Einige Fragen dazu, wie Sie mit Passwörtern sicherer sind (Lastpass, ein Passwort, 2-stufige Authentifizierung)

645
Daniel Fischer

Ich schaue mir folgendes an:

1password (liebe die Benutzeroberfläche, kümmere mich nicht um den Preis), lastpass (liebe Yubikey, hasse das Interface), keepass (hasse das Interface noch mehr).

Ich möchte 1password verwenden, aber ich habe Angst vor dem folgenden Szenario, weil meine GMail kürzlich "gehackt" wurde.

Ich habe 2 Computer + iPhone. (ein MBP, ein PC).

Ich mache mir keine Sorgen um meinen MBP, aber wenn ich meine 1-Passwort-Datei in Dropbox zwischen den Computern synchronisiere und jemand von meinem PC die Kontrolle bekommt, können sie möglicherweise mein Master-Passwort keyloggen und dann meine Datei von Dropbox abrufen hätte Zugriff auf alles in der Passwortliste.

Bin ich zu paranoid, um das zu denken, oder ist diese Art von Vektor etwas, vor dem man Angst haben muss? Aus diesem Grund habe ich das Gefühl, ich möchte wirklich eine Multi-Faktor-Authentifizierungsmethode, um mich wirklich zu schützen.

Gedanken?

4

3 Antworten auf die Frage

5
Christi

Das von Ihnen vorgeschlagene Szenario ist theoretisch möglich. Sie können das Risiko minimieren, indem Sie den Dropbox-Client verwenden, anstatt über das Web auf Dropbox zuzugreifen. Ihr Konto wird bereits mit Ihrem Computer verknüpft und Sie geben Ihr Dropbox-Kennwort nicht ein. Daher besteht kaum eine Chance, dass sich das Konto mit einem Keylogger ergreift. Eine andere Möglichkeit besteht darin, Ihre Kennwortdatenbank auf einem Truecrypt-verschlüsselten USB-Schlüssel oder auf irgendeine Art und Weise auf Ihrem iPhone und nicht in einem Online-Dateifreigabedienst zu speichern. Dies macht es noch schwieriger, Ihre Kennwortdatei zu erhalten, da sie niemals irgendwo gespeichert wird außer wo du physisch bist. Wenn sie über genügend Zugriff verfügen, um einen Keylogger zu installieren, haben sie möglicherweise auch genügend Zugriff, um Ihre Datenbankdatei trotzdem aus Ihrem lokalen Speicher zu holen.

Wenn Sie Kennwortmanager vollständig vermeiden und dennoch einprägsame Kennwörter verwenden möchten, empfehle ich die Vorgehensweise des Sicherheitsforschers Ross Anderson der Universität Cambridge. Erstellen Sie Kennwörter mit dem Anfangsbuchstaben langer Sätze, da Sie damit lange (dh schwer zu knackende) Kennwörter generieren können, die noch einprägsam sind. Ich verwende diese Technik (mit Modifikationen zur Erhöhung der Entropie durch Einfügen von Zahlen und Satzzeichen), um Master-Passwörter zu erstellen, die sehr sicher sind und an die ich mich erinnern kann. Weitere Informationen finden Sie unter http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf .

Jede Sicherheitsmaßnahme, die Sie ergreifen, ist ein Kompromiss zwischen Bequemlichkeit und Sicherheit. Ein äußerst paranoider Benutzer wird seine Passwörter niemals von einem Computer eingeben, den er nicht kontrolliert, und er wird nur per https über das Internet gesendet. Natürlich wird dadurch die Anzahl der Orte begrenzt, von denen aus Sie auf Ihre passwortgeschützten Inhalte zugreifen können.

Wenn Sie nicht der Meinung sind, dass jemand Ihre spezifischen Daten besonders wahrscheinlich haben möchte, besteht die Gefahr, dass Angriffe auf die Sicherheit Ihres Passworts nur durch Schleppnetze verursacht werden. Aus diesem Grund verwendet der Hacker wahrscheinlich automatisierte Tools, und es ist unwahrscheinlich, dass er sich besonders anstrengen muss, um herauszufinden, welchen Passwort-Manager Sie verwenden, die Passwortdatei zu packen usw. Wenn Sie denken, dass Sie wahrscheinlich Opfer eines Ziels werden Angriffe, die Erinnerung an separate Kennwörter mit hoher Entropie für alle Ihre sensiblen Konten, und der Zugriff auf sie nur von PCs, die Sie mit aktueller Antiviren- und Antivirensoftware kontrollieren, ist wahrscheinlich der beste Weg.

