Qual è il modo ideale per memorizzare le password?

0

Mi sto chiedendo cosa dovrei fare con le mie password.

Ho suddiviso i conti in base all'importanza in due gruppi:

a) il primo di account come questo di cui sto scrivendo. Li ho impostati per scrivere alcuni post nei forum. Fondamentalmente, non mi importa di loro. Ognuno è diverso. Dove posso chiudere l'account che ho fatto, ma sto utilizzando alcuni di questi account per utilizzare le funzionalità di cui ho bisogno, ad esempio essere accessibile in un forum. Li immagazzino in un file che è criptato sul mio disco esterno, in realtà ne ho due di questi, in due città crittografate da VeraCrypt. Penso che questo sia sufficiente dal momento che non riesco a ricordare tali password ecc.

b) l'altro set è più importante, non vorrei menzionare che tipo di account sono, ma sono importanti per me. Recentemente ho cambiato tutte le password per quelle buone, composto da un numero sufficiente di caratteri e diversi tipi di esse. Ogni account ha una password diversa per impedire il riutilizzo di una delle mie password in un altro account. In realtà, li ho memorizzati, ma temo che un giorno potrò semplicemente dimenticare una delle password in quanto alcune non sono usate spesso.

Quindi, dove posso salvarli?

1) Non voglio memorizzarli digitalmente , poiché non sono sicuro che non disponga di exploit che possa semplicemente rubare il file in cui li sto archiviando. In realtà la documentazione di VeraCrypt mi ha detto che un volume / contenitore crittografato è sempre criptato nel disco e ogni volta viene decodificato in memoria. Ma qual è il problema da sfruttare che sta scaricando la memoria un po 'di tempo o attivato da qualche sito web aperto? Potrei farlo.

2) Non voglio utilizzare un gestore di password poiché non mi fido di loro. Ok, posso trovare un progetto open source e fare le mie indagini. Ma il problema che mi spaventa è che se una password venisse compromessa, ad esempio keylogger + exploit rubando il file di gestione password e io sono fuori dal giro.

3) Il modo migliore per archiviarli è fisicamente su carta poiché mi fido di più del mio ambiente. Ma anche questo non è un buon caso teoricamente. Non ho una cassastrong.

Quindi cosa consiglia? Qual è il modello ideale per memorizzare le password? Dove li conservi? Voglio dire su una password seria, quindi b) gruppo del mio elenco. Il gruppo a) è archiviato in file crittografati su un disco esterno e ciò equivale a memorizzarli in un gestore di password. Voglio dire 1 password incrinata = tutte le password disponibili. Tuttavia, sto collegando raramente questo disco quindi immagino che sia un po 'più sicuro di un gestore di password.

    
posta jan kowalski 02.12.2017 - 21:25
fonte

5 risposte

-1

Il modo migliore per archiviarli è EVITARE di memorizzarli ovunque tranne che nella tua memoria. Troppa dipendenza dalla scrittura, dall'elettronica, ecc. Ha reso quasi inutile la nostra memoria insufficiente.

Caso in questione: ho perso il mio cellulare l'anno scorso e sono diventato piuttosto umile quando ho capito che non potevo contattare nessuno al telefono, nemmeno mia madre. Eppure da bambino, avevo memorizzato più di 15 numeri di telefono.

Se devi memorizzare le cose segrete esterne al tuo cervello, allora consiglio di rendere tali contenuti irriconoscibili. Ad esempio, tengo un elenco a matita di contatti importanti. Chiunque guardi la lista presume che si tratti di uno scarabocchio senza senso di forme geometriche e bidimensionali. Nessuno ha intuito che ogni forma codifica un numero, determinato dal numero di cambiamenti angolari. Cioè un triangolo è 3, tuttavia la lettera M. 2 potrebbe essere la lettera N, una X o qualcosa come una L.

F.

    
risposta data 03.12.2017 - 04:16
fonte
4

I commenti hanno un buon punto per quanto riguarda la sicurezza degli endpoint del tuo modello di minaccia:

Se non ti fidi del tuo endpoint per memorizzare i dati, non dovresti fidarti abbastanza da inserire i tuoi dati da un pezzo di carta.

Non fidarsi dei gestori di password è strano - hai fatto un'analisi completa su veracrypt, di cui ti sembra di avere fiducia?

Non sto sostenendo la possibilità di scaricare la tecnologia di crittografia in generale, ma un gestore di password è probabilmente la base di codice più semplice da consultare quando i problemi di trust arrivano così lontano.

Oltre a questo, ecco i miei consigli per mantenere buone password - e dovresti farlo indipendentemente dal gruppo che hai fatto (dato che è solo un piccolo overhead per password non importanti)

  • Utilizza un gestore di password di cui ti fidi.
  • Utilizza una macchina di cui ti fidi.
  • Utilizza un'autenticazione a più fattori, ove possibile (cioè un token U2F come un yubikey o almeno un generatore di token basato su software).
  • Non riutilizzare le password.

