Ik heb het gevoel dat ik een veel voorkomend probleem heb. Ik heb te veel wachtwoorden om te onthouden, evenals pincodes voor creditcards / betaalpassen, toegangscodes voor deuren op mijn werkplek of combinatiesloten. Ik kan ze blijkbaar niet allemaal onthouden, hoe hard ik ook mijn best doe, en het kan ongemakkelijk zijn om ze op dat moment niet te onthouden.

Ik zoek een manier om wachtwoorden en pincodes veilig op te slaan. De methode moet

  1. beveiligd zijn tegen gecompromitteerde websites, dwz als iemand de database van site A breekt en erin slaagt mijn wachtwoord voor A in leesbare tekst te bemachtigen, mag hij niet alle informatie over mijn wachtwoord voor site B
  2. beveiligd tegen een gecompromitteerde lokale machine, dwz als iemand malware op mijn laptop installeert, zou hij nog steeds niet in staat moeten zijn om mijn pincodes en andere wachtwoorden te krijgen die niet worden gebruikt op de gecompromitteerde machine
  3. beveiligd tegen diefstal, dwz de methode mag geen fysiek token bevatten dat, als het wordt gestolen, een dief in staat zal stellen al mijn accounts leeg te maken.
  4. draagbaar, dat wil zeggen dat het werk zonder dat ik achter mijn computer zit, bijvoorbeeld bij een geldautomaat of bij het betalen in een winkel.
  5. beveiligd tegen gegevensverlies, dwz ik wil back-ups kunnen maken in geval van apparaatstoring, diefstal, enz.

Dat sluit een aantal benaderingen uit waarvan ik op de hoogte ben en die eerder zijn besproken:

  • hergebruik van wachtwoorden is tegen (1)
  • het opschrijven van wachtwoorden op een vel papier is tegen (3) en (5)
  • wachtwoordbeheer op mijn computer (online of offline) is tegen (4) en (2)
  • wachtwoorden genereren in mijn hoofd is tegen (1) en (2) tenzij de methode zelf is veilig. Anders is dit in wezen beveiliging door onduidelijkheid en kan het alleen werken zolang niet te veel mensen dezelfde methode gebruiken.
  • een fysiek token dat bevat veel karakters om wachtwoorden te “genereren” door een ander startpunt of patroon te kiezen om letters uit dat token te kiezen. Er is een probleem met regel (3) als de methode bekend of te simpel is, of (1) en (2) als de methode eenvoudig is en het token een boek is of iets anders dat algemeen bekend is. Nogmaals, het ruikt naar veiligheid door onduidelijkheid. Bovendien is het moeilijk om veilig een back-up te maken (5).
  • gegevens op een vel papier versleutelen en handmatig ontsleutelen is ofwel met een onzekere methode, of klinkt als iets dat ik in mijn hoofd niet kan doen (ik ben blij als iemand me op deze manier corrigeert). Merk op dat zelfs het op papier doen geen goed idee is in een supermarkt als dat betekent dat ik moet na elk gebruik het papier waarop ik mijn pincode uitwerkte, veilig vernietigen.

Mijn vraag is daarom: is er een manier om wachtwoorden op te slaan / te onthouden die aan de bovenstaande vereisten voldoen? dat in me opkomt is een speciaal apparaat dat AES-decodering kan uitvoeren, dus ik kon wachtwoorden opslaan die waren gecodeerd met een hoofdwachtwoord op mijn smartphone, en vervolgens dat speciale apparaat gebruiken om een wachtwoord in platte tekst te verkrijgen door het gecodeerde wachtwoord en het hoofdwachtwoord in te voeren wachtwoord. Ik zou vooral geïnteresseerd zijn in een methode die ik kan gebruiken zonder enig gereedschap, of met draagbare apparaten die ik kan gemakkelijk / goedkoop kopen op de open markt, zolang ik er redelijk zeker van kan zijn dat het apparaat mijn wachtwoorden niet onthult. Het zou natuurlijk geweldig zijn als de methode gemakkelijk en snel te gebruiken was.

Ik beschouw mezelf niet als een high-profile doelwit, dus ik ga er vanuit dat ik zoiets als een zakrekenmachine zou kunnen kopen op Amazon zonder dat iemand er een verborgen GSM-module in heeft gepast. Ik ben echter niet bereid aan te nemen dat op een bepaalde smartphone of computer geen Trojaans paard is geïnstalleerd.

Opmerkingen

  • Zou je een oude telefoon vertrouwen die geen ‘ netwerkverbinding heeft en wifi is uitgeschakeld?
  • Een kluis en een papieren notitieblok volstaan .
  • @DeerHunter Papieren notitieboekje kan worden gestolen als het niet in een kluis staat, en een kluis is niet erg draagbaar.
  • @NeilSmithline Nee, als er geen manier is om het fysiek te voorkomen communiceren Ik zou ‘ er niet graag op vertrouwen.
  • Zelfs als je dat notitieboekje altijd bij je hebt? Aan je hand geketend in een stalen koffer met een antikraakbeveiliging apparaat? Onthoud: bij twijfel C4.

Antwoord

Ik denk dat je dingen te veel nadenkt! Je bent ook niet realistisch over de risicos.

Onthoud ook dat elk wachtwoord “security through obscurity” is, dus het is niet “altijd de” bad boy “waarvan het wordt aangenomen.

Een verstandige benadering kan dus een hybride zijn.

  • Logins met lage gevoeligheid – gebruik een wachtwoordbeheerder. De meeste hebben verschillende beveiligingen om het risico van malwarekaping van gegevens te helpen verminderen. 2-factor authenticatiemogelijkheden die veel problemen verminderen. Voorbeelden : forums.
  • Logins met gemiddelde gevoeligheid – gebruik de wachtwoordbeheerder voor het gemak, maar voeg 2-factoren toe authenticatie voor beveiliging. Meestal met uw telefoon of een ander hardwareapparaat, zoals een token. Zachte tokens zoals Google Authenticator kunnen goed zijn, omdat ze niet volledig afhankelijk zijn van één stuk hardware. Voorbeelden : social media.
  • Logins met hoge gevoeligheid – Bewaar een deel van het wachtwoord in uw wachtwoordbeheerder en gebruik een patroon om de rest in je hoofd te houden, maar maak het toch uniek voor elke site! Gebruik indien beschikbaar ook 2-factor authenticatie. Voorbeeld : bankieren en financiën

Er zijn zeker veel meer manieren om dit te verminderen. Het belangrijkste is verstandig na te denken over de risicos en het leven niet tot een hel te maken door te proberen om te gaan met een klein risico of zelfs een kleine impact.

Opmerkingen

  • Beveiliging door onduidelijkheid verwijst naar een algoritme dat wordt verborgen om iets veilig te maken, niet een geheim zoals een wachtwoord.
  • Trouwens, ik don ‘ denk niet dat je de vraag echt hebt beantwoord. Niet echt jouw schuld, aangezien het OP een ietwat onredelijk scenario presenteert.
  • @JulianKnight waarom denk je dat ik niet realistisch ben over de risicos? ben het met u eens dat er minder beveiliging nodig is, bijvoorbeeld voor mijn StackExchange-wachtwoord, maar hoe zit het met pincodes? Mijn wachtwoordbeheerder heeft ‘ hier niet van dienst, en als ik ze op een of andere manier opschrijf Ik zou aansprakelijk kunnen zijn voor de volledige schade als mijn portemonnee wordt gestolen en de bank dit ontdekt. Of moet ik me geen zorgen maken, want een dief heeft maar drie pogingen, dus zelfs een heel simpele ad-hoc en cryption zal doen?
  • Uit de Q leek het zo. Met PIN ‘ s bedoelt u creditcards / bankpassen? De mijne bevinden zich allemaal in een secundaire PW-mgr die niet op de cloud is gebaseerd, maar die zowel clients voor mobiel als desktop heeft, mocht ik me er geen herinneren. Gebruik een STERKE mastercode die u zich herinnert. Een gerenommeerde bank geeft u krediet voor het veilig beheren van zaken – ik weet het, ik werkte er vroeger voor 🙂 In de meeste landen bent u NIET aansprakelijk als u redelijke zorg betoont. Zeker niet in het VK / EU / VS.
  • Het scenario is volkomen onredelijk. Wachtwoordkluizen op de markt voldoen bijna aan alle eisen van @ user3657600 ‘, maar niet helemaal. Dit is echt verrassend. Het gebruik van een mobiele telefoon zal altijd minder veilig en minder praktisch zijn, het is zeker geen oplossing ‘. Dat ‘ is waarom er beveiligingsapparatuur bestaat. De oplossing zou een apparaat zijn dat als toetsenbord kan dienen (Mooltipass, OnlyKey) voor eenvoudig en interoperabel gebruik op computers. Het heeft een display nodig om het wachtwoord weer te geven voor het geval je ‘ het apparaat als toetsenbord kunt gebruiken, bijv. GELDAUTOMAAT. Het moet gecodeerd en / of fraudebestendig zijn (Mooltipass).

Antwoord

Interessante vraag.

Uw punten:

  • beveiligd tegen gecompromitteerde websites, dwz als iemand de database van site A breekt en erin slaagt mijn wachtwoord voor A in leesbare tekst te bemachtigen, zou hij alle informatie over mijn wachtwoord voor site B

  • beveiligd tegen een gecompromitteerde lokale machine, dwz als iemand malware op mijn laptop installeert, zou hij nog steeds niet in staat moeten zijn om mijn pincodes en andere wachtwoorden te krijgen die niet worden gebruikt op de gecompromitteerde machine

  • beveiligd tegen diefstal, dwz de methode mag geen fysiek token bevatten dat, als het wordt gestolen, een dief in staat stelt al mijn accounts.

  • draagbaar, dwz het zou moeten werken zonder dat ik achter mijn computer zit, bijvoorbeeld bij een geldautomaat of bij het betalen in een winkel.

  • beveiligd tegen gegevensverlies, dwz ik wil back-ups kunnen maken in geval van een apparaatstoring , diefstal, enz.

  • zou in het bijzonder geïnteresseerd zijn in een methode die ik zonder gereedschap kan gebruiken, of met draagbare apparaten die ik gemakkelijk / goedkoop op de open markt kan kopen, zolang ik er redelijk zeker van kan zijn dat het apparaat mijn wachtwoorden niet onthult.

Nou, het wordt niet mooi, maar dit kan voldoen aan de niet netwerkgedeelte, en het gemakkelijk / goedkope gedeelte.

Koop een Raspberry Pi – bij voorkeur een Pi 2 B voor snelheid en RAM, of een Pi A plus een USB-hub als je de Ethernet-poort niet wilt . Geen Pi wordt geleverd met wifi, dus je bent daar in ieder geval veilig.

Koop er een touchscreen voor. Stel dat in. En misschien een draagbare combinatie van toetsenbord en touchpad.

Instellen het met Raspbian zonder enige swapspace, en installeer KeePassX erop.

Koop een USB-powerbank zoals een Anker Powercore dus je kunt de Pi op afstand gebruiken.

Je kunt ook een willekeurige laptop of notebook aanschaffen en de netwerkhardware volledig verwijderen. Wifi op de meeste grotere is een mini-PCIe-kaart, eenvoudig te verwijderen. Ethernet, nou, vul de poort met secondelijm. Installeer opnieuw KeePassX (of KeePass).

In het ideale geval installeert u LUKS (Linux) of Veracrypt (als u op Windows aandringt) ook volledige schijfversleuteling.

Koop een paar FIPS 140 -2 Gevalideerde USB-opslagapparaten, zoals de goedkopere Apricorn AEGIS Secure Key USB2.0 (ze hebben ook veel grotere USB3.0-drives, tegen een iets hogere prijs) .

Zet uw KeePassX-database op uw Apricorn-schijf; Maak een back-up van de ene Apricorn naar de andere.

Gebruik dit apparaat en voer uw Apricorn alleen in wanneer u actief wachtwoorden krijgt. Verwijder de Apricorn altijd zodra je klaar bent.

Nu heb je goedkope hardware en helemaal geen vendor lock-in.

De kwaadaardige websites en gecompromitteerde machines kunnen alleen krijgen wat je ze intypt; ze hebben nooit toegang tot de database.

Als alles gestolen is terwijl het is uitgeschakeld, moet de aanvaller in de eerste plaats voorbij het Apricorn-wachtwoord komen (waarbij tien onjuiste pogingen achter elkaar schijf, en het is in de eerste plaats gevalideerd om fraudebestendig te zijn), en vervolgens ook voorbij het KeePass-wachtwoord.

Het is draagbaar – draagbaarder dan oude telefoons, zelfs met de Raspberry Pi + batterij + toetsenbord voorbeeld.

Het is beveiligd tegen gegevensverlies – kopie van Apricorn A naar Apricorn B die thuis wordt bewaard, Apricorn C wordt bewaard in een kluis, enz.

Answer

Je zou de nieuwe PI-nul kunnen gebruiken om precies dat te doen. De lage vormfactor maakt het ideaal als randapparaat om precies deze reden. Onthoud ook, je hebt niet al je wachtwoorden nodig.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *