Domanda:
La conversazione segreta di WhatsApp o Facebook Messenger è un metodo ragionevole per trasferire le password?
Tim
2017-05-30 01:26:03 UTC
view on stackexchange narkive permalink

Ho l'account Netflix nella nostra famiglia, il che significa che ho la password.

È una password sicura, con 16 caratteri, inclusi simboli, numeri e maiuscolo, ad esempio 3? TeJ) 6RK] 4Z_a>c , che ha circa 80 bit di entropia.

Tuttavia, devo condividere questa password con altri membri della famiglia, in modo che possano anche accedervi. Usare la conversazione segreta di WhatsApp o Facebook Messenger è un metodo accettabile per questo?

Esistono metodi migliori?

Cerchiamo di [continuare questa discussione in chat] (http://chat.stackexchange.com/rooms/59640/discussion-between-tim-and-restioson).
Solo perché non posso leggerlo senza dirlo ... Quella password è inutilmente difficile, 4 parole combinate farebbero altrettanto e non dovrai condividerla (poiché possono ricordarla perché non è un gruppo casuale dipersonaggi).https://xkcd.com/936/
@EpicKip Questo è emerso nei commenti che sono stati rimossi: in realtà è più sicuro delle quattro parole (questo è 80 bit di entropia) mentre 4 parole sono 48. Ovviamente, 48 bit sono sufficienti per un account Netflix ma non ho motivo di farlogenerare una password meno sicura solo perché l'account è meno critico.Il mio gestore di password li genera.Inoltre, nessuno ricorda 4 parole la prima volta che le sente.Però sarebbe più facile al telefono.
1. dipende dalle parole (con i calcolatori di entropia posso rendere una password di 4 parole più forte della tua con facilità) 2. sicuramente più facile da ricordare, anche se non la prima volta
@EpicKip Certo, ma non c'è bisogno di ricordarlo (il mio computer lo fa) e l'esempio XKCD preso al valore nominale è meno sicuro.Anche la mia ortografia non è così buona, quindi le parole potrebbero non essere le migliori!
Ma è necessario inviarlo in giro, il che non è mai una buona idea, basta dire che le "password sicure" non sono necessariamente più sicure
@tim usa cinque o più parole."Correct Horse identifica Battery Staple" o qualcosa del genere.Nel momento in cui hai bisogno di scriverlo per qualche motivo, lo stai già rendendo insicuro!
@TSar ti aspetti che ricordi 200 password ciascuna di 5 parole !?Non succederà!Qualunque sia la password che utilizzo, ho bisogno di un gestore di password criptato (io uso Enpass) e il mio manager genera queste password ma non le parole.
@Tim Se stai usando tante password, il gestore delle password è l'opzione migliore per salvarle.Tuttavia, tieni presente che se questo caso d'uso specifico riguarda una password condivisa, non l'archiviazione di più di esse.Per una singola password condivisa, penso che una passphrase sarebbe l'opzione migliore!
Inoltre, puoi sempre usare Snapchat per quello!
@Tim C'è un motivo per generare una password meno sicura qui;lo stai condividendo e non stanno usando il tuo gestore di password.
`3? TeJ) 6RK] 4Z_a> c` è di 16 caratteri.Quando usi solo a-Z avrai bisogno di una password di 20 caratteri per rendere più difficile il crack con forza bruta, tenendo conto che l'hacker sa che stai usando solo a-Z."Netflix = MoviesForTheEntireFamily" è una password facile da ricordare e molto MOLTO più forte della tua password attuale.
@Laoujin Con tutto il rispetto, se qualcuno vuole forzare la mia password * Netflix *, e può gestire `3? TeJ) 6RK] 4Z_a> c`, penso che sarà anche in grado di ottenere la password suggerita.In entrambi i casi, se stanno provando password con 80 bit di entropia, penso che stiano cercando disperatamente di entrare e smetteranno di provare la forza bruta e inizieranno a colpirmi con una chiave inglese.Gli attacchi di forza bruta non sono qualcosa che mi preoccupa della mia password.https://xkcd.com/538/
@Laoujin In effetti, in base alle misure di entropia di XKCD, ottengo la tua password come 83 bit di entropia, solo appena sopra la mia.Ciò presuppone 6 parole comuni (66), ciascuna delle quali potrebbe essere in maiuscolo (6), un segno di punteggiatura (4) in una delle 5 posizioni (2).Qualunque sia la password che scelgo, stiamo guardando a 1000 volte l'età dell'universo per forzarla, quindi per chiarire, non sono minimamente preoccupato per la "forza" di questa password.Anche la ricordabilità non è un problema.Nessuno deve ricordare questa password.
Solo una parentesi, sarà una bestia da digitare su un telecomando :)
@eckes Questo è qualcosa che non avevo considerato.Per fortuna, abbiamo un Chromecast anziché una smart TV.
Tredici risposte:
David
2017-05-30 02:52:48 UTC
view on stackexchange narkive permalink

Sia Facebook Messenger (che utilizza conversazioni segrete) che WhatsApp implementano la crittografia end-to-end, il che significa che quando invii un messaggio il tuo testo viene crittografato sul tuo computer e decrittografato sul computer di destinazione. Il testo dei tuoi messaggi non è visibile a nessuno nel mezzo a meno che non rompa la crittografia, cosa che per scopi pratici non accadrà (a meno che tu non sia oggetto di un'indagine di sicurezza nazionale, nel qual caso hai problemi maggiori che condividere la tua password Netflix con i fanatici della NSA).

Tuttavia, fai attenzione che la crittografia end-to-end protegge solo il canale di comunicazione stesso. Non ti protegge da minacce quali:

  • Malware, come keylogger o screen grabber che sono stati installati sul tuo computer o sul computer di destinazione
  • Amici / familiari che decidere di ricondividere o modificare la password senza la tua autorizzazione
  • Netflix, che monitora queste cose e vedrà che il tuo account viene utilizzato in più luoghi geografici e quindi probabilmente condiviso contro i loro termini di servizio. Netflix ha piani che consentono più streaming tra i membri della famiglia, quindi questo di per sé non è un problema risolvibile a meno che la tua password non sia in qualche modo condivisa ampiamente.
  • Le forze dell'ordine, se ti capita di vivere in un'area che ha criminalizzato la condivisione delle password
  • Come sottolineato da daniel nei commenti, Facebook (che possiede sia Facebook Messenger che WhatsApp) potrebbe accidentalmente fornire una sicurezza debole o essere complice nella violazione della sicurezza degli utenti (ad es. per assistere un'indagine delle forze dell'ordine). Poiché le applicazioni proprietarie (non open source) nessuno di questi software è stato controllato da ricercatori di sicurezza esterni, Facebook potrebbe avere un'implementazione scadente o potrebbe copiare / ispezionare i tuoi dati sul dispositivo di origine o di destinazione. Inoltre, poiché queste applicazioni creano e controllano le chiavi di crittografia utilizzate per implementare la crittografia end-to-end, devi presumere che Facebook possa violare la crittografia se lo desiderano (o chiunque a cui darebbero le chiavi, ad esempio le forze dell'ordine).
  • Un altro punto eccellente di Gert van den Berg nei commenti: alcune app di messaggistica eseguiranno automaticamente il backup nel cloud. La sicurezza intorno all'archiviazione cloud non è così forte come la crittografia end-to-end utilizzata nel canale di comunicazione. Vedi, ad esempio, gli attacchi Fappening per maggiori informazioni su come il cloud rappresenti una minaccia per la privacy dei dati. (Anche per dati presumibilmente cancellati!)
Potrebbe valere la pena aggiungere a questo che le forze dell'ordine non dovrebbero violare la crittografia, chiederebbero a WhatsApp o Facebook i messaggi di testo in chiaro e WhatsApp li fornirebbe senza informare gli utenti.(WhatApp potrebbe aver bisogno di recuperare la chiave dal dispositivo dell'utente per decrittografare i messaggi per venderla comunque come crittografia end-to-end ma potrebbe farlo anche senza informare gli utenti)
@daniel: WhatsApp stesso deve essere in grado di decrittografare i messaggi (per visualizzarli sullo schermo), quindi non c'è davvero nulla che la loro app non possa fare con loro.
@BoundaryImposition WhatsApp * l'applicazione * deve essere in grado di farlo;WhatsApp * l'organizzazione * (che in realtà ora è solo una filiale di Facebook) non può farlo.Se hai accesso al telefono, tutte le scommesse sono disattivate: devi quindi fare affidamento sulla schermata di blocco e sulla crittografia dell'archiviazione sul dispositivo che rimane al sicuro per impedire a un utente che acceda e scorri lo schermo verso l'alto per trovarlo.
@IMSoP: WhatsApp l'organizzazione crea WhatsApp l'applicazione.Sono le persone che scrivono il codice in esecuzione sul tuo telefono.Può fare qualsiasi cosa.
@BoundaryImposition Sì, hanno la capacità di implementare una backdoor, in anticipo;questo è vero per qualsiasi software di cui ti fidi per eseguire la tua crittografia, fino a un modulo di crittografia hardware.Se non l'hanno fatto, tuttavia, farlo a posteriori non consentirà loro di decrittografare i messaggi inviati in precedenza, senza che il telefono sia sbloccato per installare la backdoor (a quel punto, puoi semplicemente leggere i messaggi senza la backdoor).
@IMSoP: Non ho mai affermato che questa capacità fosse limitata a WhatsApp.Il punto è che stai eseguendo il codice di qualcun altro, quindi è come se avesse accesso fisico al tuo dispositivo e le persone lo dimenticano.
@BoundaryImposition "stai eseguendo il codice di qualcun altro quindi è come se avesse accesso fisico al tuo dispositivo" Mi dispiace, capisco il tuo punto, ma quella frase semplicemente non è vera.
@xDaizu: Bene, _è_ vero, ma ovviamente ti è permesso non essere d'accordo :)
Cosa, nessuno ha ancora pubblicato [questo XKCD] (https://xkcd.com/538/) ?!
@BoundaryImposition Non è esattamente la stessa cosa dell'accesso fisico: il codice può essere eseguito solo all'interno delle autorizzazioni che ha o sfruttare le vulnerabilità per aggirare quelle autorizzazioni rispetto all'accesso fisico dove puoi fare quello che vuoi.Detto questo, penso che tutti stiano insistendo sui dettagli qui.Il punto è che hai ragione nel dire che questa riga nella risposta non è accurata: "Il testo dei tuoi messaggi non è visibile a nessuno nel mezzo a meno che non rompa la crittografia".Non è necessario interrompere la crittografia se controlli l'app.
Altri rischi includono i backup automatici di Whatsapp sul dispositivo e Google Drive che utilizza un grado di crittografia inferiore rispetto al canale di comunicazione ... https://qz.com/656035/whatsapps-new-encryption-wont-protect-you-unless-anche tu fai tutte queste cose /
Al punto Netflix ToS: sembrerebbe che al momento Netflix consideri la condivisione delle password con altri come un primo passo per acquisire più utenti e non ha intenzione di inseguire coloro che condividono le password.Al momento, credo che abbiano commentato solo la condivisione all'interno della famiglia (come suggerisce la domanda) e questo potrebbe cambiare in futuro.Ecco un collegamento a un articolo decente con più collegamenti: https://techcrunch.com/2016/07/11/psst-its-still-okay-to-share-your-netflix-password/
@Gallifreyan Come succede, non conosco questa password.Se mi picchiassero con una chiave inglese non li avrebbero portati così lontano!Avrebbero bisogno della password per il mio computer (normalmente sbloccato) o del telefono (6 cifre / impronta digitale) più la password per il mio gestore di password (12 caratteri casuali / impronta digitale).Sembra che debbano solo tagliarmi il dito per guardare il mio Netflix: P
@David Dichiari che viene utilizzata la crittografia end-to-end.Hai una fonte affidabile a sostegno della tua dichiarazione?Non credo davvero che una simile affermazione proveniente da un'azienda come Facebook / WhasApp possa essere considerata attendibile in questi giorni.
@Forivin È stato riportato come tale dai media (basta cercarlo su google) ma quei rapporti sono invariabilmente ricondotti a Facebook stesso.Come già detto, è un codice proprietario e non è stato controllato dalla comunità più ampia.
ISMSDEV
2017-05-30 01:31:36 UTC
view on stackexchange narkive permalink

"Accettabile" è relativo al livello di rischio che desideri accettare.

Personalmente, penso che WhatsApp sia adatto a questo. Poiché ha una buona crittografia end-to-end. Ma penso anche che Facebook vada bene solo perché è una password Netflix e non la tua banca.

Come ho detto. Dipende da te e dalla tua propensione al rischio. Personalmente, sarei più che felice di usare WhatsApp con la mia famiglia.

WhatsApp fa cose sporche con i token di accesso sulla rete locale.Alcuni miei compagni di stanza sono stati in grado di falsificare un account che hanno annusato sulla LAN per un bel po '(il token era valido per circa 12 ore).Questo è stato letteralmente un divertente progetto per il fine settimana per loro ...
@Aaron Quindi se visito regolarmente un bar, qualcuno potrebbe forse ottenere i miei account?
@Tim teoricamente sì.avere il tuo token di accesso consente a un altro utente di accedere come te per un periodo di tempo.tuttavia, quando arriva il momento di rigenerare questo token, non potranno farlo senza i crediti del tuo account.Se sei su una rete Wi-Fi non protetta, ti consiglio caldamente di utilizzare una VPN o i tuoi dati cellulari.
@Aaron E per quanto riguarda protetto ma non attendibile (università, ristorante con una password)?
@Tim WPA-PSK (chiave pre condivisa) consentirà a chiunque di vedere il tuo traffico se ha anche la password per il wifi (questa è la tipica configurazione residenziale così come molte piccole imprese) L'autenticazione EAP può fornire maggiore sicurezza a seconda di come è implementata,ed è lo standard per le aziende e le università più grandi (Wi-Fi in cui hai un nome utente e una password univoci. Nota: nome utente e password dovrebbero essere inseriti nelle impostazioni Wi-Fi non in una pagina web (è chiamato captive portal e ha un uso generalmente diverso (non per sicurezza)))
@Tim Vorrei solo sottolineare che sebbene queste vulnerabilità possano esistere, praticamente tutte coinvolgono qualcuno che deve trovarsi fisicamente nel raggio del wifi che stai utilizzando, sapere che trasmetterai informazioni sensibili e hai il desiderio dispecificamente spiarti.La combinazione di tutte queste cose è piuttosto improbabile.
SecretSasquatch
2017-05-30 02:08:26 UTC
view on stackexchange narkive permalink

