Jag känner att jag har ett mycket vanligt problem. Jag har för många lösenord att komma ihåg, samt PIN-koder för kredit- / betalkort, åtkomstkoder för dörrar på min arbetsplats eller kombinationslås. Jag verkar inte kunna komma ihåg dem alla oavsett hur hårt jag försöker, och jag kommer inte ihåg någon av dem vid den tiden som jag behöver kan vara obekväm.

Jag letar efter ett sätt för att säkert lagra lösenord och PIN-koder. Metoden ska vara

  1. säker mot komprometterade webbplatser, dvs om någon bryter databasen för webbplats A och lyckas få mitt lösenord för A i klartext, borde han inte få all information om mitt lösenord för webbplats B
  2. säker mot en komprometterad lokal maskin, dvs om någon installerar skadlig kod på min bärbara dator, skulle han fortfarande inte kunna få mina PIN-koder och andra lösenord som inte används på den komprometterade maskin
  3. säker mot stöld, dvs metoden bör inte innebära en fysisk symbol som, om den blir stulen, tillåter en tjuv att tömma alla mina konton.
  4. bärbar, det vill säga arbeta utan att jag sitter framför datorn, till exempel vid en bankomat eller när jag betalar i en butik.
  5. säker mot dataförlust, det vill säga jag vill kunna göra säkerhetskopior vid enhetsfel, stöld osv.

Det utesluter några tillvägagångssätt som jag känner till och som tidigare har diskuterats:

  • återanvändning av lösenord är emot (1)
  • nedskrivning av lösenord på ett pappersark är mot (3) och (5)
  • lösenordshanterare på min dator (online eller offline) är emot (4) och (2)
  • genererar lösenord i mitt huvud är emot (1) och (2) om inte själva metoden är säker. Annars är detta i huvudsak säkerhet genom dunkelhet och kan bara fungera så länge inte alltför många använder samma metod.
  • en fysisk token som innehåller många tecken för att ”generera” lösenord genom att välja en annan startpunkt eller ett annat mönster för att välja bokstäver från den token. Det finns ett problem med regel (3) om metoden är känd eller för enkel, eller (1) och (2) om metoden är enkel och token råkar vara en bok eller något annat allmänt känt. Återigen luktar det som säkerhet genom dunkelhet. Dessutom är det svårt att säkerhetskopiera säkert (5).
  • kryptering av data på ett pappersark och dekryptering manuellt använder antingen en osäker metod, eller låter som något jag inte kan göra i mitt huvud (jag är glad om någon korrigerar mig på den här). Observera att även att göra det på papper är inte en bra idé i en stormarknad om det betyder att jag måste förstöra papperet som jag utarbetade min PIN-kod på säkert sätt efter varje användning.

Min fråga är därför: Finns det något sätt att lagra / memorera lösenord som uppfyller ovanstående krav? En möjlighet som jag tänker på är en dedikerad enhet som kan utföra AES-dekryptering, så jag kunde lagra lösenord som krypterades med ett huvudlösenord på min smartphone och sedan använda den dedikerade enheten för att få ett lösenord med klartext genom att ange det krypterade lösenordet lösenord. Jag skulle vara särskilt intresserad av en metod som jag kan använda utan några verktyg, eller använda bärbara enheter som jag kan köpa enkelt / billigt på den öppna marknaden, så länge jag kan vara ganska säker på att enheten inte avslöjar mina lösenord. Naturligtvis skulle det vara jättebra om metoden var enkel och snabb att använda.

Jag anser mig inte vara ett högt profilerat mål, så jag är villig att anta att jag kunde köpa något som en fickräknare på Amazon utan att någon monterar en dold GSM-modul i den. Jag är dock inte villig att anta att en viss smartphone eller dator inte har en trojanhäst installerad.

Kommentarer

  • Skulle du lita på en gammal telefon som inte ’ inte har nätverksanslutning och har WiFi avstängd?
  • Ett värdeskåp och en pappersanteckningsbok kommer att göra .
  • @DeerHunter Anteckningsbok i papper kan stulas om det inte finns i ett kassaskåp och ett kassaskåp inte är särskilt bärbart.
  • @NeilSmithline Nej, om det inte finns något sätt att fysiskt förhindra det från kommunicera Jag skulle inte ’ inte vilja lita på det.
  • Även om du alltid håller den anteckningsboken på dig? Kedjad till din hand i en stålhölje med ett antipaket Kom ihåg: när du är osäker, C4.

Svar

Jag tror att du övertänker saker! Dessutom är du inte realistisk när det gäller riskerna.

Kom också ihåg att alla lösenord är ”säkerhet genom dunkelhet” så det är inte alltid den ”dåliga pojken” som den är tänkt att vara.

Så, en förnuftig metod kan vara en hybrid.

  • Inloggningar med låg känslighet – använd en lösenordshanterare. De flesta har olika skydd för att minska risken för kapning av skadlig kod. Många har också 2-faktor autentiseringsfunktioner som mildrar många problem. Exempel : forum.
  • Inloggningar med medelhög känslighet – använd lösenordshanteraren för enkelhetens skull men lägg till 2-faktor autentisering för säkerhet. Vanligtvis använder du din telefon eller någon annan hårdvaruenhet som en token. Mjuka tokens som Google Authenticator kan vara bra eftersom de inte är helt beroende av en hårdvara. Exempel : sociala medier.
  • Inloggningar med hög känslighet – Spara en del av lösenordet i din lösenordshanterare och använd ett mönster för att hålla resten i huvudet men ändå göra det unikt för varje webbplats! Använd också 2-faktor autentisering om tillgänglig. Exempel : bank och finans

Det finns verkligen många fler sätt att minska detta. Huvudsaken är att tänka på riskerna på ett förnuftigt sätt och inte göra livet helvete bara för att försöka hantera en risk som är liten eller verkligen en påverkan som skulle vara liten.

Kommentarer

  • Säkerhet genom dunkelhet avser en algoritm som är dold för att göra något säkert, inte en hemlighet som ett lösenord.
  • BTW, jag don ’ tänker inte att du verkligen svarat på frågan. Inte riktigt ditt fel eftersom OP ger ett något orimligt scenario.
  • @JulianKnight varför tror du att jag inte är realistisk om riskerna? håller med dig om att det behövs mindre säkerhet, t.ex. för mitt StackExchange-lösenord, men hur är det med PIN-nummer? Min lösenordshanterare vann ’ inte till hjälp här, och om jag skriver ner dem på något sätt Jag kan vara ansvarig för hela skadan om min plånbok blir stulen och banken får reda på detta. Eller borde jag inte vara orolig för att en tjuv bara kommer att ha tre försök, så till och med en mycket enkel ad hoc en kryption kommer att göra?
  • Från Q verkade det så. Med PIN ’ s menar du kredit- / bankkort? Mine är alla i en sekundär PW-mgr som inte är molnbaserad men har klienter för både mobil och stationär dator om jag inte kommer ihåg en. Använd en STARK masterkod du kommer ihåg. En ansedd bank kommer att ge dig kredit för att hantera saker på ett säkert sätt – jag vet, jag arbetade för en 🙂 I de flesta länder kommer du INTE att vara ansvarig om du visar rimlig omsorg. Visst inte i Storbritannien / EU / USA.
  • Scenariot är helt orimligt. Lösenordsvalv på marknaden uppfyller nästan alla @ user3657600 ’ s krav, men inte helt. Detta är verkligen förvånande. Att använda en mobiltelefon kommer alltid att vara mindre säker och mindre praktisk, det ’ är definitivt ingen lösning. Det är ’ varför säkerhetsenheter finns. Lösningen skulle vara en enhet som kan fungera som ett tangentbord (Mooltipass, OnlyKey) för enkel och interoperabel användning på datorer. Det behöver en display för att visa lösenordet om du ’ t kan använda enheten som tangentbord, t.ex. Bankomat. Det måste vara krypterat och / eller manipulera (Mooltipass).

