Simt că am o problemă foarte comună. Am prea multe parole de reținut, precum și coduri PIN pentru cardurile de credit / debit, coduri de acces pentru ușile de la locul de muncă sau încuietori combinate. Nu par să-mi pot aminti pe toate, indiferent cât de mult aș încerca, și să nu-mi amintesc pe niciunul dintre aceștia la care am nevoie poate fi inconvenient.
Caut o cale pentru a stoca în siguranță parolele și codurile PIN. Metoda ar trebui să fie
- sigură împotriva site-urilor web compromise, adică dacă cineva sparge baza de date a site-ului A și reușește să obțină parola mea pentru A în text clar, el nu ar trebui să primească orice informații despre parola mea pentru site-ul B
- protejat împotriva unei mașini locale compromise, adică dacă cineva instalează malware pe laptopul meu, el ar trebui să nu poată primi codurile mele PIN și alte parole care nu sunt utilizate pe dispozitivul compromis mașină
- securizată împotriva furtului, adică metoda nu trebuie să implice un jeton fizic care, dacă este furat, va permite unui hoț să-mi golească toate conturile.
- portabil, funcționează fără ca eu să stau în fața computerului, de exemplu la un bancomat sau când plătesc într-un magazin.
- protejat împotriva pierderii de date, adică vreau să să poată face copii de rezervă în caz de eșec al dispozitivului, furt etc.
Acest lucru exclude câteva abordări de care sunt conștient și care au fost discutate anterior:
- reutilizarea parolelor este împotriva (1)
- scrierea parolelor pe o foaie de hârtie este împotriva (3) și (5)
- manager de parole în computerul meu (online sau offline) este împotriva (4) și (2)
- generează parole în capul meu este împotriva (1) și (2), cu excepția cazului în care metoda în sine este sigură. În caz contrar, aceasta este în esență securitate prin obscuritate și poate funcționa numai atât timp cât nu prea mulți folosesc aceeași metodă.
- un simbol fizic care conține o mulțime de caractere pentru a „genera” parole, alegând un punct de pornire sau un model diferit pentru a alege litere din acel simbol. Există o problemă cu regula (3) dacă metoda este cunoscută sau prea simplă sau (1) și (2) dacă metoda este simplă și simbolul se întâmplă să fie o carte sau altceva cunoscut pe scară largă. Din nou, miroase a securitate prin obscuritate. În plus, este greu să faceți o copie de siguranță în siguranță (5).
- criptarea datelor pe o foaie de hârtie și decriptarea manuală utilizează fie o metodă nesigură sau sună ca ceva ce nu pot face în capul meu (sunt fericit dacă cineva mă corectează pe aceasta). Rețineți că nici măcar să o faceți pe hârtie nu este o idee bună într-un supermarket dacă asta înseamnă că trebuie să distrug în siguranță hârtia pe care am elaborat codul PIN după fiecare utilizare.
Prin urmare, întrebarea mea este: Există vreo modalitate de a stoca / memora parolele care îndeplinesc cerințele de mai sus? O posibilitate care îmi vine în minte este un dispozitiv dedicat care poate efectua decriptarea AES, așa că aș putea stoca parole care au fost criptate cu o parolă master pe smartphone-ul meu, și apoi pot folosi acel dispozitiv dedicat pentru a obține o parolă în text simplu, introducând parola criptată și masterul Aș fi deosebit de interesat de o metodă pe care o pot folosi fără niciun instrument sau folosind dispozitive portabile pe care le pot cumpăra ușor / ieftin pe piața liberă, atâta timp cât pot fi sigur că dispozitivul nu îmi dezvăluie parolele. Desigur, ar fi minunat dacă metoda ar fi ușor și rapid de utilizat.
Nu mă consider o țintă de profil înalt, așa că sunt dispus să presupun că aș putea cumpăra ceva de genul unui calculator de buzunar pe Amazon fără ca cineva să monteze un modul GSM ascuns în acesta. Cu toate acestea, nu sunt dispus să presupun că un anumit smartphone sau computer nu are instalat un cal troian.
Comentarii
- Ați avea încredere într-un telefon vechi care nu are ‘ conectivitate la rețea și WiFi este dezactivat?
- Un seif și un notebook de hârtie vor face .