C'è un altro problema che il tuo modello di minaccia non sta affrontando quale è la disponibilità: perdere quelle password sarà probabilmente un problema. Pertanto, è consigliabile mantenere il database creato su un secondo dispositivo. Ad esempio, puoi esportarlo con una crittografia a chiave PGP su una chiavetta che porti con te in ogni momento e tieni la chiave su un yubikey in una cassastrong.

In questo modo, dovresti riuscire a recuperare le chiavi e puoi creare nuovi backup senza bisogno di accedere a yubikey.

    
risposta data 02.12.2017 - 22:37
fonte
2

Come altri hanno sottolineato, l'errore nella tua logica vuole considerare la sicurezza dell'utilizzo della password e dello storage su una macchina compromessa. Nulla è sicuro su una macchina compromessa, nemmeno digitare le password da un blocco note. Devi essere consapevole che ogni volta che usi una password (digitandola, lasciandola riempita da un software come un portachiavi o un gestore di password), quella password sarà da qualche parte in chiaro sulla tua macchina. Ad esempio, la scheda di clip è spesso disponibile per molti processi; se c'è un accesso alla RAM compromesso, non c'è modo di evitare la possibilità di furto della password.

Se vuoi fare di tutto per proteggere le password (ma con l'avvertenza sopra), potresti usare Tails. Sono necessarie 5 chiavette USB: una con Tails installata su di essa e 4 chiavette USB che fungeranno da archivio di chiavi e backup. 1) utilizzare una macchina senza connessione Internet e avviare su Tails con una chiavetta USB 2) utilizzare l'applicazione KeePassX integrata per configurare il database crittografato su una seconda penna USB 3) per maggiore sicurezza, è anche possibile generare una chiave e memorizzarla su un'altra penna USB. 4) si dovrebbe fare un backup su ancora un 4 ° e un 5 ° stick rispettivamente del database delle password e della relativa chiave associata 5) dovresti essere sicuro di ricordare l'unica password che sblocca il database Keepass

Quando chiudi il sistema Tails, tutto è dimenticato a parte ciò che si trova sui 4 bastoncini. Per utilizzare le tue password, avrai bisogno di una macchina sicura con Keepass (ad esempio, Tails) e di due chiavette USB: una con il database Keepass e un'altra con la chiave del database. Avrai anche bisogno della tua password del database.

Questa è una seccatura, ma per le password / chiavi ad alto rischio, potrebbe valerne la pena. Naturalmente, se metti il tuo bastone in una macchina compromessa, o digiti le password su una macchina compromessa, come altri hanno detto, tutto questo diventa discutibile.

È un modo relativamente sicuro per conservare, ad esempio, i semi dei portafogli crittografati, ma è un sacco di problemi.

    
risposta data 03.12.2017 - 08:58
fonte
1

Mentre memorizzare password importanti importanti è davvero rischioso perché è facile da dimenticare, è molto più facile e sicuro memorizzare una operazione su una stringa, ad es. "ritaglia 2 caratteri da ciascuna estremità", "scambia il primo e l'ultimo carattere", "ripeti semplicemente la stringa due volte" ecc.

Quindi, in sostanza, tu:

  1. Crea un'operazione con le stringhe e tienilo solo nella mente;
  2. Utilizza file crittografati, gestori di password, pezzetti di carta e tutto il resto per mantenere le tue password non elaborate che sono stringhe che generano le password reali quando l'operazione viene applicata a loro.

Le tue password non utilizzate non saranno utili a nessuno senza sapere che devono essere trasformate e come trasformarle.

    
risposta data 02.12.2017 - 22:58
fonte
0

Offro un suggerimento, anche se sono nuovo in questo forum, quindi sii gentile ...

Ora, nessuna decisione è senza rischi. L'ultima direzione in cui decidi di entrare è semplicemente un'espressione della tua tolleranza al rischio.

Per quanto mi riguarda, ho ricevuto le mie ultime 3 tasse sul reddito prima che l'IRS scoprisse che la mia identità era stata rubata. In quel momento anch'io mi preoccupai di cos'altro fosse stato accolto e decisi di cambiare le mie password. Simile a un post precedente, sono andato con un metodo basato su regole. Segue una illustrazione:

  • Cap 1a lettera per rappresentare la 1a lettera del dominio del sito (C = .com, E = .edu, O = .org) ecc.
  • Le prime due lettere del mio cognome (i.e.Sm - assumendo che il mio nome sia Smith)
  • Il mio anno di nascita (1885)
  • I primi tre del mio mese di nascita (giugno)
  • Un carattere speciale ('*')
  • Prima lettera del nome del sito web

Quindi per Stack Exchange sarebbe

* CSm1885Jun secu

Ora, il rischio che ho accettato è che se qualcuno ha hackerato abbastanza account e ha abbastanza ID e password, allora potrebbe essere in grado di capire la formula. La mia convinzione (comunque insopportabile) è che la password sia abbastanza complessa da non essere trovata nelle tabelle arcobaleno e avrebbe bisogno di abbastanza lavoro che la persona che ruba l'elenco delle password crittografate si sposterebbe semplicemente su un obiettivo più facile.

Finora non ho mai avuto nessuno che abbia violato un account online ......

  • RkRider
risposta data 04.12.2017 - 18:40
fonte

Leggi altre domande sui tag