Mi sento come se avessi un problema molto comune. Ho troppe password da ricordare, oltre a PIN per carte di credito / debito, codici di accesso per porte sul posto di lavoro o serrature a combinazione. Non mi sembra di essere in grado di ricordarli tutti, non importa quanto ci provi, e non ricordarne nessuno al momento di cui ho bisogno può essere scomodo.

Sto cercando un modo per archiviare in modo sicuro password e PIN. Il metodo dovrebbe essere

  1. protetto contro i siti Web compromessi, ovvero se qualcuno rompe il database del sito A e riesce a ottenere la mia password per A in testo non crittografato, non dovrebbe ottenere qualsiasi informazione sulla mia password per il sito B
  2. protetta da una macchina locale compromessa, ovvero se qualcuno installa malware sul mio laptop dovrebbe comunque non essere in grado di ottenere i miei codici PIN e altre password che non vengono utilizzate sul computer compromesso macchina
  3. sicura contro i furti, ovvero il metodo non dovrebbe coinvolgere un token fisico che, se viene rubato, consentirà a un ladro di svuotare tutti i miei account.
  4. portabile, cioè dovrebbe lavorare senza di me seduto davanti al mio computer, ad esempio a un bancomat o quando pago in un negozio.
  5. proteggermi dalla perdita di dati, cioè voglio essere in grado di eseguire backup in caso di guasto del dispositivo, furto, ecc.

Ciò esclude alcuni approcci di cui sono a conoscenza e che sono stati discussi in precedenza:

  • riutilizzare le password è contro (1)
  • scrivere le password su un foglio di carta è contro (3) e (5)
  • gestore di password nel mio computer (online o offline) è contro (4) e (2)
  • generare password nella mia testa è contro (1) e (2) a meno che il il metodo stesso è sicuro. Altrimenti si tratta essenzialmente di protezione tramite oscurità e può funzionare solo a condizione che non troppi utilizzino lo stesso metodo.
  • un token fisico che contiene un sacco di caratteri per “generare” password scegliendo un punto di partenza diverso o un modello per scegliere le lettere da quel token. Cè un problema con la regola (3) se il metodo è noto o troppo semplice, o (1) e (2) se il metodo è semplice e il token sembra essere un libro o qualcosaltro ampiamente noto. Ancora una volta, puzza di sicurezza attraverso loscurità. Inoltre, è difficile eseguire il backup in modo sicuro (5).
  • crittografare i dati su un foglio di carta e decrittografarli manualmente sta utilizzando un metodo insicuro, o suona come qualcosa che non posso “fare nella mia testa (sono felice se qualcuno mi corregge su questo). Nota che anche farlo sulla carta non è una buona idea in un supermercato se questo significa che io devo distruggere in modo sicuro la carta su cui ho elaborato il mio PIN dopo ogni utilizzo.

La mia domanda è quindi: esiste un modo per memorizzare / memorizzare le password che soddisfi i requisiti di cui sopra? Una possibilità quello che mi viene in mente è un dispositivo dedicato in grado di eseguire la decrittografia AES, in modo da poter memorizzare le password che sono state crittografate con una password principale sul mio smartphone e quindi utilizzare quel dispositivo dedicato per ottenere una password in chiaro inserendo la password crittografata e il master password Sarei particolarmente interessato a un metodo che posso utilizzare senza strumenti o utilizzando dispositivi portatili che io posso acquistare facilmente / a buon mercato sul mercato aperto, purché posso essere ragionevolmente sicuro che il dispositivo non rivela le mie password. Ovviamente sarebbe fantastico se il metodo fosse facile e veloce da usare.

Non mi considero un target di alto profilo, quindi sono disposto a presumere che potrei comprare qualcosa come una calcolatrice tascabile su Amazon senza che qualcuno ci inserisca un modulo GSM nascosto. Tuttavia non sono disposto a presumere che un determinato smartphone o computer non abbia un cavallo di Troia installato.

