it-swarm.dev

Gestione password vs ricordare le password

Ho sempre pensato che non dovresti usare un gestore di password ma per mantenere le tue password in testa, ma ultimamente ho pensato ai pro e ai contro di avere un gestore di password.

Alcune aree potrebbero essere: lunghezza della password, prevenzione del key logger, entropia tra password, accessibilità.

(Sto non chiedo come creare una password difficile ma memorabile! Potrebbe essere una parte della soluzione ma non l'intera domanda.)

Infine, esiste un modo per combinarli: mantieni la metà nel gestore e digita l'altro, per evitare i key logger.

50
KilledKenny

Ho scritto l'ultimo anno sui pro e contro dei gestori password:

Pro:

  • Grande equilibrio tra convenienza e sicurezza: le persone tendono a scegliere password semplici e a riutilizzare la stessa password (o base) perché ce ne sono così tante e devi immetterle così spesso. Con 1Password o Lastpass puoi generare una password veramente sicura (almeno per i tuoi account critici) ma avere comunque la comodità di averla compilata automaticamente o almeno disponibile scritta sul tuo telefono. Un vero vantaggio è anche in cose come domande segrete, questo è comunemente un punto debole in cui una password davvero forte ha un dizionario di 5 lettere di Word come risposta segreta a una domanda. Ora puoi anche generare forti risposte a domande segrete

  • Portabilità: il problema con l'utilizzo della funzione di salvataggio della password del browser è che, a meno che non lo abbini a qualcosa come Google o Firefox Sync, non sia portatile. Anche allora al momento non è disponibile sul tuo telefono (almeno non sull'iPhone, non sono sicuro che il Android ha la sincronizzazione di Google)

  • Archiviazione sicura: le informazioni sensibili vengono crittografate nell'archiviazione e protette da una password principale. È molto meglio che scriverlo da qualche parte o archiviarlo in una nota o in un foglio di calcolo non crittografato

  • Non solo per le password: puoi archiviare dettagli bancari, numeri di assicurazione, carte di credito, numeri di passaporto, ecc. Che possono farti risparmiare tempo inserendo questi dettagli e fornendoti un accesso sicuro ai dettagli in movimento. Puoi anche archiviare file come scansioni dei tuoi documenti o chiavi private

  • Migliora la tua memoria: su siti che non uso quasi mai e su siti governativi con quei nomi utente complicati che non ricordo mai questi dettagli. Avvia iPhone, 1Password e tutto a portata di mano con una semplice ricerca

  • Le persone aggiungono anche anti-phishing/anti-malware a questo elenco ma quello con cui non sono d'accordo. Devi ancora inserire la tua password principale che il malware può catturare, se ce l'hai sul tuo telefono e inserisci di nuovo la password che può essere catturata. Se avvii siti Web dallo strumento, suppongo che potrebbe essere anti-phishing, ma è lo stesso che digitarlo direttamente o utilizzare i tuoi segnalibri

Contro:

  • Singolo punto di errore, chiavi del regno: se sincronizzi il tuo portachiavi con il telefono o lo hai sul desktop o sul laptop, alcuni potrebbero accedervi. Se la tua password principale è debole, perdi tutto in una volta sola. Per quanto ne so 1Password non offre un'opzione di autenticazione a due fattori basata su hardware per la password principale che ridurrebbe il rischio in modo significativo. Lastpass offre l'utilizzo di yubikey come meccanismo a due fattori, ma poiché Lastpass ha un'applicazione Web può risentire delle vulnerabilità delle applicazioni Web (ad es. XSS) che potrebbero lasciare scoperti i dettagli del tuo account e nel peggiore dei casi le password.

  • Termini e condizioni: tecnicamente sta ancora 'scrivendo una password'. Questo forse contro i termini e le condizioni su cose come il tuo sito Internet Banking. Ciò può ridurre o rimuovere qualsiasi protezione ottenuta in caso di frode. Puoi sempre controllare questo e non memorizzare la password per questi siti

  • Fiducia nel cloud: si suppone che sia crittografato nell'archiviazione, ma se si sincronizzano i dati alcune persone non si fideranno mai del fatto che 1Password o Lastpass non hanno una backdoor, consentendo potenzialmente a un dipendente malizioso o scontento di accedere. Tutti i software presentano vulnerabilità, ancora una volta grave potrebbe consentire a un utente malintenzionato di accedere ai tuoi dati

Un'altra opzione è quella di utilizzare un vault password memorizzato in un dispositivo crittografato hardware come un Ironkey. Le versioni sono dotate di un gestore di password caricato. È un po 'meno conveniente in quanto è necessario collegarlo a un'unità USB e avere accesso in lettura a questo, ma è sicuramente più sicuro. Riduce alcuni dei rischi evidenziati sopra, è crittografato hardware e memorizzato solo sul dispositivo. Inoltre, se Ironkey si trova sulla tua catena chiave fisica, avrai molte meno probabilità di perderlo rispetto al tuo telefono o laptop. Puoi anche distruggerlo a distanza se riesci a perderlo.

