Jeg har lyst til at have et meget almindeligt problem. Jeg har for mange adgangskoder til at huske, samt pinkoder til kredit- / betalingskort, adgangskoder til døre på min arbejdsplads eller kombinationslåse. Jeg synes ikke at være i stand til at huske dem alle, uanset hvor hårdt jeg prøver, og ikke kan huske nogen af dem på det tidspunkt, som jeg har brug for, kan være ubelejligt.
Jeg leder efter en måde for at gemme adgangskoder og PIN-koder sikkert. Metoden skal være
- sikker mod kompromitterede websteder, dvs. hvis nogen bryder databasen for websted A og formår at få min adgangskode til A i almindelig tekst, skal han ikke få enhver information om min adgangskode til websted B
- sikker mod en kompromitteret lokal maskine, dvs. hvis nogen installerer malware på min bærbare computer, skal han stadig ikke kunne få mine PIN-koder og andre adgangskoder, der ikke bruges på den kompromitterede maskine
- sikker mod tyveri, dvs. metoden bør ikke involvere et fysisk token, der, hvis det bliver stjålet, giver en tyv mulighed for at tømme alle mine konti.
- bærbar, dvs. arbejde uden at jeg sidder foran computeren, for eksempel i en pengeautomat eller når jeg betaler i en butik.
- sikker mod datatab, dvs. jeg vil gerne være i stand til at tage sikkerhedskopier i tilfælde af enhedsfejl, tyveri osv.
Det udelukker et par tilgange, som jeg er opmærksom på, og som er blevet diskuteret tidligere:
- genbrug af adgangskoder er imod (1)
- nedskrivning af adgangskoder på et ark papir er imod (3) og (5)
- adgangskodeadministrator på min computer (online eller offline) er imod (4) og (2)
- genererer adgangskoder i mit hoved er imod (1) og (2), medmindre selve metoden er sikker. Ellers er dette i det væsentlige sikkerhed gennem uklarhed og kan kun fungere, så længe ikke for mange bruger den samme metode.
- en fysisk token , der indeholder mange tegn til at “generere” adgangskoder ved at vælge et andet startpunkt eller mønster for at vælge bogstaver fra det token. Der er et problem med regel (3), hvis metoden er kendt eller for enkel, eller (1) og (2), hvis metoden er enkel, og token tilfældigvis er en bog eller noget andet kendt. Igen lugter det som sikkerhed gennem uklarhed. Derudover er det svært at sikkerhedskopiere sikkert (5).
- kryptering af data på et ark papir og dekryptering manuelt bruger enten en usikker metode eller lyder som noget, jeg ikke kan gøre i mit hoved (jeg er glad, hvis nogen retter mig på denne). Bemærk, at selv at gøre det på papir ikke er en god idé i et supermarked, hvis det betyder, at jeg er nødt til at ødelægge papiret, hvorpå jeg udarbejdede min pinkode, sikkert efter hver brug.
Mit spørgsmål er derfor: Er der nogen måde at gemme / huske adgangskoder, der opfylder ovenstående krav? En mulighed der kommer til at tænke på mig er en dedikeret enhed, der kan udføre AES-dekryptering, så jeg kunne gemme adgangskoder, der blev krypteret med en hovedadgangskode på min smartphone, og derefter bruge den dedikerede enhed til at få en almindelig tekstadgangskode ved at indtaste den krypterede adgangskode og masteren kodeord. Jeg ville især være interesseret i en metode, som jeg kan bruge uden værktøj, eller bruge bærbare enheder, som jeg kan købe let / billigt på det åbne marked, så længe jeg kan være rimelig sikker på, at enheden ikke afslører mine adgangskoder. Selvfølgelig ville det være godt, hvis metoden var let og hurtig at bruge.
Jeg betragter mig ikke som et højt mål, så jeg er villig til at antage, at jeg kunne købe noget som en lommeregner på Amazon uden nogen, der monterer et skjult GSM-modul i det. Jeg er dog ikke villig til at antage, at en given smartphone eller computer ikke har en trojansk hest installeret.