Der Teil, über den ich mir Sorgen mache, ist nicht so sehr, dass Dropbox ein Kennwort erfordert. Es ist die Tatsache, dass, da mein PC oder MBP bereits "vorauthentifiziert" ist, die Ordner als normales System angezeigt werden. Wenn also jemand Zugriff auf meine HD hat, entweder durch eine Hintertür oder physisch, könnte er die "Master-Passwortliste" kopieren und dann wahrscheinlich auch mein Master-Passwort durch einen ähnlichen Vektor erhalten. Daniel Fischer vor 13 Jahren 0
Wenn man oben auf etwas eingeht, scheint es das einzig sichere zu sein, es auf einem "USB" -Laufwerk zu halten, das ebenfalls verschlüsselt ist. Es sei denn, ich hatte eine Multifaktor-Authentifizierung mit 1Passwort, aber das scheint nicht möglich zu sein. Daniel Fischer vor 13 Jahren 0
Excellent answer. Regarding "... A highly paranoid user will never enter their passwords from a machine they do not control ...," this is where OTP (One-Time Passwords) can actually be very helpful since after one use the password is no longer valid (although this still doesn't resolve the other potential problems associated with using an uncontrolled computer): http://en.wikipedia.org/wiki/One-time_password Randolf Richardson vor 13 Jahren 0
@ user29336 Die Verwendung eines USB-Laufwerks zum Speichern Ihrer Kennwortdatei würde das Risiko weiter verringern. Wenn Ihr Computer jedoch gefährdet ist, hindert der Angreifer die Datei nicht vom USB-Schlüssel. Alles was Sie tun, ist das Angriffsfenster etwas weiter zu reduzieren. Wie ich oben schon sagte, ist dies ein Handelskomfort für eine Verbesserung der Sicherheit, aber er kann Angriffe nicht vollständig verhindern. Christi vor 13 Jahren 0
1
pcunite

Verwenden Sie einen Passwort-Keeper (die, die Sie erwähnen, ist in Ordnung ... ich verwende keepass) und machen Sie aus dem Master-Passwort die Wörter für ein Lied, etwas, das mit der Automatisierung nicht in einer vernünftigen Zeit verletzt werden könnte. Und ein paar Zahlen bis zum Ende.

Hier ist der wichtige Teil. Verwenden Sie für jede Website oder jedes System, das Sie verwenden, ein anderes Kennwort, verwenden Sie das automatisch erstellte aus dem Programm, das Sie verwenden, und erstellen Sie für jede Website ein anderes. Versuchen Sie nicht, Kennwörter zu verwenden, die Sie sich merken können, außer für Ihr Programm. Anders ist es Unsinn.

1
Randolf Richardson

Paranoia ist die Grundlage für ein gutes Passwort-Management. Wenn Sie ein Passwort für etwas benötigen, ist Paranoia angebracht (besonders wenn es um das Internet geht).

In Bezug auf Kennwörter kann die Verwendung desselben Kennworts an mehr als einem Ort das Risiko einer Ausnutzung durch einen dunklen Hacker erhöhen, der bestimmt, was eines Ihrer Kennwörter ist. Das Problem mit Passwortmechanismen ist, wenn jemand anderes von ihnen Gebrauch macht (was im Grunde das gleiche Problem ist, wenn jemand Zugriff auf eine Liste von Passwörtern erhält).

Leider ist die Passwortsicherheit ein soziales Problem, das die Technologie niemals vollständig lösen kann, wie das Sprichwort "Wo ein Wille ist, es gibt einen Weg." Die Tatsache, dass Sie sich darüber Sorgen machen, ist eine gute Sache.

As a side-note: If you do keep a list of passwords somewhere, make sure you keep that file encrypted. Although there are many solutions, you may find that http://www.TrueCrypt.org/ (free and open source) is the most convenient because it can encrypt your entire hard drive (including your bootable drive), or a small virtual hard disk that resides in a file of whatever size you specify (unlike many hard drive encryption tools, there's no backdoor for "the feds" with a court-order/subpoena): http://www.truecrypt.org/ Randolf Richardson vor 13 Jahren 0

Verwandte Probleme