Несколько вопросов о том, как быть более безопасным с паролями (lastpass, onepassword, двухэтапная аутентификация)
Я смотрю на следующее:
1password (люблю пользовательский интерфейс, не обращайте внимания на цену), lastpass (люблю yubikey, ненавижу интерфейс), keepass (ненавижу интерфейс еще больше).
Я хочу использовать 1password, однако я боюсь следующего сценария, потому что мой GMail недавно был "взломан".
У меня 2 компьютера + iPhone. (один MBP, один компьютер).
Я не беспокоюсь о своем MBP, но если я синхронизирую свой файл 1password в Dropbox между компьютерами, и кто-то завладеет моим компьютером, они смогут потенциально записать мой главный пароль и затем получить мой файл из Dropbox, а затем они будет иметь доступ ко всему в списке паролей.
Я слишком параноидален, чтобы думать об этом, или это тот тип вектора, которого стоит бояться? Из-за этого у меня возникает ощущение, что я действительно хочу многофакторный метод аутентификации, чтобы действительно защитить меня.
Мысли?
3 ответа
Предлагаемый вами сценарий теоретически возможен. Вы можете минимизировать риск, используя клиент Dropbox, а не доступ к Dropbox через Интернет. Ваша учетная запись будет предварительно связана с вашим компьютером, и вы не будете вводить пароль Dropbox, поэтому у них мало шансов получить его с помощью кейлоггера. Другой возможностью является сохранение базы данных паролей на USB-ключе, зашифрованном Truecrypt, или каким-либо образом зашифрованным на вашем iPhone, а не в онлайн-сервисе обмена файлами, что еще более усложняет получение вашего файла паролей, поскольку он никогда не будет храниться где-либо кроме того, где вы физически. Конечно, если у них достаточно прав для установки кейлоггера, у них вполне может быть достаточный доступ, чтобы в любом случае получить файл вашей базы данных из локального хранилища.
Если вы хотите полностью отказаться от менеджеров паролей, но при этом иметь запоминающиеся пароли, я рекомендую подход, предложенный исследователем безопасности Кембриджского университета Россом Андерсоном. Создайте пароли, используя первую букву длинных фраз, поскольку это позволит вам создавать длинные (то есть трудно взломанные) пароли, которые все еще запоминаются. Я на самом деле использую эту технику (с модификациями для увеличения энтропии, включая числа и знаки препинания), чтобы создать очень надежные мастер-пароли, которые я помню. См. http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf для получения дополнительной информации.
Любая мера безопасности, которую вы принимаете, будет компромиссом между удобством и безопасностью. Сильно параноидальный пользователь никогда не будет вводить свои пароли с машины, которой он не управляет, а только отправляет пароли через Интернет по https. Естественно, это ограничит количество мест, из которых вы можете получить доступ к защищенным паролем материалам.
Если вы не считаете, что кому-то особенно нужны ваши конкретные данные, скорее всего, любые атаки на безопасность вашего пароля будут низкоуровневыми тралами для низко висящих фруктов. Таким образом, хакер, скорее всего, будет использовать автоматизированные инструменты и вряд ли пойдет на особые усилия, чтобы выяснить, какой менеджер паролей вы используете, захватить файл паролей и т. Д. Если вы считаете, что вы, вероятно, являетесь жертвой атаки, запоминание отдельных паролей с высокой энтропией для всех ваших конфиденциальных учетных записей и доступ к ним только с компьютеров, которые вы контролируете с использованием новейших антивирусных и антивирусных программ, вероятно, является лучшим способом продвижения вперед.
Используйте хранитель паролей (те, что вы упомянули, хорошо... я использую keepass) и сделайте мастер-пароль словами к песне, что не может быть нарушено с помощью автоматизации в любое разумное время. И несколько цифр до конца.
Здесь важная часть. Для каждого веб-сайта или системы, которые вы используете, создайте отдельный пароль, используйте автоматически сгенерированный пароль из используемой вами программы и создайте разные для каждого сайта. Не пытайтесь иметь пароли, которые вы можете запомнить, кроме вашей программы. Глупо иначе.
Паранойя - это основа хорошего управления паролями - если вам нужен пароль для чего-то, тогда паранойя уместна (особенно, когда речь идет о интернете).
Что касается паролей, использование одного и того же пароля более чем в одном месте может увеличить риск использования темным хакером, который определяет, какой из ваших паролей является. Проблема с парольными механизмами возникает, когда кто-то другой завладевает ими (что, в принципе, та же проблема, когда кто-то получает доступ к мастеру списка паролей).
К сожалению, безопасность пароля - это социальная проблема, которую технология никогда не сможет решить полностью, согласно известной поговорке "где есть желание, там есть выход". Тот факт, что вы обеспокоены этим, является хорошей вещью.