Nel caso di una password Netflix, passare la password tramite FB Messenger o WhatsApp sarà abbastanza sicuro. I dati, durante il transito, verranno crittografati utilizzando moderne tecnologie di crittografia. Tieni presente però che la password sarà visibile sia nella tua casella di posta che nella casella di posta del destinatario, in testo normale. Ciò può comportare un rischio se l'account Messenger / WhatsApp del destinatario è compromesso (o il tuo account).

Ipoteticamente, se stai inviando messaggi con informazioni riservate relative, diciamo, alla sicurezza nazionale, allora lo farei consiglia di non inviare questi dati sensibili attraverso questi tipi di piattaforme di messaggistica. La realtà è che i "poteri" che possono avere la capacità di ottenere i registri delle chat da questi servizi di messaggistica lo farebbero solo se le informazioni che stanno cercando fossero di grande valore.

Da quello che ricordo, le "conversazioni segrete" di FB utilizzano chiavi specifiche del dispositivo, quindi solo una compromissione dell'account non dovrebbe far trapelare le conversazioni.Ma penso che sia possibile inviare conversazioni segrete future a un nuovo dispositivo (dopo che l'aggressore è entrato nel tuo account), in modo che tu possa essere "intercettato" in futuro.
Sì, ogni conversazione è solo tra due dispositivi.Tuttavia, la mia password di Facebook è al 100% un'area di debolezza: devo aggiornare quella password.
Rob Gwynn-Jones
2017-05-30 10:13:48 UTC
view on stackexchange narkive permalink

Mentre altri hanno sottolineato che una password Netflix in particolare potrebbe non essere la risorsa più preziosa al mondo, personalmente preferisco esercitare le migliori pratiche laddove possibile, il che penso che la maggior parte sarebbe d'accordo include la non trasmissione delle password elettronicamente ove evitabile. p>

Io e mia moglie usiamo entrambi KeePass e per le password di cui abbiamo bisogno (incluso Netflix) ho eseguito il processo una tantum di inserire manualmente la password nel suo DB KeePass. Se mai dovessimo cambiarlo, avverrà anche manualmente.

È eccessivo? Può essere. Lo contrasterei chiedendo: perché no? Non è davvero un grosso inconveniente e fa sì che tutti abbiano l'abitudine di non condividere le password tramite note adesive o e-mail. Inoltre, non devi preoccuparti che la NSA faccia segretamente ottenere a Facebook di decrittografare i tuoi messaggi in modo che possano guardare House of Cards sul tuo centesimo :)

_ "Perché no? Non è davvero un grosso inconveniente" _ Beh, certo, se vivi nella stessa casa o nelle vicinanze.E se sei a tre ore di distanza?Cinque?Dodici?Ventiquattro ore e un biglietto aereo da £ 5000?Non così conveniente adesso!
Certo, come ogni altra cosa si tratta di soppesare i pro e i contro e non essere dogmatici.Ho solo pensato di aggiungere un punto di vista che non era stato ancora condiviso in questa discussione :)
Dubito fortemente che l'NSA sia interessante nel rubare le password Netflix delle persone per guardare House of Cards.Probabilmente intercettano e decrittano il flusso video durante la riproduzione e lo guardano così :)
Un'opzione potrebbe essere quella di avere un database Keepass condiviso e inviarlo, o archiviarlo online, crittografato con una chiave precondivisa.Alcuni altri gestori di password, come lastpass, dispongono di una funzione di condivisione della password, in cui è possibile condividere quella password con un altro utente.
Serge Ballesta
2017-05-30 12:55:09 UTC
view on stackexchange narkive permalink

Devi essere consapevole del fatto che la crittografia end-to-end di Whatsapp non può essere quella che ti aspetti. Il protocollo utilizzato da Whatsapp è davvero sicuro, ma sembra che l'implementazione abbia scelto volentieri la facilità d'uso rispetto alla sicurezza. È stato discusso in sicurezza Whatsapp e un commento ha fornito un collegamento al Guardian spiegando che

Una vulnerabilità di sicurezza che può essere utilizzata per consentire a Facebook e altri di intercettare e leggere i messaggi crittografati è stato trovato all'interno del suo servizio di messaggistica WhatsApp
...

Tuttavia, WhatsApp ha la capacità di forzare la generazione di nuove chiavi di crittografia per gli utenti offline , all'insaputa del mittente e del destinatario dei messaggi e per fare in modo che il mittente crittografi nuovamente i messaggi con nuove chiavi e li invii di nuovo per tutti i messaggi che non sono stati contrassegnati come consegnati.

Il destinatario non è consapevole di questo cambiamento nella crittografia, mentre il mittente viene avvisato solo se ha attivato gli avvisi di crittografia nelle impostazioni e solo dopo che i messaggi sono stati rispediti. Questa nuova crittografia e ritrasmissione di messaggi precedentemente non recapitati consente a WhatsApp di intercettare e leggere efficacemente i messaggi di alcuni utenti.

[Whatsapp lo giustifica per far fronte quando] il codice di sicurezza di un contatto è cambiato. Sappiamo che i motivi più comuni per cui ciò accade sono perché qualcuno ha cambiato telefono o reinstallato WhatsApp. Questo perché in molte parti del mondo le persone cambiano frequentemente dispositivi e schede SIM. In queste situazioni, vogliamo assicurarci che i messaggi delle persone vengano consegnati, non persi durante il transito.

Ciò significa che anche se c'è una crittografia end-to-end, gli amministratori di Whatsapp hanno la possibilità di fare il tuo dispositivo di invio invia una nuova copia del messaggio contenente la password con una nuova chiave di crittografia che conosce. Se questo è accettabile dipende da te, ma per quanto mi riguarda, preferisco la posta crittografata con S / MIME o PGP che non soffra di tale vulnerabilità.

Quell'articolo del Guardian è stato ampiamente ridimensionato.È molto povero di dettagli tecnici e fondamentalmente sbagliato.[Vedi i dettagli qui.] (Https://techcrunch.com/2017/01/20/security-researchers-call-for-guardian-to-retract-false-whatsapp-backdoor-story/)
@samiles: Grazie per il tuo commento.Ho appena letto l'articolo che colleghi.Nulla dice che l'estratto che ho citato sia sbagliato: il sistema consente il reinvio di un messaggio con una chiave diversa per far fronte al cambiamento del dispositivo da parte dell'utente e quindi della chiave.Ciò significa che il sistema potrebbe essere sovvertito per inviare nuovamente un messaggio a un destinatario diverso, perché l'azione è originata dal server e non dall'utente.Il mio post non presenta questo fatto come una porta di servizio (volutamente sfruttata) ma come una vulnerabilità (che potrebbe essere sfruttata).E il mio post dice: * il protocollo ... è davvero sicuro *
È una funzione della crittografia end-to-end, non un difetto di sicurezza.Dire alle persone (non dicendo che lo stai facendo, ma molti hanno seguito l'articolo del Guardian) che WhatsApp non è sicuro è pericoloso.
@samiles: Non mi chiederò se Whatsapp sia sicuro o no.Il protocollo end-to-end è correttamente implementato e sicuro.Tuttavia, la crittografia end-to-end implementata nella posta crittografata con PGP o S / MIME non consente il reinvio automatico di una posta con una nuova chiave.Il mittente deve farlo * a mano *.Questa è chiaramente una scelta di design per avere un'applicazione più facile da usare.Non sto dicendo che sia inaccettabile e nemmeno cattivo.Dico solo che potrebbe essere sovvertito dai server Whatsapp per inviare nuovamente un messaggio a un nuovo destinatario.Ogni utente può quindi effettuare la propria valutazione del rischio ...
Sono d'accordo, sono informazioni utili da avere.Ma se WhatsApp è ancora abbastanza buono per i dissidenti politici, è abbastanza buono per le password di Netflix;) Ogni volta che viene menzionato l'articolo del Guardian, vale la pena aggiungere che molti professionisti della sicurezza lo considerano un giornalismo cattivo e pericoloso ...
@samiles pro hominem non è un ragionamento valido.
@Sparhawk Non è pro hominem.L'articolo del Guardian è BS.Sono informazioni inutili nel contesto di questa domanda e di fatto pericoloso diffondere l'idea che WhatsApp non sia sicuro a causa di questo particolare problema.
@Sparhawk [I tweet di zeynep] (https://twitter.com/zeynep/status/822301430933573632?ref_src=twsrc%5Etfw&ref_url=http%3A%2F%2Fmashable.com%2F2017%2Femand-exg20%2F2017%2FemandFexg20%retract-whatsapp-article% 2F) sono fantastici da seguire per maggiori informazioni su questo e perché è letteralmente pericoloso diffondere informazioni, non solo errate.
@samiles Spiacenti, avrebbe dovuto essere più chiaro.Mi riferivo a questa parte: "Ma se WhatsApp è ancora abbastanza buono per i dissidenti politici ..."
@Sparhawk Il punto è che molti dissidenti politici usano WhatsApp, e questo articolo del Guardian ha fatto pensare ad alcuni di loro che dovrebbero passare a SMS o qualcosa, che è meno privato e pericoloso, in un modo che la condivisione di una password Netflix chiaramente non lo è.Ma sì, bella ripresa del mio "errore" ...
@samiles Non l'ho mai veramente interpretato in questo modo.L'articolo del Guardian suggerisce Signal come una valida alternativa ... su cui tendo ad essere d'accordo.Non credo suggeriscano altro?(Anche se sono troppo pigro per leggerlo di nuovo.)
Cordiali saluti, l'articolo del Guardian da allora [è stato modificato] (https://www.theguardian.com/technology/commentisfree/2017/jun/28/flawed-reporting-about-whatsapp) e ora descrive il problema in modo accurato per quanto mi riguardasono preoccupato.Signal, l'implementazione originale del protocollo Signal, non soffre di questo difetto e non è di proprietà di una gigantesca società con sede negli Stati Uniti, quindi continuerò a preferirlo.
Conor Mancone
2017-05-31 02:21:22 UTC
view on stackexchange narkive permalink

Principalmente nel tentativo di essere contrario, vorrei sottolineare che la password è raramente il punto più debole nella sicurezza della tua password, e infatti troppo una password può effettivamente renderti meno sicuro. Le persone sono spesso il punto più debole, un fatto che è particolarmente applicabile qui. Hai creato una password molto sicura (ovvero difficile da ricordare). Non hai problemi con questo perché memorizzi la tua password in un gestore di password. I tuoi familiari lo fanno però? Quali sono le probabilità che lascino il tuo messaggio in un posto molto accessibile quando ne hanno bisogno, perché non riescono mai a ricordarlo da soli? Quale membro della famiglia copierà e incollerà il messaggio e poi lo invierà a se stesso tramite e-mail su un canale non sicuro in modo che non lo dimentichi?

Potrebbe essere un e sicuro una password memorabile sarà più sicura di una password sicura ma impossibile da ricordare, perché in quest'ultimo luogo qualcuno la memorizzerà in modo insicuro perché non ha intenzione di memorizzarla. Quindi direi che se vuoi davvero garantire la massima sicurezza, devi trovare una password che possa essere memorizzata facilmente. Quindi potresti semplicemente chiamarli e dire loro di cosa si tratta.

XKCD: Vale sempre un link: https://xkcd.com/936/

Rimarranno collegati a Netflix.Nota che l'XKCD non è rilevante qui perché il loro "più sicuro" è meno sicuro del mio.(Ho quasi 80 bit di entropia).Ma prendo il tuo punto di vista che sono l'anello debole
chiaramente nessuno userebbe effettivamente "correcthorsebatterystaple" come password.Se metti in maiuscolo alcune parole e aggiungi un paio di simboli tra le parole, potresti facilmente avere più di 80 bit di entropia e avere comunque una password memorabile.
@MaxVernon XKCD sta decisamente sostenendo 4 parole minuscole - e molti generatori di password le creano.
@MaxVernon, no, l'uso delle maiuscole e l'aggiunta di simboli perde completamente l'intero punto della striscia.Se hai bisogno di una password più sicura, non aggiungere trasformazioni extra banali.Aggiungi una o due parole in più.
@MaxVernon alcune persone lo farebbero.Dropbox, ad esempio, vieta esplicitamente l'uso di "correcthorsebatterystaple" come password.Che tu pensi che questa sia solo una funzione di 'uovo di Pasqua' o meno, qualcuno ha dovuto provare a usarla per trovarla ...
Sas3
2017-05-31 19:51:29 UTC
view on stackexchange narkive permalink

Per la maggior parte delle persone normali i cui modelli di minaccia non prevedono la sorveglianza mirata dello stato-nazione o un mandato delle forze dell'ordine, sì, la crittografia end-to-end di WhatsApp sarebbe sufficiente.

Altri hanno evidenziato due situazioni che ripeterò per completezza:

  1. Il fornitore di servizi (in questo caso, FaceBook / WhatsApp) può estrarre il testo in chiaro (password decrittografata) direttamente dal dispositivo in determinate circostanze.
  2. I keylogger e altri malware sugli endpoint (telefoni / laptop) potrebbero accedere direttamente al testo in chiaro.

Una tecnica che utilizzo quando affrontare questa situazione significa offuscare il contesto stesso, aumentando la difficoltà per l'avversario. cioè, invia la password ma non menzionare nello stesso canale a cosa serve; menzionare il contesto in un canale separato. ad es.

Canale 1: SMS / chiamata vocale: "Ehi, tra un minuto ti invierò un messaggio separato con la password NetFlix".

Canale 2: Messaggio di WhatsApp: "Ecco di cosa abbiamo appena parlato: 3?TeJ)6RK”4Z_a>c"

Teun Vink
2017-05-30 10:23:59 UTC
view on stackexchange narkive permalink

Altri hanno già sottolineato il rischio limitato di perdere la password e l'uso della crittografia end-to-end da parte di WhatsApp, ma vorrei sottolineare un'ultima cosa:

tieni presente che questo la crittografia end-to-end è utile solo per trasferire la password. Una volta che l'altra persona lo riceve, chiunque abbia accesso al telefono (sbloccato se pertinente) può vederlo nella cronologia chat.

Può essere una buona idea chiedere all'altra persona di rimuovere il messaggio dal proprio cronologia chat una volta ricevuta. Non vuoi che usino la cronologia chat di WhatsApp come un post-it digitale con la loro password.

Solo per aggiungere, la messaggistica segreta di Facebook può essere impostata con una funzione di cancellazione automatica del timer simile a Snapchat.Quindi non è necessario eliminare manualmente la chat dopo la lettura.
@MaxPayne vorresti che fossero nel posto giusto quando invii il messaggio, altrimenti finiranno con un tovagliolo di Starbucks con "Tim's netflix password 3? TeJ) 6RK] 4Z_a> c" in tasca.
Chris H
2017-05-30 18:36:53 UTC
view on stackexchange narkive permalink

Supponendo che tu li incarichi di occuparsene e che la tua esposizione alla perdita di questa password non sarebbe poi così grave (cioè non è la tua banca):

Sarei ancora tentato di farlo offuscalo in qualche modo semplice mentre sei in transito e invia la chiave su un altro canale. Per esempio. dato il tuo esempio di 3? TeJ) 6RK] 4Z_a>c , invia 3? TfJ) 6RK] 4Z_b>d , quindi telefona loro e digli di spostare le lettere minuscole indietro di uno. Questo rende inutile portare i surfisti in spalla.

Eviterei anche di menzionare il nome / indirizzo email dell'account e il servizio nello stesso thread in pochi messaggi, in modo che non appaiano sulla stessa schermata ("quella password che volevi: 3? TeJ ) 6RK] 4Z_a> c "invece di" Password Netflix: 3? TeJ) 6RK] 4Z_a> c ").

Un database di password condiviso online potrebbe essere più sicuro ma con tutti su dispositivi diversi è una seccatura e devi comunque condividere il login per questo. Anche se ciò dovrebbe essere possibile senza inviare messaggi di password, non sarà banale accompagnare qualcuno per una volta.

Mark
2017-05-31 01:31:55 UTC
view on stackexchange narkive permalink

Opzione A: incontri di persona le persone in questione
Opzione B: le chiami (dio sa chi ha infastidito i tuoi fili
Opzione C invii loro una lettera crittografata tramite posta ordinaria e la chiave tramite altri significa. (qual è la possibilità di essere spiato su 2 media)
Opzione D: non importa e rischia solo

A non è un'opzione B è una buona idea - non sono sicuro del motivo per cui nessuno l'ha suggerito, C è troppo lento e costoso e D è un'opzione, ma se sto inviando dettagli bancari o simili, questa domanda può essere applicata.
Phill W.
2017-05-31 15:55:20 UTC
view on stackexchange narkive permalink

Che ne dici di cambiare la password in qualcosa di più simile a "tutti i tuoi nomi e età, elencati in ordine di età con uno spazio tra ogni parola" e poi dì questo agli altri membri della tua famiglia.

OK, è improbabile che ci siano molti caratteri speciali, ma la sua lunghezza dovrebbe offrire una certa protezione.

È un'idea abbastanza buona e ci sono molti modi per farlo, coinvolgendo l'indirizzo di casa ecc.
AnoE
2017-06-02 03:49:46 UTC
view on stackexchange narkive permalink

Giusto per dare un punto di vista diverso da tutte le altre risposte finora:

No.

Tuttavia, devo condividere questa password con altri membri del famiglia, in modo che possano anche accedervi. Usare la conversazione segreta di WhatsApp o Facebook Messenger è un metodo accettabile per questo?

No. Non importa nemmeno che la tua password Netflix probabilmente non sia così importante; né importa cosa dice Facebook sulla sua crittografia.

Il punto è che non puoi sapere cosa stanno facendo internamente. Crittografano ogni messaggio con una chiave di sblocco principale aggiuntiva? Crittografano nuovamente i messaggi lungo il percorso? Presumo che né Whatsapp né Facebook (le app) siano state sottoposte a reverse engineering / peer review. E anche se lo fossero stati, potrebbero essere modificati ad ogni singolo aggiornamento.

I motivi sono molti. "Vogliamo rendere ricercabili le tue conversazioni private - di CORSO solo TU puoi cercare attraverso di esse ...", "Vogliamo assicurarci che le tue conversazioni private rimangano in giro quando perdi il telefono" ecc. è la loro attività principale, dopotutto.

Non si sa mai, non si può davvero saperlo e può cambiare ad ogni aggiornamento. Questo dovrebbe darti una pausa sufficiente.

Perché non importa che sia "solo" Netflix? Perché porta all'autocompiacimento. Se sei abituato a chattare con le tue password non importanti, prima o poi non ti interesserà più e invierai anche quelle importanti.

Esistono metodi migliori?

Certo. La crittografia a chiave pubblica è stata inventata per rendere non necessario pubblicare le password in chiaro. Chiedi alla tua famiglia di creare chiavi private / pubbliche, di inviare le chiavi pubbliche in chiaro, di verificarsi a vicenda al telefono o quando ti incontrerai in RL la prossima volta, e poi sarai pronto per condividere i segreti che ti piacciono in futuro.

Fattibile? Probabilmente no, dato che l'attuale interesse del pubblico in generale per le questioni di sicurezza è marginale quanto lo è. Ma ancora meglio.

Poi c'è Threema, che è stato sottoposto a peer review ed è almeno open source nel dipartimento di sicurezza, dove conta. Naturalmente, anche qui non è banale assicurarti che i tuoi messaggi non siano crittografati anche verso un destinatario principale, ma almeno hai alcune cose da verificare, con il sorgente.

Giusto no, sto facendo in modo che mia madre di 50 anni e i miei fratelli di 14 anni creino chiavi private e pubbliche ... la mia domanda non era "qual è l'opzione migliore" era "è adatto a WhatsApp" e tu nomi ha convinto altrimenti che WhatsApp non è adatto a questo compito.Ri: iniziare a inviare password critiche in giro, perché dovrei farlo?Quali password critiche verrebbero mai condivise?
Inoltre, se perdi il telefono, i tuoi messaggi vengono persi.Questo è ovvio: stanno crittografando con le chiavi sul dispositivo, quindi come le recupererebbero.https://www.whatsapp.com/faq/en/general/24460358 non solo questa risposta è inutile e paranoica, ma è sbagliata.E la loro politica sulla privacy è chiara che i messaggi non vengono archiviati.
Siamo sulla sicurezza.SE, @Tim.Hai già deciso e non riesco davvero a capire perché stai facendo la domanda.Ti ho dato la risposta dal punto di vista della * sicurezza *.Sono stato sincero con la mia possibilità che i miei suggerimenti non siano probabilmente facilmente configurabili in una rete familiare (anche se Threema potrebbe essere usato solo, è solo un'app).Il mio punto è categoricamente che è atroce fidarsi della "sicurezza" di una qualsiasi delle offerte "segrete" dei grandi giocatori, in parte per paranoia e in parte dall'esperienza degli ultimi anni (decenni, in realtà).
Ma noto che non affronti i punti a cui mi sono collegato.Non memorizzano i messaggi perché dicono di no, e la loro politica sulla privacy dice che non lo fanno e non possono a causa della crittografia end-to-end.Non avevo una decisione, ma non mi aspettavo che le persone suggerissero a persone non esperte di tecnologia di creare chiavi.La paranoia è giusta: questa è una risposta paranoica, a cui ho chiesto più punti di chiarimento e tu non ne hai dato nessuno.Re theema.Il problema è che ci sono troppe app diverse.Telegram, Theema, ce ne sono tanti.Non voglio installare 6 app, una per ciascuno dei miei amici paranoici della sicurezza.
Se modifichi per fare riferimento alle affermazioni che hai fatto e chiarire le mie domande, annullerò il mio voto negativo, ma questa è una risposta che non aiuta le persone e sta diffondendo informazioni errate.
@Tim, va bene, possiamo accettare di non essere d'accordo.È a questo che serve il voto, dopotutto.;)
luizfzs
2017-06-05 21:56:08 UTC
view on stackexchange narkive permalink

Per la trasmissione sicura / accesso una tantum, puoi utilizzare ViaCrypt. Scrivi il tuo contenuto, generi un link univoco e lo invii a destinazione. Il link può essere validamente aperto solo una volta, il che significa che una volta che qualcuno fa clic su di esso, un ulteriore accesso al link non mostrerà il tuo messaggio perché è già stato invalidato.

Scrivendo come risposta perché ancora non lo faccio. Non ho la reputazione di commentare.

Questo non risponde alla domanda perché stavo chiedendo se WhatsApp è sicuro, non per altre app sicure.
So che @Tim, è per questo che ho voluto scriverlo come commento, come è indicato nella mia risposta.L'ho scritto perché aggiunge alcune informazioni sulla trasmissione sicura, che è la categoria in cui rientra la domanda.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...