Dovresti considerare ciò che stai cercando di ottenere memorizzando ciascuna parte specifica in una posizione specifica, quindi procedere di conseguenza.
Il file del database delle password è di per sé importante ma non sensibile, in particolare perché è crittografato. Nel caso ideale, avere accesso a quel file non ti dà particolari abilità. Cambia spesso, e quindi deve essere eseguito regolarmente il backup; in quanto tale, dovrebbe essere incluso nei backup regolari.
Il file chiave è sensibile oltre che importante. Senza di esso, il file del database delle password non ha senso, poiché il file chiave costituisce effettivamente una parte della passphrase principale utilizzata per sbloccare il database delle password. Tuttavia, cambia molto raramente e può a tutti gli effetti essere considerato statico, quindi non è necessario eseguire il backup su base particolarmente regolare.
La passphrase inserita dall'utente è sensibile e importante, per gli stessi motivi che si applicano al file chiave. È anche non memorizzato su un computer, ma piuttosto ( si spera ) esclusivamente nel cervello dell'utente. L'utente può cambiarlo se lo desidera, ma è responsabile di assicurarsi che lo ricordino.
Solo le tre parti insieme sono effettivamente significative. Non puoi fare nulla con nessuno di questi senza gli altri due, e ti verrebbe difficile fare qualsiasi cosa con due di questi senza il terzo.
È una cattiva idea mantenere il file chiave nella stessa posizione del database delle password , a meno che, naturalmente, la password principale del database delle password è sufficientemente potente da garantire da sola una buona protezione contro un utente malintenzionato e il file chiave è davvero solo una ciliegina sulla torta. Da quello che dici sull'uso di "una semplice password", questo non sembra essere il caso della tua situazione.
Quindi, possiamo concludere che nel vostro scenario, la maggior parte della sicurezza è nel file chiave, che è leggermente aumentato dalla passphrase master. Pertanto, il file chiave deve essere protetto con standard elevati.
Dato questo, probabilmente farei il contrario di ciò che proponi:
- Memorizza il database delle password sull'host locale, o possibilmente su un server centrale. Impostare il file system e gli ACL della condivisione di rete (se applicabile) per limitare l'accesso a ciascun database delle password al proprietario. Assicurati che sia incluso nei backup regolari.
- Archivia il file chiave su un server centrale. Impostare il file system e gli ACL della condivisione di rete (se applicabile) per limitare l'accesso a ciascun file di chiavi al proprietario. Assicurati che sia non incluso nei backup regolari. Prendi in considerazione l'impostazione della registrazione di controllo per tentativi di accesso riusciti e non riusciti.
- Imposta un numero di iterazione di derivazione della chiave della passphrase più alto come gli utenti tollereranno . Mirare per diversi secondi sulle macchine client, se è accettabile. Tieni presente che un utente malintenzionato serio utilizzerà probabilmente implementazioni di hashing passphrase che sono molto più ottimizzate.
- Conserva copie di backup dei file chiave da qualche parte. Buste singole sigillate in una cassetta di sicurezza della banca, forse? (In questo caso, la banca manterrebbe un registro di controllo separato che può essere richiesto in caso di sospetto accesso non autorizzato. Non sarà in grado di dirti cosa ha fatto una persona, ma dovrebbe essere in grado di dirti chi accesso.)
Questo non è perfetto, soprattutto perché la protezione offerta da ciò a cui solo il proprietario del database delle password ha accesso (la password principale) è così debole. Ma se i tuoi utenti non possono essere infastidito dall'uso di passphrase master sicure, probabilmente è il meglio che puoi fare.
Naturalmente, è necessario un meccanismo per gestire scenari in cui le persone vengono investite da un autobus. Tuttavia, questo è al di fuori dell'ambito di un singolo gestore di password ed è qualcosa di cui hai bisogno a prescindere, quindi non ne parlerò più avanti qui.