Немного вопросов о том, как быть более безопасным с паролями (lastpass, onepassword, 2 автора шага)
Я смотрю на следующее:
1password (любят UI, не возражайте против цены), lastpass (любите yubikey, ненавидьте интерфейс), keepass (ненавидьте интерфейс еще больше).
Я хочу использовать 1password однако, я боюсь следующего сценария, потому что мой Gmail недавно был "взломан".
У меня есть 2 компьютера + iPhone. (один MBP, один ПК).
Я не волнуюсь по поводу своего MBP, но если бы я синхронизирую мой 1password файл в Dropbox между компьютерами, и кто-то хватает моего ПК, они смогли бы потенциально keylog мой основной пароль и затем получили бы мой файл из Dropbox затем, у них будет доступ ко всему в списке паролей.
Действительно ли я слишком параноик, чтобы думать, что, или то, что тип вектора что-то, чтобы бояться? Из-за этого это заставляет меня чувствовать, что я действительно хочу, чтобы метод многофакторной аутентификации действительно защитил меня.
Мысли?
0 ответов
Сценарий, который Вы предлагаете, теоретически возможен. Можно минимизировать риск его при помощи клиента Dropbox вместо того, чтобы получить доступ к Dropbox по сети. Ваша учетная запись будет предварительно связана с Вашим компьютером, и Вы не будете вводить в своем пароле Dropbox, таким образом, будет мало шанса того, что они захватывали его с клавиатурным перехватчиком. Другая возможность состоит в том, чтобы сохранить Вашу базу данных пароля по Truecrypt, зашифровал флеш-карту или зашифровал в некотором роде на Вашем iPhone, а не сервисе совместного доступа к файлам онлайн, делая это еще более хитрым для овладения файлом паролей, поскольку это никогда не будет храниться нигде кроме того, где Вы физически. Конечно, если у них есть достаточно доступа для установки клавиатурного перехватчика, у них может быть достаточно доступа для захвата файла базы данных от локального устройства хранения данных так или иначе.
Если Вы хотите избежать менеджеров паролей полностью, но все еще иметь незабываемые пароли, то я рекомендую подход, защищенный исследователем в области безопасности Кембриджского университета Ross Anderson. Создайте пароли при помощи первой буквы длинных фраз, поскольку это позволит Вам генерировать долго (т.е. трудный расколоться) пароли, которые все еще незабываемы. Я на самом деле использую эту технику (с модификациями для увеличения энтропии включением чисел и пунктуации) для создания основных паролей, которые очень безопасны, который я могу помнить. Дополнительную информацию см. в http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf.
Любые меры безопасности Вы взятие будут компромиссом между удобством и безопасностью. Очень параноидальный пользователь никогда не будет вводить их пароли от машины, которой они не управляют и только когда-либо отправляют пароли по Интернету через https. Естественно это ограничит количество мест, от которых можно получить доступ защищенному паролем материалу.
Если Вы не думаете, что кто-то, особенно вероятно, захочет Ваши определенные данные, возможности являются любыми нападениями на Вашу безопасность пароля, будут низкоуровневые тралы для низко висящего плода. Как таковой хакер, вероятно, будет использовать автоматизированные инструменты и вряд ли перейдет к специальному усилию по разработке, какой менеджер паролей Вы используете, захватывая файл паролей и т.д. Если Вы думаете, что, вероятно, будете жертвой целенаправленных нападений, помня отдельные высокие энтропийные пароли за все Ваши чувствительные учетные записи, и только получая доступ к ним от ПК, которыми Вы управляете с актуальным антивирусом, и антивирус является, вероятно, наилучшим путем вперед.
Используйте хранителя пароля (те, Вы упоминаете, прекрасны... Я использую keepass), и сделайте основной пароль словами к песне, что-то, что не могло быть нарушено с автоматизацией ни в каком виде разумного срока. И несколько чисел в конец.
Вот важная часть. Для каждого веб-сайта или системы Вы используете, делают другой пароль, используют автоматический сгенерированный из программы, Вы используете и делаете различные для каждого сайта. Не пытайтесь иметь пароли, которые можно помнить за исключением программы. Это - безумие иначе.
Паранойя является основой хорошего управления паролями - если у Вас должен быть пароль для чего-то, затем паранойя является соответствующей (особенно, где Интернет включен).
Относительно паролей, с помощью того же пароля в больше, чем месте может увеличить риск эксплуатации темным хакером, который определяет, каков один из паролей. Проблемы с механизмами пароля состоят в том, когда кто-то еще хватает их (который является в основном той же проблемой с кем-то получающим доступ к ведущему устройству списка паролей).
К сожалению, безопасность пароля является социальной проблемой, которую технология никогда не будет мочь решить полностью согласно известному высказыванию, "где существует желание, существует путь". То, что Вы обеспокоены этим, является хорошей вещью.