Implicazioni sulla sicurezza dell'utilizzo di un gestore di password abilitato OAuth

Certamente è più conveniente . Ma dubito che sarebbe più sicuro.

Per prima cosa, una tale configurazione introduce un altro punto di errore rispetto alla soluzione della password principale. La superficie di attacco sarebbe più grande in quanto ci sarebbe un altro obiettivo (Google), per compromettere invece del solo servizio di gestione delle password. Quanto più questo rischio aumenta dipende da come viene visualizzata la sicurezza di Google.

Ti ricordi solo una password altamente casuale che è difficile per te? Le mie password online sono archiviate con lastpass. Tutti hanno password molto casuali che vanno da 18 a 30 caratteri. Devo solo ricordare una password di 10 caratteri (che ritengo abbastanza sicura da resistere agli attacchi bruteforce).

Devi ancora ricordare la password del tuo account Gmail, che DOVREBBE essere altrettanto lungo e casuale di qualsiasi password tu possa considerare per la tua password principale. Quindi non vedo alcun beneficio per il tuo schema.

Penso che il tuo ragionamento sia valido. Otterrai password molto più potenti e, semmai, credo che che valga di più del rischio aggiuntivo di utilizzare un vault della password.

L'alternativa - essendo una cassastrong per password umana - non è né fattibile né molto sicura (a meno che la tua mente non sia sorprendente). Con le password che si rompono più velocemente di quanto puoi dire "John the Ripper", l'utilizzo di password complesse sta diventando sempre più importante.

Un'alternativa a Google Authenticator o Google Oauth sta ricevendo un Yubikey. Funziona bene con LastPass e vault password locali e consente di configurare l'autenticazione a due fattori anche per molte altre cose, come accesso al sistema operativo, crittografia disco, SSH, ecc.

È stato dimostrato da un recente compromesso di uno sviluppatore di tecnologia che Google, Apple e Amazon, anche se hanno una sicurezza migliore di un dato indiviso, ci sono ancora modi per aggirare anche i controlli di sicurezza. Ciò significa che anche se un criminale non avesse la password del tuo account Google, sarebbe in grado di accedere all'account e modificare la password, quindi potrà accedere al profilo del sito web controllato da OAuth. Questo tipo di password manager sarebbe protetto solo se tu avessi usato l'autenticatore, anche se sarebbe stato vulnerabile all'ingegneria sociale, perché il più grande punto debole di un account Google è il fatto che Google supoprt personale può effettivamente cambiare la password.

In un'istanza come LastPass non sono in grado di cambiare la password, perché anche se lo facessero, i dati che erano stati crittografati con un'altra password non sarebbero stati letti.

Nell'istanza del compromesso dell'autore si verifica quanto segue:

1. Il criminale ha ottenuto sufficienti informazioni sull'utente per aggiungere un credito carta al suo account Amazon al telefono. \
2. Il criminale ha richiamato Amazon, chiedendo la reimpostazione della password e ha fornito le informazioni sulla carta di credito che ha appena aggiunto.
3. Ciò ha consentito quindi di visualizzare le ultime 4 cifre di una carta di credito effettiva collegata a un account Apple.
4. Il criminale ha chiamato Apple chiedendo "assistenza" ed è stato in grado di accedere all'account iCloud dopo aver fornito le ultime 4 cifre dalla carta di credito connessa all'account.
5. Il criminale ha cancellato tutti i dispositivi dell'autore e richiesto un account Google reimpostazione della password, con accesso alla e-mail di "backup" questo è stato un successo.

Non sono davvero sicuro della morale della storia. Non è chiaro se il Google Authenticator avrebbe fermato il criminale. Google ha password basate su applicazioni che sicuramente avrebbero bloccato il criminale e un'implementazione di un gestore di password che utilizzava una di quelle password sarebbe sicuramente sicura. Naturalmente non ci sarebbe alcuna differenza tra l'attuale implementazione, perché la vecchia e la nuova password dovrebbero essere fornite per crittografare nuovamente i dati.

In teoria per le misure di sicurezza puoi utilizzare un altro account Google per il recupero della gestione delle password, quindi quando l'account che utilizzi normalmente è compromesso, non si tratta di una violazione totale.