Commenti

  • Ti fideresti di un vecchio telefono che ‘ non dispone della connettività di rete e ha il WiFi disattivato?
  • Una cassaforte e un taccuino di carta andranno bene .
  • @DeerHunter Il taccuino di carta può essere rubato se non in una cassaforte, e una cassaforte non è molto portabile.
  • @NeilSmithline No, se non cè modo di impedirgli fisicamente comunicando Non mi piacerebbe ‘ fidarmi di esso.
  • Anche se tieni sempre con te il suddetto taccuino? Incatenato alla tua mano in una custodia dacciaio con un Ricorda: in caso di dubbio, C4.

Risposta

Penso che tu stia pensando troppo alle cose! Inoltre, non sei realistico riguardo ai rischi.

Ricorda anche che qualsiasi password è “sicurezza attraverso loscurità”, quindi non è “sempre il” cattivo ragazzo “che è stato concepito. >

Quindi, un approccio ragionevole potrebbe essere un ibrido.

  • Accessi a bassa sensibilità: utilizza un gestore di password. La maggior parte dispone di varie protezioni per ridurre il rischio di dirottamento dei dati da parte del malware. Molti hanno anche Funzionalità di autenticazione a 2 fattori che mitigano molti problemi. Esempi : forum.
  • Accessi con sensibilità media: utilizza il gestore delle password per comodità ma aggiungi due fattori autenticazione per la sicurezza. In genere utilizzando il telefono o un altro dispositivo hardware come un token. I soft token come Google Authenticator possono essere utili in quanto non dipendono totalmente da un unico componente hardware. Esempi : social media.
  • Accessi ad alta sensibilità – Memorizza parte della password nel tuo gestore di password e usa uno schema per tenere il resto nella tua testa ma rendilo comunque unico per ogni sito! Utilizzare anche lautenticazione a 2 fattori, se disponibile. Esempio : banche e finanza

Ci sono sicuramente molti altri modi per tagliare questo problema. La cosa principale è pensare ai rischi in modo ragionevole e non rendere la vita un inferno solo per cercare di affrontare un rischio che è minimo o addirittura un impatto che sarebbe minimo.

Commenti

  • La sicurezza attraverso loscurità si riferisce a un algoritmo nascosto per rendere qualcosa di sicuro, non un segreto come una password.
  • A proposito, non ‘ Non credo che tu abbia davvero risposto alla domanda. Non è proprio colpa tua perché lOP presenta uno scenario in qualche modo irragionevole.
  • @JulianKnight perché pensi che non sia realistico riguardo ai rischi? daccordo con te che è necessaria meno sicurezza, ad esempio per la mia password StackExchange, ma per quanto riguarda i numeri PIN? Il mio gestore di password non ‘ sarà utile qui, e se li scrivo in qualche modo Potrei essere responsabile per lintero danno se il mio portafoglio viene rubato e la banca lo scopre. O non dovrei essere preoccupato perché un ladro avrà solo tre tentativi, quindi anche un semplicissimo ad-hoc it cryption andrà bene?
  • Dal Q sembrava così. Con PIN ‘ intendi carte di credito / bancarie? I miei sono tutti in un PW mgr secondario che non è basato su cloud ma ha client per dispositivi mobili e desktop se non me ne ricordo uno. Usa un codice master FORTE che ricordi. Una banca stimabile ti darà il merito di aver gestito le cose in modo sicuro – Lo so, lavoravo per uno 🙂 Nella maggior parte dei paesi NON sarai responsabile se dimostri ragionevole cura. Certamente non nel Regno Unito / UE / USA.
  • Lo scenario è del tutto irragionevole. Gli archivi password sul mercato soddisfano quasi tutti i requisiti di @ user3657600 ‘, ma non del tutto. Questo è davvero sorprendente. Usare un telefono cellulare sarà sempre meno sicuro e meno pratico, ‘ sicuramente non è una soluzione. Questo è ‘ perché esistono dispositivi di sicurezza. La soluzione sarebbe un dispositivo che possa fungere da tastiera (Mooltipass, OnlyKey) per un utilizzo facile e interoperabile sui computer. È necessario un display per mostrare la password nel caso in cui ‘ t possa utilizzare il dispositivo come tastiera, ad es. ATM. Deve essere crittografato e / o antimanomissione (Mooltipass).

