Implicazioni sulla sicurezza dell'utilizzo di un gestore di password abilitato OAuth

1

Ho resistito all'idea dei gestori di password per molto tempo. Riunire password per tutti i tuoi account online in un posto protetto solo da password principale difficile da ricordare non mi sembra una buona idea.

Tuttavia, ultimamente ho eseguito molte reimpostazioni di password. Cerco di modificare le mie password come raccomandato ma le dimentico sempre. Fare una reimpostazione della password richiede tempo inutile ed è un problema al culo. Allora, ho pensato ... perché non provare un gestore di password che utilizza il servizio OAuth di Google invece di una password principale? Le persone che accedono al mio account Gmail sarebbero comunque in grado di accedere a tutti questi account, poiché possono eseguire il reset della password.

Naturalmente ci sono ancora altri rischi associati a tale configurazione. Il malware potrebbe rubare il database e forzarlo. Poi ancora una volta le password digitate potrebbero essere rubate da un keylogger e anche i cookie di sessione potrebbero essere intercettati. Una soluzione di archiviazione delle password basata su cloud può introdurre ulteriori rischi aggiuntivi. Ma sul lato positivo, se non devo ricordare la password, posso usare stringhe di password molto più severe.

Quali sono i tuoi pensieri su questa idea? Sarebbe meno sicuro archiviare le mie password in questo modo in cambio di una maggiore comodità? Esistono prodotti software esistenti che eseguono l'autenticazione con OAuth anziché una password principale? Puoi considerare che ho già attivato l'autenticazione a due fattori per il mio account Google. Utilizzerei questo strumento solo per servizi che già inviano email di reimpostazione della password a questo account Google.

    
posta Pieter 22.08.2012 - 12:16
fonte

4 risposte

2

Certamente è più conveniente . Ma dubito che sarebbe più sicuro.

Per prima cosa, una tale configurazione introduce un altro punto di errore rispetto alla soluzione della password principale. La superficie di attacco sarebbe più grande in quanto ci sarebbe un altro obiettivo (Google), per compromettere invece del solo servizio di gestione delle password. Quanto più questo rischio aumenta dipende da come viene visualizzata la sicurezza di Google.

Ti ricordi solo una password altamente casuale che è difficile per te? Le mie password online sono archiviate con lastpass. Tutti hanno password molto casuali che vanno da 18 a 30 caratteri. Devo solo ricordare una password di 10 caratteri (che ritengo abbastanza sicura da resistere agli attacchi bruteforce).

Devi ancora ricordare la password del tuo account Gmail, che DOVREBBE essere altrettanto lungo e casuale di qualsiasi password tu possa considerare per la tua password principale. Quindi non vedo alcun beneficio per il tuo schema.

    
risposta data 22.08.2012 - 12:23
fonte
1

Penso che il tuo ragionamento sia valido. Otterrai password molto più potenti e, semmai, credo che che valga di più del rischio aggiuntivo di utilizzare un vault della password.

L'alternativa - essendo una cassastrong per password umana - non è né fattibile né molto sicura (a meno che la tua mente non sia sorprendente). Con le password che si rompono più velocemente di quanto puoi dire "John the Ripper", l'utilizzo di password complesse sta diventando sempre più importante.

Un'alternativa a Google Authenticator o Google Oauth sta ricevendo un Yubikey. Funziona bene con LastPass e vault password locali e consente di configurare l'autenticazione a due fattori anche per molte altre cose, come accesso al sistema operativo, crittografia disco, SSH, ecc.

    
risposta data 16.12.2012 - 21:45
fonte
0

È stato dimostrato da un recente compromesso di uno sviluppatore di tecnologia che Google, Apple e Amazon, anche se hanno una sicurezza migliore di un dato indiviso, ci sono ancora modi per aggirare anche i controlli di sicurezza. Ciò significa che anche se un criminale non avesse la password del tuo account Google, sarebbe in grado di accedere all'account e modificare la password, quindi potrà accedere al profilo del sito web controllato da OAuth. Questo tipo di password manager sarebbe protetto solo se tu avessi usato l'autenticatore, anche se sarebbe stato vulnerabile all'ingegneria sociale, perché il più grande punto debole di un account Google è il fatto che Google supoprt personale può effettivamente cambiare la password.

In un'istanza come LastPass non sono in grado di cambiare la password, perché anche se lo facessero, i dati che erano stati crittografati con un'altra password non sarebbero stati letti.

Nell'istanza del compromesso dell'autore si verifica quanto segue:

  1. Il criminale ha ottenuto sufficienti informazioni sull'utente per aggiungere un credito carta al suo account Amazon al telefono. \
  2. Il criminale ha richiamato Amazon, chiedendo la reimpostazione della password e ha fornito le informazioni sulla carta di credito che ha appena aggiunto.
  3. Ciò ha consentito quindi di visualizzare le ultime 4 cifre di una carta di credito effettiva collegata a un account Apple.
  4. Il criminale ha chiamato Apple chiedendo "assistenza" ed è stato in grado di accedere all'account iCloud dopo aver fornito le ultime 4 cifre dalla carta di credito connessa all'account.
  5. Il criminale ha cancellato tutti i dispositivi dell'autore e richiesto un account Google reimpostazione della password, con accesso alla e-mail di "backup" questo è stato un successo.

Non sono davvero sicuro della morale della storia. Non è chiaro se il Google Authenticator avrebbe fermato il criminale. Google ha password basate su applicazioni che sicuramente avrebbero bloccato il criminale e un'implementazione di un gestore di password che utilizzava una di quelle password sarebbe sicuramente sicura. Naturalmente non ci sarebbe alcuna differenza tra l'attuale implementazione, perché la vecchia e la nuova password dovrebbero essere fornite per crittografare nuovamente i dati.

    
risposta data 22.08.2012 - 14:29
fonte
-1

In teoria per le misure di sicurezza puoi utilizzare un altro account Google per il recupero della gestione delle password, quindi quando l'account che utilizzi normalmente è compromesso, non si tratta di una violazione totale.

    
risposta data 22.08.2012 - 12:30
fonte

Leggi altre domande sui tag