Memorizza la password in Public Domain usando file e md5sum

1

Ogni volta che controllo l'integrità di un file usando md5sum, ottengo una stringa di caratteri alfanumerici da confrontare e verificare se è stata scaricata correttamente.

Non è possibile utilizzare la concatenazione di alcune di quelle stringhe come password ? Ciò consentirebbe di "memorizzare" la password in chiaro , a condizione che mi ricordi esattamente quali file producono dette stringhe md5.

So che è impraticabile come è, ma sono curioso di possibili rischi per la sicurezza e vantaggi , se presenti.

Vantaggi Mi viene in mente:

  1. Capacità di recuperare la tua password, anche se i tuoi hard disk e back-up vengono offuscati.
  2. Non è possibile inserire la password direttamente se interrogata. Sebbene tu possa sempre puntare ai file, quindi non c'è alcuna protezione qui.

Svantaggi Riesco a vedere senza quasi nessuna conoscenza della sicurezza delle informazioni:

  1. Estremamente poco pratico rispetto a un gestore di password.
  2. Se i file sono scelti male o sono soggetti a modifiche, la password potrebbe essere persa o difficile da trovare. per esempio. Uno dei file è uno sfondo di uno spettacolo popolare e diffonde molte modifiche dai suoi fan.

  3. La password è accessibile da chiunque abbia una connessione internet. L'unica cosa che lo protegge è il fatto che potrebbe essere una qualsiasi combinazione di file con una data di creazione più vecchia della password stessa.

Come già detto, non so quasi niente di IS. Per favore, correggi qualsiasi equivoco o errore in questa domanda.

    
posta Calculus Knight 31.08.2015 - 11:23
fonte

2 risposte

1

Vantaggi su un gestore di password: poco o nulla.

Problemi di sicurezza:

  • La tua tecnica di generazione della password verrebbe registrata nel comando history .
  • Qualsiasi meccanismo di accesso ai file registra l'accesso a questi file ogni volta che si accede.
  • La password sarà visibile sullo schermo ogni volta che è necessario utilizzarla.
  • Se alcuni file cambiano a tua insaputa, la tua password è persa.
risposta data 31.08.2015 - 16:52
fonte
1

Se supponiamo che il contenuto dei file di input sia casuale, possiamo visualizzare la proposta come utilizzando MD5 come algoritmo PRNG e utilizzando i file di input come seme per la funzione PRNG. Quindi la tua domanda diventa:

Is it secure to use a PRNG algorithm, whose seeds are stored on my disk, as a password generator?

La risposta è chiaramente no perché tutti i dati per ricreare la password sono online e non crittografati. Mentre le password potrebbero apparire casuali per i singoli fornitori di identità, chiunque abbia accesso al tuo sistema avrebbe accesso a tutte le tue password.

Mentre ritieni che la strategia che usi per mappare i file sul disco alle password, non fornisce alcuna sicurezza, ma solo oscurità. Quindi non c'è alcun beneficio lì.

Un possibile miglioramento del tuo schema sarebbe quello di crittografare i file di input e disporre di un'applicazione intelligente che li decifra brevemente ogni volta che ti serve una password. Ciò potrebbe aiutare alcuni ma ti rimangono molti dei problemi discussi nella risposta di SilverlightFox .

Se il contenuto di questi file non è veramente casuale, diventa molto difficile prevedere la qualità delle password che verranno generate. Forse un aggressore intelligente e determinato imparerà a sufficienza per prevedere le tue password o ridurre drasticamente lo spazio di ricerca per alcune delle tue password. È troppo difficile sapere. In generale, scrivere la propria crittografia è difficile e soggetto a errori. Nota che anche la strategia di crittografia sopra discussa non aumenta la casualità / prevedibilità dei tuoi file di input.

Come ultima riflessione, potrebbero esserci interazioni sconosciute tra l'algoritmo che usi per generare password e i valori hash MD5. Forse gli MD5 generati da questi file sono meno casuali di quanto vorrebbero. Senza un'indagine ampia e pubblica sulla tua proposta, non c'è modo di saperlo (anche in questo caso si può trovare un difetto in seguito, ma questa è la migliore strategia che abbiamo al momento).

    
risposta data 31.08.2015 - 17:48
fonte

Leggi altre domande sui tag