamente randomizzata. Avrà una struttura di frasi, probabilmente favorirà le parole comunemente scelte, ecc. Quanto meno sicuro è molto difficile da quantificare; ci sono stati studi che individuano l'entropia dei passphrase carattere per carattere. Tuttavia, è meglio di una frase disponibile pubblicamente e un lotto migliore di una password a parola singola con o senza trasformazioni.

Ma potresti anche creare una passphrase completamente casuale, diceware . Con abbastanza parole, queste possono essere rese sicure come vuoi; una frase segreta diceware con parole N tende ad essere più sicura di caratteri casuali, a caratteri misti con cifre e caratteri speciali con caratteri 2N . Con una passphrase casuale, non c'è nulla di intrinsecamente insicuro a riguardo; puoi utilizzare questo metodo ogni volta che il servizio consente di inserire caratteri sufficienti per 6-8 parole.

    
risposta data 11.10.2016 - 14:32
fonte
2

Sì, può essere sfruttato per ottenere l'accesso alle tue password più facilmente che se tu avessi una password più sicura che protegge la tua password di Firefox Sync. Stai aggiungendo potenziale per un utente malintenzionato che è in grado di capire la tua password di sincronizzazione di Firefox.

L'e-mail che ricevi per permetterti di scaricare il blob crittografico non è crittografato. Può essere letto dagli altri. Questo potenzialmente (le e-mail possono essere crittografate anche tra i fornitori, non solo tra il fornitore e te. Tuttavia, spesso non lo sono.) Include i grandi governi, il governo del tuo paese, il tuo ISP, qualsiasi altro fornitore di servizi tra il tuo ISP e i server di Firefox Sync e i rispettivi governi. Ma potenzialmente include anche tutti quelli a cui wifi o Ethernet ti connetti mentre ricevi l'email e le persone che controllano il malware che potrebbe essere presente su quella rete, ad esempio nel router.

Nota che alcuni dei precedenti possono essere mitigati se ricevi le tue e-mail crittografate tramite SSL. Tuttavia, SSL ha un sacco di problemi.

Supponiamo che la chiave privata di qualche azienda anti-virus arbitraria sia compromessa. Chi può intercettare il traffico SSL solo se lo incontra che rende molto più plausibile l'attacco da parte di malware sul router o dal tuo ISP.

Inoltre, il tuo account di posta elettronica potrebbe avere una password complessa ma mostrare altri punti deboli. Ad esempio, potrebbe esserci una domanda di recupero password che richiede semplicemente il nome da nubile di tua madre, il che è davvero facile da scoprire se l'aggressore sa chi sei. Ciò rende la forza della password del tuo account di posta elettronica praticamente inutile. In aggiunta a ciò, potrebbe esserci un indirizzo email di recupero assegnato al tuo account di posta elettronica. Se l'account di quell'indirizzo email di recupero presenta una password debole che presenta altri punti deboli (ad es. Il recupero tramite il nome da nubile della madre), ciò significa anche che il tuo account di posta elettronica non è sicuro.

    
risposta data 11.10.2016 - 13:04
fonte

Leggi altre domande sui tag

Esprimere il rischio di non avere una politica di sicurezza (ad es. ISO 27002, capitolo 5) '[email protected]' è un mittente legittimo di avvisi di sicurezza?