Ich habe das Gefühl, ein sehr häufiges Problem zu haben. Ich habe zu viele Passwörter, um sie mir zu merken, sowie PINs für Kredit- / Debitkarten, Zugangscodes für Türen an meinem Arbeitsplatz oder Zahlenschlösser. Ich scheine nicht in der Lage zu sein, mich an alle zu erinnern, egal wie sehr ich es versuche, und mich an keine von denen zu erinnern, die ich zu der Zeit brauche, kann unpraktisch sein.

Ich suche nach einem Weg Die Methode sollte

  1. gegen gefährdete Websites sicher sein, dh wenn jemand die Datenbank von Site A bricht und es schafft, mein Passwort für A im Klartext zu erhalten, sollte er diese nicht erhalten Informationen zu meinem Kennwort für Site B
  2. , die gegen einen gefährdeten lokalen Computer geschützt sind. Wenn also jemand Malware auf meinem Laptop installiert, sollte er weiterhin nicht in der Lage sein, meine PIN-Codes und andere Kennwörter abzurufen, die auf dem gefährdeten Computer nicht verwendet werden Maschine
  3. gegen Diebstahl geschützt, dh die Methode sollte kein physisches Token beinhalten, das es einem Dieb ermöglicht, alle meine Konten zu leeren, wenn es gestohlen wird.
  4. tragbar, dh es sollte Arbeiten Sie, ohne dass ich vor meinem Computer sitze, zum Beispiel an einem Geldautomaten oder beim Bezahlen in einem Geschäft.
  5. sicher gegen Datenverlust, dh ich möchte in der Lage sein, Backups im Falle eines Geräteausfalls, Diebstahls usw. zu erstellen.

Dies schließt einige mir bekannte und bereits diskutierte Ansätze aus:

  • Das Wiederverwenden von Passwörtern ist gegen (1)
  • Das Aufschreiben von Passwörtern auf ein Blatt Papier verstößt gegen (3) und (5)
  • Passwortmanager in meinem Computer (online oder offline) ist gegen (4) und (2)
  • Passwörter generieren in meinem Kopf ist gegen (1) und (2), es sei denn, die Methode selbst ist sicher. Andernfalls ist dies im Wesentlichen Sicherheit durch Dunkelheit und kann nur funktionieren, solange nicht zu viele dieselbe Methode verwenden.
  • ein physisches Token , das enthält Viele Zeichen zum „Generieren“ von Passwörtern durch Auswahl eines anderen Startpunkts oder Musters, um Buchstaben aus diesem Token auszuwählen. Es gibt ein Problem mit Regel (3), wenn die Methode bekannt oder zu einfach ist, oder (1) und (2), wenn die Methode einfach ist und das Token zufällig ein Buch oder etwas anderes ist, das allgemein bekannt ist. Wieder riecht es nach Sicherheit durch Dunkelheit. Darüber hinaus ist es schwierig, eine sichere Sicherung durchzuführen (5).
  • Daten auf einem Blatt Papier verschlüsseln und manuell entschlüsseln wird entweder verwendet Eine unsichere Methode oder klingt nach etwas, das ich in meinem Kopf nicht tun kann (ich bin froh, wenn mich jemand in dieser Hinsicht korrigiert). Beachten Sie, dass es in einem Supermarkt keine gute Idee ist, es auf Papier zu tun, wenn das bedeutet, dass ich es tue Ich muss das Papier, auf dem ich meine PIN erstellt habe, nach jedem Gebrauch sicher zerstören.

Meine Frage lautet daher: Gibt es eine Möglichkeit, Passwörter zu speichern / zu speichern, die die oben genannten Anforderungen erfüllen? Eine Möglichkeit Mir fällt ein dediziertes Gerät ein, das eine AES-Entschlüsselung durchführen kann, sodass ich Kennwörter, die mit einem Hauptkennwort verschlüsselt wurden, auf meinem Smartphone speichern und dann mit diesem dedizierten Gerät ein Klartextkennwort erhalten kann, indem ich das verschlüsselte Kennwort und den Hauptkennwort eingebe Ich würde mich besonders für eine Methode interessieren, die ich ohne Werkzeuge oder mit tragbaren Geräten verwenden kann, die ich verwende kann leicht / billig auf dem freien Markt kaufen, solange ich ziemlich sicher sein kann, dass das Gerät meine Passwörter nicht preisgibt. Natürlich wäre es großartig, wenn die Methode einfach und schnell anzuwenden wäre.

Ich betrachte mich nicht als hochkarätiges Ziel, daher bin ich bereit anzunehmen, dass ich so etwas wie einen Taschenrechner kaufen könnte Amazon, ohne dass jemand ein verstecktes GSM-Modul eingebaut hat. Ich bin jedoch nicht bereit anzunehmen, dass auf einem bestimmten Smartphone oder Computer kein Trojanisches Pferd installiert ist.

Kommentare

  • Würden Sie einem alten Telefon vertrauen, das ‚ keine Netzwerkverbindung hat und WLAN ausgeschaltet ist?
  • Ein Safe und ein Notizbuch aus Papier reichen aus .
  • @DeerHunter Papier-Notizbuch kann gestohlen werden, wenn es sich nicht in einem Safe befindet, und ein Safe ist nicht sehr tragbar.
  • @NeilSmithline Nein, wenn es keine Möglichkeit gibt, dies physisch zu verhindern Kommunikation Ich würde ‚ nicht gerne darauf vertrauen.
  • Auch wenn Sie das besagte Notizbuch immer bei sich haben? In einem Stahlgehäuse mit Antitampering an Ihre Hand gekettet Denken Sie daran: Denken Sie im Zweifelsfall an C4.

Antwort

Ich denke, Sie überdenken Dinge! Außerdem sind Sie hinsichtlich der Risiken nicht realistisch.

Denken Sie auch daran, dass jedes Passwort „Sicherheit durch Dunkelheit“ ist, sodass es nicht immer der „böse Junge“ ist, für den es bestimmt ist. P. >

Ein sinnvoller Ansatz könnte also ein Hybrid sein.

  • Anmeldungen mit geringer Empfindlichkeit – Verwenden Sie einen Kennwortmanager. Die meisten verfügen über verschiedene Schutzfunktionen, um das Risiko der Entführung von Malware-Daten zu verringern. Viele haben dies auch 2-Faktor-Authentifizierungsfunktionen, die viele Probleme mindern. Beispiele : Foren.
  • Anmeldungen mit mittlerer Empfindlichkeit – Verwenden Sie zur Vereinfachung den Kennwortmanager, fügen Sie jedoch 2-Faktor hinzu Authentifizierung für die Sicherheit. Verwenden Sie normalerweise Ihr Telefon oder ein anderes Hardwaregerät, z. B. ein Token. Weiche Token wie Google Authenticator können gut sein, da sie nicht vollständig von einer Hardware abhängig sind. Beispiele : soziale Medien.
  • Hochempfindliche Anmeldungen – Speichern Sie einen Teil des Passworts in Ihrem Passwort-Manager und Verwenden Sie ein Muster, um den Rest in Ihrem Kopf zu behalten, und machen Sie es dennoch für jede Site einzigartig! Verwenden Sie auch 2-Faktor-Authentifizierung, falls verfügbar. Beispiel : Bank- und Finanzwesen

Es gibt sicherlich noch viele weitere Möglichkeiten, dies zu reduzieren. Die Hauptsache ist, vernünftig über die Risiken nachzudenken und das Leben nicht zur Hölle zu machen, nur um zu versuchen, mit einem winzigen Risiko oder einer winzigen Auswirkung umzugehen.

Kommentare

  • Sicherheit durch Dunkelheit bezieht sich auf einen Algorithmus, der versteckt wird, um etwas sicher zu machen, nicht auf ein Geheimnis wie ein Passwort.
  • Übrigens, ich ‚ Ich glaube nicht, dass Sie die Frage wirklich beantwortet haben. Nicht wirklich Ihre Schuld, da das OP ein etwas unvernünftiges Szenario darstellt.
  • @JulianKnight Warum denke ich, bin ich hinsichtlich der Risiken nicht realistisch? Stimmen Sie zu, dass weniger Sicherheit erforderlich ist, z. B. für mein StackExchange-Kennwort, aber was ist mit PIN-Nummern? Mein Kennwortmanager ist hier ‚ nicht hilfreich, und wenn ich sie in irgendeiner Weise aufschreibe Ich könnte für den vollen Schaden haften, wenn meine Brieftasche gestohlen wird und die Bank davon erfährt. Oder sollte ich mir keine Sorgen machen, weil ein Dieb nur drei Versuche hat, also sogar ein sehr einfaches Ad-hoc-Verfahren Kryption reicht aus?
  • Aus dem Q schien es so. Mit PIN ‚ meinen Sie Kredit- / Bankkarten? Meine befinden sich alle in einem sekundären PW-Manager, der nicht Cloud-basiert ist, aber Clients für Mobilgeräte und Desktops hat, sollte ich mich nicht an einen erinnern. Verwenden Sie einen STARKEN Mastercode, an den Sie sich erinnern. Eine seriöse Bank wird Ihnen Kredit für die sichere Verwaltung von Dingen geben – ich weiß, ich habe früher für eine gearbeitet 🙂 In den meisten Ländern haften Sie NICHT, wenn Sie angemessene Sorgfalt zeigen. Sicher nicht in Großbritannien / EU / USA.
  • Das Szenario ist völlig unvernünftig. Passwort-Tresore auf dem Markt erfüllen fast alle Anforderungen von @ user3657600 ‚, jedoch nicht vollständig. Das ist wirklich überraschend. Die Verwendung eines Mobiltelefons wird immer weniger sicher und weniger praktisch sein. ‚ ist definitiv keine Lösung. Aus diesem Grund gibt es ‚ Sicherheitsgeräte. Die Lösung wäre ein Gerät, das als Tastatur (Mooltipass, OnlyKey) für die einfache und interoperable Verwendung auf Computern fungieren kann. Es benötigt eine Anzeige, um das Passwort anzuzeigen, falls Sie ‚ das Gerät nicht als Tastatur verwenden können, z. GELDAUTOMAT. Es muss verschlüsselt und / oder manipulationssicher sein (Mooltipass).