Svar

Intressant fråga.

Dina poäng:

  • säkra mot komprometterade webbplatser, dvs om någon bryter databasen för webbplats A och lyckas få mitt lösenord för A i klartext, borde han inte få all information om mitt lösenord för webbplats B

  • säker mot en komprometterad lokal maskin, dvs om någon installerar skadlig programvara på min bärbara dator, skulle han fortfarande inte kunna få mina PIN-koder och andra lösenord som inte används på den komprometterade maskinen

  • säker mot stöld, dvs metoden bör inte innebära en fysisk symbol som, om den blir stulen, tillåter en tjuv att tömma alla mina konton.

  • bärbar, det vill säga det ska fungera utan att jag sitter framför min dator, till exempel vid en bankomat eller när jag betalar i en butik.

  • säkert mot dataförlust, dvs jag vill kunna göra säkerhetskopior vid enhetsfel , stöld osv.

  • skulle vara särskilt intresserade av en metod som jag kan använda utan verktyg, eller använda bärbara enheter som jag kan köpa enkelt / billigt på den öppna marknaden, så länge jag kan vara ganska säker på att enheten inte avslöjar mina lösenord. nätverksdelad ”del, och den lätt / billiga delen.

    Köp en Raspberry Pi – helst en Pi 2 B för hastighet och RAM, eller en Pi A plus en USB-hubb om du inte vill ha Ethernet-porten . Ingen Pi levereras med Wifi, så du är åtminstone säker där.

    Köp en pekskärm för den. Ställ in den. Och kanske en bärbar tangentbord / pekplatta-kombination.

    Ställ in upp med Raspbian utan att byta utrymme alls, och installera KeePassX på den.

    Köp en USB-strömbank som en Anker Powercore så du kan köra Pi på distans.

    Alternativt kan du skaffa dig vilken som helst bärbar dator eller bärbar dator och ta bort nätverkshårdvaran helt – WiFi på de flesta större är ett mini-PCIe-kort, trivialt att ta bort. Ethernet, ja, fyll porten med superlim. Återigen, installera KeePassX (eller KeePass).

    Idealiskt, installera också LUKS (Linux) eller Veracrypt (om du insisterar på Windows) full diskkryptering.

    Köp några FIPS 140 -2 Validerade USB-lagringsenheter, som den billigare Apricorn AEGIS Secure Key USB2.0 (de har också mycket större USB3.0-enheter till ett något högre pris) .

    Sätt din KeePassX-databas på din Apricorn-enhet; säkerhetskopiera från en aprikorn till en annan.

    Använd den här enheten och sätt bara in din aprikorn när du aktivt får lösenord. Ta alltid bort aprikornet så snart du är klar.

    Nu har du billig hårdvara och ingen låsning av leverantören alls.

    De skadliga webbplatserna och de komprometterade maskinerna kan bara få vad du skriver in dem, de har aldrig tillgång till databasen.

    Om allt är stulet när det är avstängt, måste angriparen i första hand komma förbi Apricorn-lösenordet (där tio felaktiga försök i rad torkar enhet, och det valideras för att vara manipuleringsbeständigt i första hand) och sedan förbi KeePass-lösenordet.

    Det är bärbart – mer bärbart än gamla bagphones, även med Raspberry Pi + batteri + tangentbordsexempel.

    Det är säkert mot dataförlust – kopia från Apricorn A till Apricorn B förvaras hemma, Apricorn C förvaras i ett värdeskåp etc.

Svar

Du kan använda den nya PI-nollan för att göra just det. Den låga formfaktorn gör den idealisk som en kringutrustning av just denna anledning. Kom också ihåg att du behöver inte alla dina lösenord med dig.

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *