Jai limpression davoir un problème très courant. Jai trop de mots de passe à retenir, ainsi que des codes PIN pour les cartes de crédit / débit, des codes daccès pour les portes de mon lieu de travail ou des serrures à combinaison. Je ne semble pas pouvoir me souvenir de tous, peu importe mes efforts, et ne pas me souvenir de ceux dont jai besoin au moment où jai besoin peut être gênant.
Je cherche un moyen pour stocker en toute sécurité les mots de passe et les codes PIN. La méthode doit être
- sécurisée contre les sites Web compromis, cest-à-dire que si quelquun brise la base de données du site A et parvient à obtenir mon mot de passe pour A en texte clair, il ne doit pas obtenir toute information sur mon mot de passe pour le site B
- sécurisé contre une machine locale compromise, cest-à-dire si quelquun installe un logiciel malveillant sur mon ordinateur portable, il devrait toujours être incapable dobtenir mes codes PIN et autres mots de passe qui ne sont pas utilisés sur le compromis machine
- sécurisée contre le vol, cest-à-dire que la méthode ne doit pas impliquer de jeton physique qui, sil est volé, permettra à un voleur de vider tous mes comptes.
- portable, cest-à-dire quil devrait travailler sans que je sois assis devant mon ordinateur, par exemple à un guichet automatique ou lorsque je paie dans un magasin.
- sécurisé contre la perte de données, cest-à-dire être capable de faire des sauvegardes en cas de panne de lappareil, de vol, etc.
Cela exclut quelques approches que je connais et qui ont déjà été discutées:
- la réutilisation des mots de passe est contre (1)
- lécriture des mots de passe sur une feuille de papier est contre (3) et (5)
- le gestionnaire de mots de passe de mon ordinateur (en ligne ou offline) est contre (4) et (2)
- générer des mots de passe dans ma tête est contre (1) et (2) sauf si le la méthode elle-même est sécurisée. Sinon, il s’agit essentiellement de sécurité par l’obscurité et ne peut fonctionner que si peu d’entre eux utilisent la même méthode.
- un jeton physique contenant beaucoup de caractères pour « générer » des mots de passe en choisissant un point de départ ou un modèle différent pour choisir les lettres de ce jeton. Il y a un problème avec la règle (3) si la méthode est connue ou trop simple, ou (1) et (2) si la méthode est simple et que le jeton se trouve être un livre ou quelque chose dautre largement connu. Encore une fois, cela sent la sécurité à travers lobscurité. De plus, il est difficile de sauvegarder en toute sécurité (5).
- chiffrer les données sur une feuille de papier et les déchiffrer manuellement consiste soit à utiliser une méthode peu sûre, ou cela ressemble à quelque chose que je ne peux pas faire dans ma tête (je suis heureux si quelquun me corrige sur celui-ci). Notez que même le faire sur papier nest pas une bonne idée dans un supermarché si cela signifie que je Je dois détruire en toute sécurité le papier sur lequel jai établi mon code PIN après chaque utilisation.
Ma question est donc: existe-t-il un moyen de stocker / mémoriser les mots de passe qui satisfont aux exigences ci-dessus? Une possibilité cela me vient à lesprit est un appareil dédié qui peut effectuer le décryptage AES, afin que je puisse stocker des mots de passe qui ont été cryptés avec un mot de passe principal sur mon smartphone, puis utiliser cet appareil dédié pour obtenir un mot de passe en clair en entrant le mot de passe crypté et le maître Je serais particulièrement intéressé par une méthode que je peux utiliser sans aucun outil, ou en utilisant des appareils portables que je peut acheter facilement / à bas prix sur le marché libre, tant que je peux être raisonnablement sûr que lappareil ne révèle pas mes mots de passe. Bien sûr, ce serait formidable si la méthode était simple et rapide à utiliser.
Je ne me considère pas comme une cible de premier plan, donc je suis prêt à supposer que je pourrais acheter quelque chose comme une calculatrice de poche sur Amazon sans que quelquun y installe un module GSM caché. Je ne suis cependant pas disposé à supposer quun smartphone ou un ordinateur donné na pas de cheval de Troie installé.
Commentaires
- Feriez-vous confiance à un ancien téléphone qui ‘ na pas de connectivité réseau et dont le Wi-Fi est désactivé?
- Un coffre-fort et un ordinateur portable en papier feront laffaire .
- @DeerHunter Paper peut être volé sil nest pas dans un coffre-fort, et un coffre-fort nest pas très portable.
- @NeilSmithline Non, sil ny a aucun moyen de lempêcher physiquement communication Je ‘ t aimerais lui faire confiance.
- Même si vous gardez ce cahier sur vous à tout moment? Enchaîné à votre main dans un étui en acier avec un antitamping Noubliez pas: en cas de doute, C4.
Réponse
Je pense que vous réfléchissez trop! De plus, vous n’êtes pas réaliste quant aux risques.
Rappelez-vous également que tout mot de passe est «la sécurité par l’obscurité», donc ce n’est pas toujours le «mauvais garçon» qu’il est censé être. >
Une approche judicieuse pourrait donc être une approche hybride.
- Connexions à faible sensibilité – utilisez un gestionnaire de mots de passe. La plupart ont diverses protections pour aider à réduire le risque de piratage de données par des logiciels malveillants. Beaucoup ont également Capacités dauthentification à 2 facteurs qui atténuent de nombreux problèmes. Exemples : forums.
- Connexions de sensibilité moyenne – utilisez le gestionnaire de mots de passe pour plus de commodité, mais ajoutez deux facteurs authentification pour la sécurité. Utilisant généralement votre téléphone ou un autre périphérique matériel tel quun jeton. Les jetons logiciels comme Google Authenticator peuvent être bons car ils ne dépendent pas totalement dun seul matériel. Exemples : médias sociaux.
- Connexions haute sensibilité – Stockez une partie du mot de passe dans votre gestionnaire de mots de passe et utilisez un modèle pour garder le reste dans votre tête tout en le rendant unique pour chaque site! Utilisez également lauthentification à 2 facteurs si disponible. Exemple : banque et finance
Il existe certainement de nombreuses autres façons de résoudre ce problème. Lessentiel est de penser raisonnablement aux risques et de ne pas faire de la vie un enfer juste pour essayer de gérer un risque minuscule ou même un impact minime.
Commentaires
- La sécurité par lobscurité fait référence à un algorithme caché pour sécuriser quelque chose, et non à un secret tel quun mot de passe.
- BTW, je ne ‘ Je pense que vous avez vraiment répondu à la question. Ce nest pas vraiment de votre faute car lOP présente un scénario quelque peu déraisonnable.
- @JulianKnight pourquoi pensez-vous que je ne suis pas réaliste quant aux risques? I Je suis daccord avec vous pour dire que moins de sécurité est nécessaire, par exemple pour mon mot de passe StackExchange, mais quen est-il des codes PIN? Mon gestionnaire de mots de passe na ‘ pas être utile ici, et si je les écris de quelque manière que ce soit Je pourrais être responsable de lintégralité des dommages si mon portefeuille est volé et que la banque le découvre. Ou devrais-je ne pas minquiéter car un voleur naura que trois tentatives, donc même une très simple ad-hoc fr le cryptage fera laffaire?
- Daprès le Q, il semblait que oui. Par code PIN ‘, voulez-vous dire les cartes de crédit / bancaires? Les miens sont tous dans un gestionnaire PW secondaire qui nest pas basé sur le cloud mais qui a des clients pour mobile ainsi que pour ordinateur de bureau si je ne men souviens pas. Utilisez un code maître FORT dont vous vous souvenez. Une banque réputée vous donnera le crédit de gérer les choses en toute sécurité – je sais, jai travaillé pour une autre 🙂 Dans la plupart des pays, vous ne serez PAS responsable si vous faites preuve dune diligence raisonnable. Certainement pas au Royaume-Uni / dans lUE / aux États-Unis.
- Le scénario est complètement déraisonnable. Les coffres-forts de mots de passe sur le marché répondent presque à toutes les exigences de @ user3657600 ‘, mais pas entièrement. Cest vraiment surprenant. Utiliser un téléphone portable sera toujours moins sûr et moins pratique, ce ‘ n’est certainement pas une solution. Cest ‘ pourquoi les dispositifs de sécurité existent. La solution serait un appareil pouvant faire office de clavier (Mooltipass, OnlyKey) pour une utilisation facile et interopérable sur les ordinateurs. Il a besoin dun écran pour afficher le mot de passe au cas où vous ‘ t pouvez utiliser lappareil comme clavier, par ex. AU M. Il doit être crypté et / ou inviolable (Mooltipass).
Réponse
Question intéressante.
Vos points:
-
sécurisé contre les sites Web compromis, cest-à-dire si quelquun casse la base de données du site A et parvient à obtenir mon mot de passe pour A en clair, il ne devrait pas obtenir toute information sur mon mot de passe pour le site B
-
sécurisé contre une machine locale compromise, cest-à-dire si quelquun installe un logiciel malveillant sur mon ordinateur portable, il devrait toujours être incapable dobtenir mes codes PIN et autres mots de passe qui ne sont pas utilisées sur la machine compromise
-
sécurisée contre le vol, cest-à-dire que la méthode ne doit pas impliquer un jeton physique qui, sil est volé, permettra à un voleur de vider tout mon des comptes.
-
portable, cest-à-dire que cela devrait fonctionner sans que je reste assis devant mon ordinateur, par exemple à un guichet automatique ou lors dun paiement dans un magasin.
-
sécurisé contre la perte de données, cest-à-dire que je souhaite pouvoir effectuer des sauvegardes en cas de panne de lappareil , le vol, etc.
-
serait particulièrement intéressé par une méthode que je peux utiliser sans aucun outil, ou en utilisant des appareils portables que je peux acheter facilement / à bas prix sur le marché libre, tant que je peux être raisonnablement sûr que lappareil ne révèle pas mes mots de passe.
Eh bien, ce ne sera pas joli, mais cela peut répondre au « pas « partie en réseau », et la partie facile / économique.
Achetez un Raspberry Pi – de préférence un Pi 2 B pour la vitesse et la RAM, ou un Pi A plus un hub USB si vous ne voulez pas du port Ethernet . Aucun Pi nest fourni avec le Wi-Fi, donc vous êtes au moins en sécurité.
Achetez un écran tactile pour cela. Configurez-le. Et peut-être une combinaison clavier / pavé tactile portable.
Configurer avec Raspbian sans aucun espace de swap, et installez KeePassX dessus.
Achetez une banque dalimentation USB comme un Anker Powercore pour vous pouvez exécuter le Pi à distance.
Alternativement, procurez-vous nimporte quel type dordinateur portable ou portable et supprimez complètement le matériel réseau – Le Wifi sur la plupart des plus gros est une carte mini-PCIe, facile à retirer. Ethernet, eh bien, remplissez le port de superglue. Encore une fois, installez KeePassX (ou KeePass).
Idéalement, installez également le chiffrement complet du disque LUKS (Linux) ou Veracrypt (si vous insistez sur Windows).
Achetez quelques FIPS 140 -2 périphériques de stockage USB validés, comme la Apricorn AEGIS Secure Key USB2.0 (ils ont également des lecteurs USB3.0 beaucoup plus gros, à un prix un peu plus élevé) .
Mettez votre base de données KeePassX sur votre lecteur Apricorn; sauvegarder dun Apricorn à un autre.
Utilisez cet appareil et ninsérez votre Apricorn que lorsque vous obtenez activement des mots de passe. Supprimez toujours lApricorn dès que vous avez terminé.
Maintenant, vous avez du matériel bon marché et aucun fournisseur de verrouillage du tout.
Les sites Web malveillants et les machines compromises ne peuvent obtenir que de quoi vous les saisissez; ils nont jamais accès à la base de données.
Si tout est volé alors quil est éteint, lattaquant doit principalement passer le mot de passe Apricorn (où dix essais incorrects daffilée effacent le lecteur, et il est validé pour être inviolable en premier lieu), puis passé le mot de passe KeePass également.
Il est portable – plus portable que les vieux bagphones, même avec le Raspberry Pi + batterie + exemple de clavier.
Il est protégé contre la perte de données – copie dApricorn A vers Apricorn B conservée à la maison, Apricorn C conservée dans un coffre-fort, etc.
Réponse
Vous pouvez utiliser le nouveau PI zéro pour cela. Le faible facteur de forme le rend idéal comme périphérique précisément pour cette raison. Rappelez-vous également, vous navez pas besoin de tous vos mots de passe avec vous.