4

Я смотрю на следующее:

1password (люблю пользовательский интерфейс, не обращайте внимания на цену), lastpass (люблю yubikey, ненавижу интерфейс), keepass (ненавижу интерфейс еще больше).

Я хочу использовать 1password, однако я боюсь следующего сценария, потому что мой GMail недавно был "взломан".

У меня 2 компьютера + iPhone. (один MBP, один компьютер).

Я не беспокоюсь о своем MBP, но если я синхронизирую свой файл 1password в Dropbox между компьютерами, и кто-то завладеет моим компьютером, они смогут потенциально записать мой главный пароль и затем получить мой файл из Dropbox, затем они будет иметь доступ ко всему в списке паролей.

Я слишком параноидален, чтобы думать об этом, или это тот тип вектора, которого стоит бояться? Из-за этого у меня возникает ощущение, что я действительно хочу многофакторный метод аутентификации, чтобы действительно защитить меня.

Мысли?

3 ответа3

5

Предлагаемый вами сценарий теоретически возможен. Вы можете минимизировать риск, используя клиент Dropbox, а не доступ к Dropbox через Интернет. Ваша учетная запись будет предварительно связана с вашим компьютером, и вы не будете вводить свой пароль Dropbox, поэтому у них мало шансов получить его с помощью кейлоггера. Другая возможность - сохранить базу данных паролей на USB-ключе, зашифрованном Truecrypt, или каким-либо образом зашифрованным на вашем iPhone, а не онлайн-сервисом для обмена файлами, что еще более усложняет получение вашего файла паролей, так как он никогда не будет храниться где-либо кроме того, где вы физически. Конечно, если у них достаточно прав для установки кейлоггера, у них вполне может быть достаточный доступ, чтобы в любом случае получить файл вашей базы данных из локального хранилища.

Если вы хотите полностью отказаться от менеджеров паролей, но при этом иметь запоминающиеся пароли, я рекомендую подход, предложенный исследователем безопасности Кембриджского университета Россом Андерсоном. Создайте пароли, используя первую букву длинных фраз, поскольку это позволит вам создавать длинные (то есть трудно взломанные) пароли, которые все еще запоминаются. Я на самом деле использую эту технику (с модификациями для увеличения энтропии, включая числа и знаки препинания), чтобы создавать очень надежные мастер-пароли, которые я помню. См. Http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf для получения дополнительной информации.

Любая мера безопасности, которую вы принимаете, будет компромиссом между удобством и безопасностью. Сильно параноидальный пользователь никогда не будет вводить свои пароли с машины, которую он не контролирует, и только когда-либо отправляет пароли через Интернет через https. Естественно, это ограничит количество мест, из которых вы можете получить доступ к защищенным паролем материалам.

Если вы не думаете, что кому-то особенно нужны ваши конкретные данные, скорее всего, любые атаки на безопасность вашего пароля будут низкоуровневыми тралами для низко висящих фруктов. Таким образом, хакер, скорее всего, будет использовать автоматизированные инструменты и вряд ли пойдет на особые усилия, чтобы выяснить, какой менеджер паролей вы используете, захватить файл паролей и т.д. Если вы считаете, что, скорее всего, станете жертвой целенаправленных атак, лучшим способом продвижения вперед, вероятно, будет запоминание отдельных паролей с высокой энтропией для всех ваших конфиденциальных учетных записей и доступ к ним только с компьютеров, которые вы контролируете с использованием новейших антивирусных и антивирусных программ.

1

Используйте хранитель паролей (те, которые вы упоминаете, в порядке ... Я использую keepass) и делаю мастер-пароль словами к песне, что не может быть нарушено с помощью автоматизации в любое разумное время. И несколько цифр до конца.

Здесь важная часть. Для каждого сайта или системы, которые вы используете, создайте свой пароль, используйте автоматически сгенерированный пароль из используемой вами программы и создайте разные для каждого сайта. Не пытайтесь иметь пароли, которые вы можете запомнить, кроме вашей программы. Глупо иначе.

1

Паранойя - это основа хорошего управления паролями - если вам нужен пароль для чего-то, тогда паранойя уместна (особенно, когда речь идет о интернете).

Что касается паролей, использование одного и того же пароля более чем в одном месте может увеличить риск использования темным хакером, который определяет, какой из ваших паролей является. Проблема с парольными механизмами заключается в том, что кто-то другой завладевает ими (что, в принципе, та же проблема, когда кто-то получает доступ к мастеру списка паролей).

К сожалению, безопасность пароля - это социальная проблема, которую технология никогда не сможет полностью решить, как гласит известная поговорка «где есть желание, там есть выход». Тот факт, что вы обеспокоены этим, является хорошей вещью.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .