Gestore password: password principale o no?

Naviga le tue risposte
0

Uso diversi browser per diversi motivi (navigare, scaricare file, accedere agli account ...) ma preferisco Chrome per fare cose "rischiose" come la navigazione in siti Web che non so se siano sicuri o meno, e Ho installato diverse estensioni su di esso per ottenere un livello di sicurezza più elevato: ScriptSafe, Adblock plus e Ghostery. Non uso alcuno strumento sandbox.

Poiché utilizzo lo stesso PC e il sistema operativo per navigare in Internet e accedere ai miei account, vorrei installare un gestore di password per essere più sicuro e confido che possa essere d'aiuto se qualcuno entra nel mio sistema e cerca qualche password salvata da qualche parte nel mio pc.

Ma consideriamo il seguente scenario: un keylogger mi attacca ed è in grado di leggere quello che sto digitando sulla tastiera; per quanto inserisco una password principale per utilizzare il mio gestore di password devo digitare uno. Bene, alcuni gestori di password consentono l'opzione di autenticazione senza password (significa che non devi ricordare una password principale) e per lo scenario sopra mi sembra un'opzione sicura.

La mia domanda è: durante la configurazione di un gestore di password, è più sicuro impostare l'autenticazione senza password per evitare di digitare la password principale ed essere vulnerabili ai keylogger? O dovrei prendere in considerazione altre minacce che rendono più sicura l'impostazione di una password principale?

    
posta franz1 13.07.2017 - 15:35
fonte

2 risposte

1

La questione del keylogger è un po 'fuori mano con i gestori di password, perché una volta che si opera su un sistema già compromesso non si salva con praticamente nessuna operazione, alcuni trojan possono rubare dati dai moduli nel secondo manager di divisione inserendolo, essi molto probabilmente salverà tutto ciò che hai nei tuoi appunti. Altri vettori di attacco potrebbero prendere la password dagli screenshot ...

Fondamentalmente nessun gestore di password può aiutarti se sei su un sistema compromesso, perché l'attaccante non deve fare affidamento su un'autenticazione separata, può semplicemente usarti. Il sistema compromesso non è un vettore di attacco che un gestore di password può proteggerti da (e non sono progettati per).

Per la domanda su quale autenticazione, l'opzione migliore sarebbe un'autenticazione a due fattori con password e una conferma su un dispositivo separato, ma poiché la maggior parte dei gestori non ti consente di aggiungere un nuovo dispositivo senza un'autenticazione separata dovresti essere decentemente sicuro con una singola password principale (ovviamente non riutilizzata da nessun'altra parte ...). L'autenticazione biometrica sui normali dispositivi utente non è molto sicura, quindi non mi fare affidamento su quella di una password lunga e sicura.

    
risposta data 13.07.2017 - 16:16
fonte
1

Provenendo dall'esperienza personale utilizzando Lastpass, ho impostato la password principale personale e configurato 2FA con Google Authenticator. Sì, a volte mi fa male il culo perché ho bisogno di tirare la mia Auth. codici ma, è più sicuro e mi dà un caldo e fuzzy.

    
risposta data 13.07.2017 - 15:48
fonte

Leggi altre domande sui tag

SELinux sostituisce o integra DAC? Cosa succede se un utente malintenzionato ruba il mio numero di carta SIM?