Metodo di memorizzazione delle password facile da usare, semplice e sicuro? [chiuso]

0

Desidero ridurre la barriera di accesso a un metodo più sicuro di generazione / memorizzazione delle password. Il principale ostacolo per chiunque ho parlato, o ho cercato di convincere a passare a un database di password non è necessariamente la complessità, ma la complessità percepita.

Finora ho convinto alcune persone ad evitare di riutilizzare le password, e ho sottolineato le risorse sulla creazione di password più forti, o di fornire istruzioni su come farlo. Questo ora lascia il problema di archiviare queste password in modo sicuro.

Prendendo in considerazione:

  • Non è possibile memorizzare tutte le password.
  • Memorizzare tutte le password scritte e protette non è possibile neanche.

Esistono metodi o best practice comuni per consentire agli utenti che non dispongono di competenze tecniche di memorizzare le password in modo sicuro?

Modifica La mia versione precedente di questa domanda è stata messa in attesa come richiesta di un prodotto, sarebbe corretta poiché cercavo un "database" di file di testo crittografato. Sto ripetendo i requisiti previsti perché mantiene le basi per la risposta di @ Craig e una descrizione di quanto fossero semplici le mie esigenze.

Il mio ideale avrebbe funzionalità estremamente limitate:

  • Richiede una passphrase per aprire / decrittografare il file 'database'.
  • All'apertura del database, all'utente viene semplicemente presentato un editor di testo semplice.
  • Impostazioni minime immediatamente evidenti nell'interfaccia utente.
  • Un generatore di password con un clic, con impostazioni predefinite "sensate".
  • Il supporto di Windows è un must, vantaggioso per tutte le piattaforme, ma non è un requisito.
posta Phizes 03.01.2015 - 10:40
fonte

1 risposta

1

Ci sono stati alcuni "editor di testo crittografici" in giro da molto tempo. Non so che tipo di longevità la maggior parte di loro abbia, davvero. UltraEdit crittograferà i file di testo ed è in circolazione da sempre. Una sorta di ricerca breve ha mostrato queste alternative:

link

link

link

link

link

La crittografia può essere davvero difficile da fare correttamente, quindi è necessario indagare sullo sfondo di qualsiasi soluzione tu scelga. Se arrotoli il tuo, lo vuoi progettare con cura, o finisci per fare promesse che non stai mantenendo. Devi decifrare i dati per vederlo. Ma quando lo decifri devi salvarlo e presentarlo. Dove lo fai? Se lo scrivi sul disco non crittografato, anche inavvertitamente tramite i file temporanei creati dalla tua app, hai compromesso l'integrità della tua soluzione. Se decrittalo solo in memoria, va bene, ma devi essere in grado di sovrascriverlo in modo sicuro quando il tuo programma si chiude, ed è potenzialmente vulnerabile mentre il tuo programma è in esecuzione. Se si sta utilizzando uno strumento di sviluppo raccolto con la spazzatura come la maggior parte di quelli moderni (Java, .NET C # / VB, ecc.), Allora non si ha realmente il controllo su ciò che il GC fa con la memoria in cui sono archiviate le stringhe. Potrebbe volerci molto tempo prima che quella memoria sia effettivamente cancellata. Nel caso di .NET, le stringhe sono immutabili (non non possono sovrascriverle), ma esiste una classe di stringhe sicura che è sovrascrivibile (ma più difficile da utilizzare). Oppure puoi bloccare la memoria nelle sezioni di codice non gestite e farti strada con esso. Che è anche più difficile. Ma devi ancora considerare la possibilità di copie in chiaro dei tuoi dati che finiscono nel file di paging di Windows (o nel file di swap di Linux / UNIX), e così via.

La crittografia è difficile da ottenere "correttamente". : -)

    
risposta data 03.01.2015 - 13:54
fonte

Leggi altre domande sui tag