Antwort

Interessante Frage.

Ihre Punkte:

  • sicher gegen kompromittierte Websites, dh wenn jemand die Datenbank von Site A bricht und es schafft, mein Passwort für A im Klartext zu erhalten, sollte er nicht erhalten Informationen zu meinem Kennwort für Site B

  • , die gegen einen kompromittierten lokalen Computer geschützt sind. Wenn also jemand Malware auf meinem Laptop installiert, sollte er weiterhin nicht in der Lage sein, meine PIN-Codes und andere Kennwörter abzurufen die nicht auf dem kompromittierten Computer verwendet werden

  • sicher gegen Diebstahl, dh die Methode sollte keinen physischen Token beinhalten, der es einem Dieb ermöglicht, alle meine zu leeren, wenn er gestohlen wird Konten.

  • tragbar, dh es sollte funktionieren, ohne dass ich vor meinem Computer sitze, zum Beispiel an einem Geldautomaten oder beim Bezahlen in einem Geschäft.

  • gegen Datenverlust geschützt, dh ich möchte bei einem Geräteausfall Backups erstellen können , Diebstahl usw.

  • wäre besonders an einer Methode interessiert, die ich ohne Werkzeug verwenden kann, oder an tragbaren Geräten, die ich einfach / billig auf dem freien Markt kaufen kann. Solange ich einigermaßen sicher sein kann, dass das Gerät meine Passwörter nicht preisgibt.

Nun, es wird nicht schön, aber dies kann das „nicht“ erfüllen vernetzter „Teil und der einfach / kostengünstige Teil.

Kaufen Sie einen Raspberry Pi – vorzugsweise einen Pi 2 B für Geschwindigkeit und RAM oder einen Pi A plus einen USB-Hub, wenn Sie den Ethernet-Port nicht möchten . Kein Pi ist mit Wifi ausgestattet, sodass Sie dort zumindest sicher sind.

Kaufen Sie einen Touchscreen dafür. Richten Sie ihn ein. Und möglicherweise eine tragbare Tastatur / Touchpad-Kombination.

Einstellen Machen Sie es mit Raspbian ohne Swap Space und installieren Sie KeePassX darauf.

Kaufen Sie eine USB-Powerbank wie eine Anker Powercore Sie können den Pi remote ausführen.

Alternativ können Sie auch einen Laptop oder ein Notebook erwerben und die Netzwerkhardware vollständig entfernen. Bei den meisten größeren Geräten handelt es sich um eine Mini-PCIe-Karte, deren Entfernung trivial ist. Ethernet, gut, füllen Sie den Port mit Sekundenkleber. Installieren Sie erneut KeePassX (oder KeePass).

Installieren Sie im Idealfall auch die vollständige Festplattenverschlüsselung von LUKS (Linux) oder Veracrypt (wenn Sie auf Windows bestehen).

Kaufen Sie ein paar FIPS 140 -2 Validierte USB-Speichergeräte wie das billigere Apricorn AEGIS Secure Key USB2.0 (sie haben auch viel größere USB3.0-Laufwerke zu einem etwas höheren Preis)

Legen Sie Ihre KeePassX-Datenbank auf Ihrem Apricorn-Laufwerk ab. Sichern Sie von einem Apricorn zu einem anderen.

Verwenden Sie dieses Gerät und geben Sie Ihr Apricorn nur ein, wenn Sie aktiv Passwörter erhalten. Entfernen Sie das Apricorn immer, sobald Sie fertig sind.

Jetzt haben Sie billige Hardware und überhaupt keine Lieferantenbindung.

Die böswilligen Websites und kompromittierten Computer können nur was bekommen Sie geben sie ein, sie haben nie Zugriff auf die Datenbank.

Wenn beim Ausschalten alles gestohlen wird, muss der Angreifer in erster Linie das Apricorn-Passwort überschreiten (wobei zehn falsche Versuche hintereinander das Passwort löschen) Laufwerk, und es wurde in erster Linie als manipulationssicher bestätigt) und dann auch über das KeePass-Kennwort hinaus.

Es ist tragbar – tragbarer als alte Bagphones, selbst mit dem Raspberry Pi + Batterie + Tastaturbeispiel.

Es ist sicher gegen Datenverlust – Kopie von Apricorn A nach Apricorn B zu Hause, Apricorn C in einem Safe usw.

Antwort

Sie können die neue PI-Null verwenden, um genau das zu tun. Der niedrige Formfaktor macht es aus genau diesem Grund ideal als Peripheriegerät. Denken Sie auch daran: Sie brauchen nicht alle Ihre Passwörter bei sich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.