Risposta

Domanda interessante.

I tuoi punti:

  • al sicuro da siti web compromessi, cioè se qualcuno rompe il database del sito A e riesce a ottenere la mia password per A in chiaro, non dovrebbe ottenere qualsiasi informazione sulla mia password per il sito B

  • protetta da una macchina locale compromessa, ovvero se qualcuno installa malware sul mio laptop dovrebbe comunque non essere in grado di ottenere i miei codici PIN e altre password che non vengono utilizzati sulla macchina compromessa

  • sicuro contro il furto, ovvero il metodo non dovrebbe coinvolgere un token fisico che, se viene rubato, permetterà a un ladro di svuotare tutti i miei account.

  • portatile, cioè dovrebbe funzionare senza di me seduto davanti al mio computer, ad esempio a un bancomat o quando pago in un negozio.

  • sicuro contro la perdita di dati, cioè voglio essere in grado di fare backup in caso di guasto del dispositivo , furto, ecc.

  • sarebbe particolarmente interessato a un metodo che posso utilizzare senza strumenti o utilizzando dispositivi portatili che posso acquistare facilmente / a buon mercato sul mercato aperto, fintanto che posso essere ragionevolmente sicuro che il dispositivo non rivela le mie password.

Beh, non sarà carino, ma questo può soddisfare il “non parte “in rete” e la parte facile / economica.

Acquista un Raspberry Pi, preferibilmente un Pi 2 B per velocità e RAM, o un Pi A più un hub USB se non vuoi la porta Ethernet . Nessun Pi viene fornito con il Wifi, quindi sei al sicuro lì, almeno.

Acquista un touchscreen. Configuralo. E magari una combinazione tastiera / touchpad portatile.

Imposta con Raspbian senza alcuno spazio di swap e installa KeePassX su di esso.

Acquista un power bank USB come un Anker Powercore quindi puoi eseguire il Pi da remoto.

In alternativa, procurati qualsiasi tipo di laptop o notebook e rimuovi completamente lhardware di rete: il Wifi nella maggior parte di quelli più grandi è una scheda mini-PCIe, banale da rimuovere. Ethernet, beh, riempi la porta di supercolla. Di nuovo, installa KeePassX (o KeePass).

Idealmente, installa anche la crittografia completa del disco LUKS (Linux) o Veracrypt (se insisti su Windows).

Acquista alcuni FIPS 140 -2 Dispositivi di archiviazione USB convalidati, come il più economico Apricorn AEGIS Secure Key USB 2.0 (hanno anche unità USB3.0 molto più grandi, a un prezzo leggermente più alto) .

Metti il tuo database KeePassX sul tuo drive Apricorn; eseguire il backup da un Apricorn allaltro.

Usa questo dispositivo e inserisci il tuo Apricorn solo quando ottieni attivamente le password. Rimuovi sempre lApricorn non appena hai finito.

Ora hai hardware economico e nessun vincolo del fornitore.

I siti Web dannosi e le macchine compromesse possono ottenere solo ciò li digiti; non hanno mai accesso al database.

Se viene rubato tutto mentre è spento, lattaccante deve innanzitutto superare la password di Apricorn (dove dieci tentativi errati di fila cancellano il drive, ed è convalidato per essere a prova di manomissione in primo luogo), e poi anche oltre la password KeePass.

È portatile – più portatile dei vecchi bagphone, anche con il Raspberry Pi + batteria + esempio di tastiera.

È protetto contro la perdita di dati: copia da Apricorn A ad Apricorn B tenuta a casa, Apricorn C conservata in una cassetta di sicurezza, ecc.

Risposta

Potresti usare il nuovo PI zero per fare proprio questo. Il fattore di forma basso lo rende ideale come periferica proprio per questo motivo. Ricorda inoltre, non hai bisogno di tutte le tue password con te.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *