Mám pocit, že mám velmi častý problém. Mám příliš mnoho hesel, které si pamatuji, stejně jako PIN pro kreditní / debetní karty, přístupové kódy ke dveřím na mém pracovišti nebo kombinované zámky. Nezdá se mi, že bych si je dokázal všechny pamatovat bez ohledu na to, jak moc se snažím, a nepamatuji si žádné z těch, které v té době potřebuji, může být nepohodlné.
Hledám způsob bezpečně ukládat hesla a PINy. Tato metoda by měla být
- zabezpečena proti napadeným webům, tj. pokud někdo rozbije databázi webu A a podaří se mu získat heslo pro A v holém textu, neměl by dostat jakékoli informace o mém hesle pro web B
- zabezpečené proti napadenému místnímu počítači, tj. pokud někdo nainstaluje malware do mého notebooku, stále by neměl být schopen získat moje PIN kódy a další hesla, která se na napadeném nepoužívají stroj
- zabezpečený proti krádeži, tj. metoda by neměla zahrnovat fyzický token, který v případě odcizení umožní zloději vyprázdnit všechny moje účty.
- přenosný, tj. měl by pracovat, aniž bych seděl před počítačem, například v bankomatu nebo při placení v obchodě.
- zabezpečit proti ztrátě dat, tj. chci umět zálohovat v případě selhání zařízení, krádeže atd.
To vylučuje několik přístupů, o kterých vím a které byly dříve diskutovány:
- opětovné použití hesel je proti (1)
- zapisování hesel na list papíru je proti (3) a (5)
- správci hesel v mém počítači (online nebo offline) je proti (4) a (2)
- generovat hesla v mé hlavě je proti (1) a (2), pokud samotná metoda je bezpečná. Jinak se jedná v zásadě o zabezpečení prostřednictvím neznáma a může fungovat, pouze pokud příliš mnoho lidí nepoužívá stejnou metodu.
- a fyzický token , který obsahuje spousta znaků pro „generování“ hesel výběrem jiného počátečního bodu nebo vzoru pro výběr písmen z tohoto tokenu. Existuje problém s pravidlem (3), pokud je metoda známá nebo příliš jednoduchá, nebo (1) a (2), pokud je metoda jednoduchá a token je náhodou kniha nebo něco jiného široce známého. Opět to voní jako bezpečnost skrz temnotu. Kromě toho je těžké bezpečně zálohovat (5).
- šifrování dat na list papíru a jejich ruční dešifrování buď pomocí nejistá metoda nebo to zní jako něco, co si v hlavě nedokážu udělat (jsem rád, když mě někdo v tomto opraví). Všimněte si, že ani to na papíře není v supermarketu dobrý nápad, pokud to znamená, že po každém použití musím bezpečně zničit papír, na kterém jsem vypracoval svůj PIN.
Moje otázka proto zní: Existuje nějaký způsob ukládání / zapamatování hesel, který splňuje výše uvedené požadavky? Jedna možnost to mi přijde na mysl, je vyhrazené zařízení, které může provádět dešifrování AES, takže bych mohl ukládat hesla, která byla zašifrována pomocí hlavního hesla na můj smartphone, a poté použít toto vyhrazené zařízení k získání hesla ve formátu prostého textu zadáním šifrovaného hesla a hlavního Zvláště by mě zajímala metoda, kterou mohu použít bez jakýchkoli nástrojů nebo s použitím přenosných zařízení, která jsem lze snadno / levně nakupovat na otevřeném trhu, pokud si mohu být přiměřeně jistý, že zařízení neodhalí moje hesla. Samozřejmě by bylo skvělé, kdyby tato metoda byla snadno a rychle použitelná.
Nepovažuji se za vysoce profilovaný cíl, takže jsem ochoten předpokládat, že bych si mohl koupit něco jako kapesní kalkulačku na Amazon, aniž by do něj někdo umístil skrytý modul GSM. Nejsem však ochoten předpokládat, že daný smartphone nebo počítač nemá nainstalovaného trojského koně.
Komentáře
- Důvěřovali byste starému telefonu, který ‚ nemá připojení k síti a má vypnutou WiFi?
- Trezor a papírový notebook to udělají .
- @DeerHunter Papírový notebook lze odcizit, pokud není v trezoru, a trezor není příliš přenosný.
- @NeilSmithline Ne, pokud neexistuje způsob, jak mu fyzicky zabránit v komunikovat Nerad bych tomu ‚ věřil.
- I když na sobě neustále držíš uvedený notebook? Připoután k tvé ruce v ocelovém kufru s antitamperingem zařízení? Pamatujte: pokud máte pochybnosti, C4.
Odpověď
Myslím, že jste přehnaně přemýšlející! Rovněž si nejste realističtí ohledně rizik.
Nezapomeňte také, že jakékoli heslo je „zabezpečeno prostřednictvím neznáma“, takže to není vždy „zlý chlapec“, z něhož je vytvořeno.
Takže rozumným přístupem může být hybrid.
- Přihlášení s nízkou citlivostí – použijte správce hesel. Většina má různé ochrany, které pomáhají snižovat riziko únosu dat malwarem. Mnoho z nich také Funkce dvoufaktorového ověřování, které zmírňují mnoho problémů. Příklady : fóra.
- Přihlášení se střední citlivostí – pro pohodlí použijte správce hesel, ale přidejte 2faktorové zabezpečení pro zabezpečení. Obvykle se používá telefon nebo jiné hardwarové zařízení, například token. Měkké tokeny, jako je Google Authenticator, mohou být dobré, protože nejsou zcela závislé na jednom hardwaru. Příklady : sociální média.
- Přihlášení s vysokou citlivostí – část hesla uložte do svého správce hesel a použijte vzor, abyste si zbytek udrželi v hlavě, ale přesto je pro každý web jedinečný! Pokud je k dispozici, použijte také dvoufaktorové ověření. Příklad : bankovnictví a finance
Existuje jistě mnohem více způsobů, jak to omezit. Hlavní věc je rozumně přemýšlet o rizicích a nedělat ze života peklo jen proto, abychom se pokusili vypořádat s malým rizikem nebo s dopadem, který by byl malý.
Komentáře
- Zabezpečení pomocí neznáma odkazuje na skrytý algoritmus, aby bylo něco zabezpečeno, nikoli na tajemství, jako je heslo.
- BTW, já ‚ Nemyslíte si, že jste na otázku opravdu odpověděli. Není to opravdu vaše chyba, protože OP představuje poněkud nepřiměřený scénář.
- @JulianKnight proč si myslíte, že nejsem realistický ohledně rizik? souhlasím s vámi, že je třeba méně zabezpečení, např. pro moje heslo StackExchange, ale co čísla PIN? Můj správce hesel zde nebude ‚ užitečný a pokud si je nějak zapíšu Mohl bych nést odpovědnost za plnou škodu, pokud mi ukradnou peněženku a zjistí to banka. Nebo bych se neměl bát, protože zloděj bude mít pouze tři pokusy, takže i velmi jednoduchý ad-hoc kryptování bude stačit?
- Z Q se to zdálo. Pod PIN ‚ s myslíte kreditní / bankovní karty? Moje jsou v sekundárním PW mgr, který není založen na cloudu, ale má klienty pro mobilní i stolní počítače, pokud si nepamatuji. Použijte SILNÝ hlavní kód, který si pamatujete. Renomovaná banka vám dá úvěr za bezpečné řízení věcí – vím, pracovala jsem pro jednu 🙂 Ve většině zemí Nenesete odpovědnost, pokud prokážete přiměřenou péči. Ve Velké Británii / EU / USA rozhodně ne.
- Scénář je naprosto nepřiměřený. Sejfy hesel na trhu téměř splňují všechny požadavky uživatele @ user3657600 ‚, ale ne úplně. To je opravdu překvapivé. Používání mobilního telefonu bude vždy méně bezpečné a méně praktické, ‚ to rozhodně není řešení. Proto ‚ existují bezpečnostní zařízení. Řešením by bylo zařízení, které může fungovat jako klávesnice (Mooltipass, OnlyKey) pro snadné a interoperabilní použití v počítačích. Pro zobrazení hesla potřebuje displej pro případ, že ‚ t nebudete moci zařízení používat jako klávesnici, např. BANKOMAT. Musí být šifrováno a / nebo odolné proti neoprávněné manipulaci (Mooltipass).
Odpověď
Zajímavá otázka.
Vaše body:
-
zabezpečeno proti napadeným webům, tj. pokud někdo rozbije databázi webu A a podaří se mu získat heslo pro A v holém textu, neměl by dostat jakékoli informace o mém hesle pro web B
-
zabezpečené proti kompromitovanému místnímu počítači, tj. pokud někdo nainstaluje malware do mého notebooku, stále by neměl být schopen získat moje PIN kódy a další hesla které se na napadeném stroji nepoužívají
-
zabezpečené proti krádeži, tj. metoda by neměla zahrnovat fyzický token, který v případě odcizení umožní zlodějovi vyprázdnit všechny mé účty.
-
přenosný, tj. měl by fungovat, aniž bych seděl před počítačem, například v bankomatu nebo při platbě v obchodě.
-
zabezpečeno proti ztrátě dat, tj. chci mít možnost zálohování v případě selhání zařízení , krádež atd.
-
by se zvláště zajímal o metodu, kterou mohu použít bez jakýchkoli nástrojů, nebo o použití přenosných zařízení, která mohu snadno / levně koupit na otevřeném trhu, pokud si mohu být přiměřeně jistý, že zařízení neodhalí moje hesla.
No, nebude to hezké, ale toto může splňovat „ne síťová část a snadno / levně část.
Kupte si Raspberry Pi – nejlépe Pi 2 B pro rychlost a RAM, nebo Pi A plus USB hub, pokud nechcete ethernetový port . No Pi přichází s Wifi, takže jste tam alespoň v bezpečí.
Kupte si k tomu dotykovou obrazovku. Nastavte to. A možná i kombinace přenosné klávesnice / touchpadu.
Nastavit Využijte Raspbian bez jakéhokoli výměnného prostoru a nainstalujte si do něj KeePassX.
Kupte si USB powerbanku jako Anker Powercore takže můžete spustit Pi na dálku.
Alternativně si pořiďte jakýkoli notebook nebo notebook a zcela odstraňte síťový hardware – Wifi na většině větších je mini-PCIe karta, kterou je třeba odstranit. Ethernet, dobře, naplňte port superlepidlem. Nainstalujte znovu KeePassX (nebo KeePass).
V ideálním případě si také nainstalujte LUKS (Linux) nebo Veracrypt (pokud trváte na Windows) také šifrování celého disku.
Kupte si pár FIPS 140 -2 Ověřená úložná zařízení USB, například levnější Apricorn AEGIS Secure Key USB2.0 (mají také mnohem větší disky USB3.0 za poněkud vyšší cenu) .
Vložte svou databázi KeePassX na svůj disk Apricorn; zálohujte z jednoho Apricorn do druhého.
Použijte toto zařízení a vložte svůj Apricorn pouze při aktivním získávání hesel. Apricorn vždy odeberte, jakmile to uděláte.
Nyní máte levný hardware a vůbec žádný zámek od dodavatele.
Škodlivé weby a napadené stroje mohou získat pouze to, co zadáte do nich; nikdy nebudou mít přístup k databázi.
Pokud je to všechno ukradeno, když je vypnutý, musí útočník primárně překonat heslo Apricorn (kde deset nesprávných pokusů za sebou vymaže disk, a to je v první řadě ověřeno, že je odolné proti neoprávněné manipulaci), a poté také přes heslo KeePass.
Je přenosný – přenosnější než staré bagphone, dokonce is Raspberry Pi + baterie + příklad na klávesnici.
Je zabezpečený proti ztrátě dat – kopírování z Apricorn A do Apricorn B uchovávaného doma, Apricorn C uchovávaného v bezpečnostní schránce atd.
Odpověď
K tomu můžete použít novou nulu PI. Díky nízkému tvarovému faktoru je ideální jako periferie právě z tohoto důvodu. Pamatujte také, nepotřebujete s sebou všechna svá hesla.