- Caietul de hârtie @DeerHunter poate fi furat dacă nu într-un seif, iar un seif nu este foarte portabil.
- @NeilSmithline Nu, dacă nu există nicio modalitate de a preveni fizic comunicare Nu mi-ar plăcea să ‘ aș avea încredere în el.
- Chiar dacă ții caietul de sarcini pe tine tot timpul? Înlănțuit la mână într-o cutie de oțel cu un antitamping dispozitiv? Amintiți-vă: când aveți dubii, C4.
Răspuns
Cred că sunteți lucruri care gândesc excesiv! De asemenea, nu sunteți realist cu privire la riscuri.
Amintiți-vă, de asemenea, că orice parolă este „securitate prin obscuritate”, deci nu este întotdeauna „băiatul rău” pe care îl face să fie.
Deci, o abordare sensibilă ar putea fi un hibrid.
- Conectări cu sensibilitate redusă – utilizați un manager de parole. Majoritatea au diverse protecții pentru a ajuta la reducerea riscului de deturnare a malware-ului. Mulți au, de asemenea, Capabilități de autentificare cu 2 factori care atenuează multe probleme. Exemple : forumuri.
- Conectări de sensibilitate medie – utilizați managerul de parole pentru comoditate, dar adăugați 2 factori autentificare pentru securitate. De obicei, utilizând telefonul sau un alt dispozitiv hardware, cum ar fi un simbol. Jetoanele soft precum Google Authenticator pot fi bune, deoarece nu depind în totalitate de o bucată de hardware. Exemple : rețele sociale.
- Conectări de înaltă sensibilitate – Stocați o parte a parolei în managerul de parole și folosiți un model pentru a vă menține restul în cap, dar faceți-l totuși unic pentru fiecare site! De asemenea, utilizați autentificare cu 2 factori, dacă este disponibilă. Exemplu : servicii bancare și financiare
Există cu siguranță multe alte modalități de a reduce acest lucru. Principalul lucru este să te gândești cu atenție la riscuri și să nu faci viața dracului doar pentru a încerca să faci față unui risc mic sau într-adevăr un impact care ar fi mic.
Comentarii
- Securitatea prin obscuritate se referă la faptul că un algoritm este ascuns pentru a face ceva sigur, nu un secret, cum ar fi o parolă.
- BTW, eu nu ‘ nu cred că ați răspuns cu adevărat la întrebare. Nu chiar vina dvs., deoarece PO prezintă un scenariu oarecum nerezonabil.
- @JulianKnight de ce credeți că nu sunt realist cu privire la riscuri? sunt de acord cu dvs. că este nevoie de mai puțină securitate, de ex. pentru parola mea StackExchange, dar ce zici de numerele PIN? Managerul de parole nu a câștigat ‘ să nu fie de ajutor aici și dacă le notez în vreun fel Aș putea fi răspunzător pentru daunele totale dacă portofelul îmi este furat și banca află despre asta. Sau nu ar trebui să fiu îngrijorat deoarece un hoț va avea doar trei încercări, deci chiar și un ad-hoc foarte simplu criptare va face?
- Din Q a părut așa. Prin PIN ‘ s vă referiți la carduri de credit / bancare? Mine sunt toate într-un mgr secundar PW care nu este bazat pe cloud, dar are clienți pentru mobil, precum și pentru desktop, dacă nu-mi amintesc unul. Folosiți un cod master STRONG pe care îl amintiți. O bancă de renume vă va acorda credit pentru gestionarea lucrurilor în condiții de siguranță – Știu, obișnuiam să lucrez pentru una 🙂 În majoritatea țărilor NU veți fi răspunzător dacă demonstrați o îngrijire rezonabilă. Cu siguranță nu în Marea Britanie / UE / SUA.
- Scenariul este complet nerezonabil. Seifurile de parole de pe piață îndeplinesc aproape toate cerințele @ user3657600 ‘, dar nu în totalitate. Acest lucru este cu adevărat surprinzător. Utilizarea unui telefon mobil va fi întotdeauna mai puțin sigură și mai puțin practică, cu siguranță nu ‘ nu este o soluție. Acesta este ‘ motivul pentru care există dispozitive de securitate. Soluția ar fi un dispozitiv care poate acționa ca o tastatură (Mooltipass, OnlyKey) pentru o utilizare ușoară și interoperabilă pe computere. Are nevoie de un afișaj pentru a afișa parola în cazul în care ‘ nu puteți utiliza dispozitivul ca tastatură, de ex. ATM. Trebuie să fie criptat și / sau rezistent la manipulare (Mooltipass).