Per la distruzione remota online è necessaria la versione aziendale della chiave. La distruzione remota è una funzionalità della console di gestione. Quando la chiave è inserita, si collega a casa. Se la distruzione è stata attivata, a quel punto diventa inutilizzabile e tutti i dati vengono effettivamente persi (credi cestinando le chiavi di decrittazione). Esiste anche una modalità offline (simile a un iPhone), in cui è possibile impostarla per l'autodistruzione automatica dopo 10 tentativi falliti di password principale.

Conclusione

Nel complesso, credo che i professionisti superino i contro. Se non hai alcuna opzione per l'autenticazione a due fattori, la tua unica difesa è avere una password sicura. L'uso di un vault password lo rende molto più pratico e conveniente.

Non vi è alcun motivo per cui non sia possibile conservare metà della password in un gestore di password e ricordare il resto, renderebbe più difficile per un key logger acquisire la password, tuttavia il compromesso per l'usabilità potrebbe non valerne la pena. Un'opzione migliore forse per usare due fattori per le tue informazioni veramente sensibili e un gestore di password per il resto

46
Rakkhi

Se qualcuno ha effettuato il root della tua casella, penso che possano ottenere le tue password da entrambi i metodi senza troppi sforzi. Saranno in grado di ottenere il file delle password per il gestore delle password e la password per quel file tramite un keylogger. Se utilizzi solo password memorizzate, queste verranno raccolte nel tempo man mano che le digiti.

Se qualcuno ha accesso fisico al tuo computer per installare e recuperare un keylogger, allora può accedere al tuo computer if hanno accesso fisico per un tempo significativo. Se non hanno abbastanza tempo per farlo, allora saresti più sicuro con il gestore delle password in quanto non hanno il tuo file di password (solo la password ad esso). Se hanno tempo per ottenere l'accesso come root alla tua casella e consentire l'accesso remoto da usare a loro piacimento, allora sei nella stessa posizione del primo paragrafo.

Se ci pensate in questo modo, c'è ben poco che qualcosa che la memorizzazione detenga sui gestori di password. E che tu e le tue password veniate nascosti se qualcuno nefasto ha accesso fisico OR è possibile eseguire il root del computer in remoto. Prevenire questi due attacchi è la chiave.

Per prima cosa hai bisogno di una buona sicurezza fisica per prevenire attacchi fisici. Quindi è necessario prevenire gli attacchi remoti: implementare una buona sicurezza perimetrale della rete, abilitare un minimo di servizi e avere buone pratiche di sicurezza per quelli che non hai altra scelta che abilitare. Inoltre, esercita le tue abitudini di navigazione in sicurezza, mantieni il tuo computer regolarmente aggiornato, ecc. Cioè le misure preventive che ti impediscono di radicarti in primo luogo. Ed è necessario disporre di backup nel caso in cui venga effettuato il root. Se vieni rootato, dovresti supporre che devi cambiare ogni password indipendentemente dal fatto che tu usi o meno un gestore di password.

L'unica cosa che la memorizzazione ti acquista IMO è forse un po 'di tempo prima che qualcuno registri le tue password importanti. Ti sacrifichi molto per questo. La memorizzazione non è scalabile. Più siti utilizzi (e man mano che il web pervade le nostre vite, cresce la necessità di più nomi utente e password), maggiore è il numero di cose per cui hai bisogno di password. E traggono sempre più vantaggio dall'essere forti. Per renderli forti è necessario un grande sforzo da parte dell'utente, oltre a rendere difficile la memorizzazione. Oppure, se li scrivi su un foglio di carta, hai lo stesso problema del gestore password, tranne per il fatto che è più difficile eseguire il backup e la sincronizzazione, più evidente, più facile da collocare in modo errato, in testo normale, ecc. E devi digitarli in ogni momento, piuttosto che copiare e incollare.

Almeno l'uso di un gestore di password ti dà la possibilità di avere password molto forti e diverse per ogni sito su Internet che usi (che può essere molte). E anche la possibilità di ricordare facilmente i diversi nomi utente, insieme alle note sui siti specifici. Se memorizzi una password complessa per il tuo gestore delle password, devono essere in grado di ottenere i tasti in qualche modo per utilizzare il tuo file, o hanno bisogno del tuo file per utilizzare i tasti.

7
user1971

Le cose sono cambiate molto in 10 anni. Quindi quasi tutte le risposte sono obsolete nel post precedente. In questi ultimi anni, uso sicuramente un gestore chiavi invece di ricordare le chiavi per i servizi online. Ma conserva i segreti locali in un modo/luogo separato. Ci sono 2 direzioni principali in cui i tuoi segreti possono essere compresi.

  1. Da Internet. Ciò significa che i servizi online che stai utilizzando sono stati violati o costretti a rivelare il tuo pass.
  2. Il tuo sistema locale è stato compromesso: malware, furto fisico, rapina ...

È difficile dire quale direzione sia più rischiosa al giorno d'oggi in generale. Ma devo dire che il secondo rischio è molto meno per un utente responsabile. Un utente responsabile non farà:

  1. mantenere segreti su qualsiasi dispositivo come testo normale.
  2. lascia che gli altri utilizzino i tuoi account.
  3. dimentica di conservare il backup dei tuoi segreti in modo crittografato.
  4. utilizzare la stessa password per più di 3 mesi
  5. disabilitare il firewall e il software antimalware per comodità
  6. dimentica di aggiornare le patch di sicurezza per il tuo sistema ...

Se sono stati ottenuti più dispositivi dagli autori. Non riescono ancora a sbloccare nulla in un breve periodo di tempo (diversi anni) poiché non dispongono delle chiavi principali. Quindi, dopo questo, un utente responsabile cambierà le sue password al più presto (in pochi giorni). Quindi tutto torna alla normalità. Ci si potrebbe chiedere, e se fossimo stati costretti a rinunciare al master pass? Bene, in questo caso, abbiamo fatto una cazzata comunque. Possono persino costringerti a trasferire i tuoi beni direttamente senza preoccuparti di spremerti per le password. Se ritieni di essere sempre in quel rischio, c'è solo una cosa che potresti trovare utile: usare una crittografia plausibilmente negabile.

D'altra parte, il 1 ° rischio non è ciò che è sotto il nostro controllo. E questo succede molto negli ultimi anni. Non puoi davvero evitarlo. L'unica cosa che possiamo fare è ridurre al minimo il danno. In teoria, nessuno può ricordare più di dozzine di password e continuare a cambiarle ogni pochi mesi. Pertanto, se non utilizziamo il gestore delle password, è più probabile che tu debba condividere passphrase simili tra servizi diversi. Ciò offre agli autori le possibilità di accedere facilmente agli altri account dopo aver attaccato con successo un servizio. Pertanto il rischio qui è molto elevato. Utilizzando Gestione password è possibile generare caratteri casuali per la password ogni poche settimane. Anche tu non saresti in grado di indovinare la tua password. Quindi abbiamo limitato gli smarriti in un solo account. @Rakkhi era preoccupato per le copie multiple di portachiavi su diversi dispositivi che possono compromettere tutto dopo aver effettuato l'accesso fisico. Questo rischio è molto basso negli ultimi anni, dal momento che abbiamo menzionato nella seconda direzione di attacco. Inoltre, non hai nemmeno più bisogno di conservare i tuoi portachiavi su altri dispositivi. In una situazione di idea, mantieni i gestori di password sul PC principale solo in un luogo sicuro. Tutti gli altri dispositivi possono utilizzare il passaggio di applicazione/dispositivo fornito dal proprio fornitore di servizi. La password dell'app è una passphrase casuale generata dal tuo fornitore di servizi come MS, Google, Facebook, ecc. Queste password dell'app vengono salvate sul tuo dispositivo crittografate dal meccanismo di sblocco/blocco del dispositivo. Normalmente ogni dispositivo avrà diversi set di password casuali per le app. È possibile revocare tali password dalle pagine Web dei provider di servizi. Quindi anche qualcuno è riuscito a entrare nel tuo unico dispositivo mobile, potrebbe ottenere l'accesso per alcuni minuti, ma puoi disabilitare l'accesso di quel dispositivo ai tuoi account al più presto. Se hai impostato correttamente la crittografia del tuo dispositivo come impronte digitali o disegni, non saranno nemmeno in grado di accedere ai tuoi dati per un lungo periodo, come menzionato nel secondo rischio.

Quindi la conclusione è: dovresti assolutamente usare la gestione password su un dispositivo master, configurare la password dell'app per altri dispositivi ed essere un utente responsabile.

1
Wang

Rakkhi fa un'ottima presentazione dei pro e dei contro dei gestori di password. Per aggiungere a questo e per rispondere alla tua domanda se gli approcci possono essere combinati, c'è un modo semplice per farlo. È possibile utilizzare un gestore di password per annotare password complesse che sarebbero troppo difficili da ricordare ma aggiungere una misura aggiuntiva di protezione memorizzando un semplice algoritmo per trasformare le password.

Uno di questi algoritmi è concatenare parte del nome del servizio con la tua password (alcuni lo chiamano salting, ma non sono sicuro che sia appropriato in questo caso).

Ad esempio, supponiamo che il tuo gestore di password ti dia "Aw! EI10". come password di Facebook, la password effettiva potrebbe essere "FB-Aw! eI10". . Il costo di tale metodo sull'usabilità è semplice (ricordati di digitare il tuo algoritmo, quindi incolla la password dal tuo gestore) e potrebbe scoraggiare qualcuno che ha messo le mani sul tuo gestore di password, o almeno darti abbastanza tempo per andare a resettare le tue password se ti rendi conto che il tuo manager è stato compromesso.

0
Bushibytes