Che cos'è il sistema di password bizantina?

Naviga le tue risposte
0

Quanto sono sicuri i gestori di password come LastPass?

Un commento qui richiesto:

Does anyone know of any Byzantine password systems? E.g. 3 or 5 online systems, where breaking any single system would not give the cracker all of your passwords. Ideally one might be LastPass, and the other 1Password - i.e. different companies - but even just multiple independent instances of the LastPass servers would provide some extra degree of security. // Possibly Byzantine for reliability as well as security.

Sembra un sistema molto interessante. Con lastpass e 1password protette da 2fa (autenticazione a due fattori), solo conoscerne uno non divulgherà l'altro.

Questo ha davvero senso? Qualcuno ci ha provato? È un sistema reale usato da molte persone?

Penso che un commento di @jak mi dica cosa intendo

Maybe it means "n out of x" pieces would be needed to recover the full information, like 2-out-of-3 for key ABCDEF being split into ABCD, CDEF and EFAB

Voglio un sistema in cui l'unico modo in cui ho perso l'accesso è se il mio computer e la mia testa e le impronte digitali e il mio telefono sono spariti all'improvviso. Voglio un sistema se ho 2 o 3 di loro posso recuperare il resto. Ma un hacker ne ha bisogno 2-3. Quindi un sistema stabile che mi da sempre un vantaggio rispetto agli hacker.

Non penso che un hacker possa facilmente ottenere il mio computer, la mia password e il mio impronta digitale. Stiamo parlando del tipo di abilità di James Bond per ottenere 3 fattori. Ma ho facilmente questo. Se un giorno le mie dita se ne sono andate, ho ancora effettuato l'accesso dallo stesso computer. Quindi ho ancora 3 fattori e inserisco una nuova impronta digitale sul file.

    
posta Sharen Eayrs 09.10.2018 - 08:51
fonte

2 risposte

2

Non esiste un "sistema di password bizantina". " La complessità bizantina " è una descrizione di:

anything that is so overly and unnecessarily complex as to be beyond understanding.

Quindi, tutto quello che stanno dicendo è dividere le password su più sistemi.

Does that actually make sense? Anyone tried that? Is this an actual system many people used?

Sì. Sempre e in vari modi. In termini più generali, si chiama ridondanza di sistema. Come quando i server sono distribuiti su AWS e su Azure. Inoltre, è possibile eseguire il backup dei dati su dischi, array RAID, sistemi con mirroring e nastri di backup contemporaneamente.

Per le password, molte persone lo fanno in vari modi. Alcune password sono memorizzate nei gestori di password, altre nella memoria della persona, altre sono scritte. Alcune persone memorizzano alcune password nel loro gestore di password del browser e altre in un gestore di password di terze parti.

È necessario eseguire un'analisi dei rischi per determinare cosa funzionerà per te e quali rischi creerà la complessità aggiuntiva.

    
risposta data 09.10.2018 - 10:52
fonte
2

Does that actually make sense? Anyone tried that? Is this an actual system many people used?

Sì, è possibile. Essenzialmente, hai diviso una password segreta usando Shamir's Secret Sharing in modo che ogni manager abbia solo una parte della chiave. Il problema con questo è che dovrai utilizzare password diverse per ogni condivisione, perché ciò sia efficace. Il problema è che è eccessivamente complicato e non è chiaro se sarà più sicuro del sistema normale.

In ogni caso, il più grande attacco di un gestore di password è di gran lunga sul lato client, vale a dire quando la password è necessariamente chiara come deve essere utilizzata, non sul lato server in cui i dati sono facilmente protetti con una semplice crittografia. Per quanto posso dire, non è mai stato un incidente di sicurezza importante in cui una vulnerabilità lato server del gestore di password crittografata maggiore causa qualsiasi compromissione della password effettiva. Quindi questa è una soluzione per un problema non per cominciare.

    
risposta data 09.10.2018 - 12:39
fonte

Leggi altre domande sui tag

Traccia fastidi o telefonate maligne Germania: norme sulla protezione della privacy e risposta [chiusa]