Kommentarer
- Vil du have tillid til en gammel telefon, der ikke ‘ ikke har netværksforbindelse og har WiFi slået fra?
- Et pengeskab og en papirhæfte vil gøre .
- @DeerHunter Notesbog til papir kan stjæles, hvis det ikke er i et pengeskab, og et pengeskab er ikke særlig bærbart.
- @NeilSmithline Nej, hvis der ikke er nogen måde at forhindre det fysisk i at kommunikerer, jeg vil ikke ‘ ikke have tillid til det.
- Selvom du altid har den nævnte notesbog på dig? husk: når du er i tvivl, C4.
Svar
Jeg tror, at du overtenker ting! Du er heller ikke realistisk med hensyn til risiciene.
Husk også, at enhver adgangskode er “sikkerhed gennem uklarhed”, så det er ikke altid den “dårlige dreng”, det er lavet til at være.
Så en fornuftig tilgang kan være en hybrid.
- Logins med lav følsomhed – brug en adgangskodeadministrator. De fleste har forskellige beskyttelser for at mindske risikoen for malware-kapring af data. Mange har også 2-faktor godkendelsesfunktioner, der afbød mange problemer. Eksempler : fora.
- Mellemfølsom logins – brug adgangskodeadministratoren for nemheds skyld, men tilføj 2-faktor godkendelse af sikkerhed. Typisk ved hjælp af din telefon eller en anden hardwareenhed, såsom et token. Bløde tokens som Google Authenticator kan være gode, da de ikke er helt afhængige af et stykke hardware. Eksempler : sociale medier.
- Logins med høj følsomhed – Gem en del af adgangskoden i din adgangskodeadministrator og Brug et mønster til at holde resten i dit hoved, men gør det stadig unikt for hvert sted! Brug også 2-faktor godkendelse, hvis den er tilgængelig. Eksempel : bank og finans
Der er bestemt mange flere måder at skære dette på. Det vigtigste er at tænke på risiciene fornuftigt og ikke gøre livet helvede bare for at prøve at håndtere en risiko, der er lille eller faktisk en påvirkning, der ville være lille.
Kommentarer
- Sikkerhed gennem uklarhed refererer til, at en algoritme er skjult for at gøre noget sikkert, ikke en hemmelighed som f.eks. en adgangskode.
- BTW, jeg don ‘ tror ikke, at du virkelig har besvaret spørgsmålet. Ikke rigtig din skyld, da OP præsenterer et noget urimeligt scenario.
- @JulianKnight hvorfor tror du, jeg ikke er realistisk med hensyn til risiciene? Jeg er enig med dig i, at der er behov for mindre sikkerhed, fx for min StackExchange-adgangskode, men hvad med PIN-numre? Min adgangskodeadministrator vandt ‘ t være nyttig her, og hvis jeg skriver dem ned på nogen måde Jeg kan være ansvarlig for den fulde skade, hvis min tegnebog bliver stjålet, og banken finder ud af dette. Eller burde jeg ikke være bekymret, for en tyv vil kun have tre forsøg, så selv en meget enkel ad-hoc da kryption vil gøre?
- Fra Q syntes det sådan. Med PIN ‘ s mener du kredit- / bankkort? Mine er alle i en sekundær PW mgr, der ikke er skybaseret, men har klienter til mobil såvel som desktop, hvis jeg ikke husker en. Brug en STÆRK masterkode, du husker. En velrenommeret bank vil give dig kredit for at styre tingene sikkert – jeg ved, jeg arbejdede tidligere for en 🙂 I de fleste lande vil du IKKE være ansvarlig, hvis du viser rimelig omhu. Bestemt ikke i Storbritannien / EU / USA.
- Scenariet er helt urimeligt. Koder til adgangskoder på markedet opfylder næsten alle @ user3657600 ‘ s krav, men ikke helt. Dette er virkelig overraskende. Brug af en mobiltelefon vil altid være mindre sikker og mindre praktisk, det ‘ er bestemt ikke en løsning. Derfor ‘ hvorfor der findes sikkerhedsenheder. Løsningen ville være en enhed, der kan fungere som et tastatur (Mooltipass, OnlyKey) til nem og interoperabel brug på computere. Det har brug for et display for at vise adgangskoden, hvis du ‘ t kan bruge enheden som et tastatur, f.eks. Hæveautomat. Det skal være krypteret og / eller manipulationsbestandigt (Mooltipass).