Răspuns
Întrebare interesantă.
Punctele dvs.:
-
protejați-vă împotriva site-urilor web compromise, adică dacă cineva sparge baza de date a site-ului A și reușește să obțină parola mea pentru A în text clar, el nu ar trebui să obțină orice informație despre parola mea pentru site-ul B
-
protejat împotriva unei mașini locale compromise, adică dacă cineva instalează programe malware pe laptopul meu, el ar trebui să nu poată primi codurile PIN și alte parole care nu sunt utilizate pe mașina compromisă
-
sigur împotriva furtului, adică metoda nu ar trebui să implice un jeton fizic care, dacă este furat, va permite unui hoț să-mi golească toate conturi.
-
portabil, adică ar trebui să funcționeze fără ca eu să stau în fața computerului meu, de exemplu la un bancomat sau când plătesc într-un magazin.
-
protejat împotriva pierderii de date, adică vreau să pot face copii de rezervă în caz de defecțiune a dispozitivului , furt etc.
-
ar fi deosebit de interesat de o metodă pe care o pot folosi fără niciun instrument sau de utilizarea dispozitivelor portabile pe care le pot cumpăra ușor / ieftin pe piața liberă, atâta timp cât pot fi destul de sigur că dispozitivul nu îmi dezvăluie parolele.
Ei bine, nu va fi frumos, dar acest lucru poate îndeplini „nu parte în rețea și partea ușor / ieftină.
Cumpărați un Raspberry Pi – de preferință un Pi 2 B pentru viteză și RAM, sau un Pi A plus un hub USB dacă nu doriți portul Ethernet . Niciun Pi nu vine cu Wifi, deci „cel puțin sunteți în siguranță acolo.
Cumpărați un ecran tactil pentru acesta. Configurați acest lucru. Și poate o combinație portabilă de tastatură / touchpad.
Setați creați-l cu Raspbian fără spațiu de schimb și instalați KeePassX pe acesta.
Cumpărați o bancă de alimentare USB ca Anker Powercore puteți rula Pi de la distanță.
Alternativ, obțineți orice fel de laptop sau notebook și eliminați complet hardware-ul de rețea – Wifi pe majoritatea celor mai mari este un card mini-PCIe, banal de eliminat. Ethernet, bine, umpleți portul cu superglue. Din nou, instalați KeePassX (sau KeePass).
În mod ideal, instalați LUKS (Linux) sau Veracrypt (dacă insistați pe Windows) și criptarea completă a discului.
Cumpărați câteva FIPS 140 -2 Dispozitive de stocare USB validate, cum ar fi mai ieftin Apricorn AEGIS Secure Key USB2.0 (au și unități USB3.0 mult mai mari, la un preț ceva mai mare) .
Puneți baza de date KeePassX pe unitatea Apricorn; faceți o copie de rezervă de la un Apricorn la altul.
Utilizați acest dispozitiv și introduceți Apricornul numai atunci când primiți parole în mod activ. Eliminați întotdeauna Apricorn-ul imediat ce ați terminat.
Acum aveți hardware ieftin și nu aveți deloc blocarea furnizorilor.
Site-urile web rău intenționate și mașinile compromise pot obține doar ceea ce le introduceți; nu au niciodată acces la baza de date.
Dacă totul este furat în timp ce este oprit, atacatorul trebuie să treacă în primul rând parola Apricorn (unde zece încercări incorecte la rând șterge și este validat pentru a fi rezistent la manipulare în primul rând) și apoi trece și parola KeePass.
Este portabil – mai portabil decât telefoanele vechi, chiar și cu Raspberry Pi + baterie + exemplu tastatură.
Este sigur împotriva pierderii datelor – copiați din Apricorn A în Apricorn B păstrat acasă, Apricorn C păstrat într-o cutie de valori etc.
Răspuns
Puteți utiliza noul PI zero pentru a face exact acest lucru. Factorul de formă redus îl face ideal ca periferic tocmai din acest motiv. Amintiți-vă, de asemenea, nu ai nevoie de toate parolele la tine.