Ho un file GNUPG che uso per memorizzare localmente tutte le mie password (non so se sia una buona idea). La domanda è, è sicuro spingere il file GNUPG su github in modo che possa accedervi da qualsiasi luogo?
Ho un file GNUPG che uso per memorizzare localmente tutte le mie password (non so se sia una buona idea). La domanda è, è sicuro spingere il file GNUPG su github in modo che possa accedervi da qualsiasi luogo?
È crittografato, quindi in teoria è sicuro, purché la tua chiave / password di crittografia sia di qualità sufficiente.
Ma se rendi pubblico il tuo database, questo è praticamente un invito per le persone a provare a craccarlo. Se la tua chiave non è strong come pensi, o se scivoli in qualche altro modo (ad esempio per un attacco di phishing), allora sei a rischio. Penso che pubblicare pubblicamente il tuo database sia una cattiva idea. Solo perché qualcosa non dovrebbe essere a rischio se è nelle mani degli aggressori, non significa che tu debba fare volontariato per essere un bersaglio. Proprio come un sito Web mantiene privati gli hash delle password come prima linea di difesa, la prima linea di difesa dovrebbe tenere il file delle password fuori dalla portata degli aggressori. Non possono nemmeno provare ad attaccare ciò che non hanno ancora.
Suggerisco di utilizzare un servizio di archiviazione online che offre accesso privato (ad esempio: Dropbox, Google Drive, OneDrive, ecc.) per archiviare le password crittografate per un comodo accesso a più dispositivi, ma mantenerle comunque nascoste alla maggior parte degli autori di attacchi.
Off-topic: hai considerato un gestore di password progettato per lo scopo? Se si desidera uno strumento solo locale, esistono KeePass, PasswordSafe e altre opzioni. Penso che troverai che la praticità aumenta un po 'con lo stesso livello di sicurezza (o meglio, dato che non devi preoccuparti dei file temporanei creati in decrittazione).
Il passaggio gestore password funziona essenzialmente nel modo in cui lo stai proponendo inserendo ciascuna password (più informazioni aggiuntive facoltative ) in un singolo file crittografato PGP e controllandolo in git per spostarlo. Anche se non è il gestore di password più popolare è abbastanza popolare che se ciò causasse seri problemi, probabilmente sarebbe noto.
Uso me stesso pass anche se uso un account ssh (autenticato tramite gpg-agent e il mio PGPCard) su una VM personale noleggiata piuttosto che github, sebbene tutto ciò non faccia altro che nascondere i nomi dei file, che prendono il nome dai siti per cui sono utilizzati, quali pass utilizza e non farebbe davvero la differenza per il tuo scenario tutto in uno.
Leggi altre domande sui tag github audit password-management gnupg