Svar
Interessant spørgsmål.
Dine punkter:
-
sikre mod kompromitterede websteder, dvs. hvis nogen bryder databasen for site A og formår at få min adgangskode til A i almindelig tekst, skal han ikke få enhver information om min adgangskode til websted B
-
sikker mod en kompromitteret lokal maskine, dvs. hvis nogen installerer malware på min bærbare computer, skal han stadig ikke kunne få mine PIN-koder og andre adgangskoder der ikke bruges på den kompromitterede maskine
-
sikker mod tyveri, dvs. metoden bør ikke involvere et fysisk symbol, der, hvis det bliver stjålet, vil lade en tyv tømme alle mine konti.
-
bærbar, dvs. det skal fungere uden at jeg sidder foran min computer, for eksempel i en pengeautomat eller når jeg betaler i en butik.
-
sikker mod datatab, dvs. jeg vil være i stand til at tage sikkerhedskopier i tilfælde af enhedsfejl , tyveri osv.
-
ville være særligt interesseret i en metode, som jeg kan bruge uden værktøj, eller ved hjælp af bærbare enheder, som jeg kan købe let / billigt på det åbne marked, så længe jeg kan være rimelig sikker på, at enheden ikke afslører mine adgangskoder.
Nå, det bliver ikke smukt, men det kan imødekomme “ikke netværksbaseret “del og den let / billigt del.
Køb en Raspberry Pi – helst en Pi 2 B til hastighed og RAM, eller en Pi A plus en USB-hub, hvis du ikke vil have Ethernet-porten . Ingen Pi leveres med Wifi, så du er i det mindste sikker der.
Køb en berøringsskærm til den. Indstil det. Og måske en bærbar kombination af tastatur / touchpad.
Indstil op med Raspbian uden overhovedet noget swap-plads, og installer KeePassX på det.
Køb en USB-strømbank som en Anker Powercore så du kan køre Pi eksternt.
Alternativt kan du få enhver form for bærbar computer eller notesbog og fjerne netværkshardwaren helt – Wifi på de fleste af de større er et mini-PCIe-kort, trivielt at fjerne. Ethernet, fyld porten med superlim. Igen skal du installere KeePassX (eller KeePass).
Ideelt set skal du installere LUKS (Linux) eller Veracrypt (hvis du insisterer på Windows) også fuld diskkryptering.
Køb et par FIPS 140 -2 Validerede USB-lagerenheder, som den billigere Apricorn AEGIS Secure Key USB2.0 (de har også meget større USB3.0-drev til en noget højere pris) .
Sæt din KeePassX-database på dit Apricorn-drev; sikkerhedskopier fra en aprikorn til en anden.
Brug denne enhed, og indsæt kun din aprikorn, når du aktivt får adgangskoder. Fjern altid Apricorn, så snart du er færdig.
Nu har du billig hardware og slet ikke nogen leverandørlås.
De ondsindede websteder og kompromitterede maskiner kan kun få hvad du skriver ind i dem; de har aldrig adgang til databasen.
Hvis det hele stjæles, mens det er slukket, skal angriberen primært komme forbi Apricorn-adgangskoden (hvor ti forkerte forsøg i træk tørrer drev, og det er valideret til at være manipulationsbestandigt i første omgang) og derefter forbi KeePass-adgangskoden.
Det er bærbart – mere bærbart end gamle tasktelefoner, selv med Raspberry Pi + batteri + tastatureksempel.
Det er sikkert mod datatab – kopi fra Apricorn A til Apricorn B opbevaret derhjemme, Apricorn C opbevaret i et pengeskab osv.
Svar
Du kan bruge det nye PI-nul til netop det. Den lave formfaktor gør den ideel som perifer af netop denne grund. Husk også, du behøver ikke alle dine adgangskoder med dig.