Domanda:
I gestori di password online sono sicuri?
rem
2010-11-13 18:14:44 UTC
view on stackexchange narkive permalink

I gestori di password online possono essere utilizzati per archiviare e gestire le password? Intendo dal punto di vista della sicurezza. Capisco che questi sistemi possono essere diversi e alcuni meritano più fiducia rispetto agli altri, ma quello che intendo è l'intera idea di servizio pubblico per la memorizzazione delle password personali. È vitale nella sua essenza?

Circa un anno fa mi sono iscritto a uno di questi servizi ( Passpack). Sembra affidabile e professionale, ma ho ancora paura di iniziare a usarlo davvero e caricare lì le mie numerose password. E non è perché non sono disposto a passare a un account a pagamento; Sono solo molto attento e dubbioso. Mi sbaglio?

Sei risposte:
#1
+24
AviD
2010-11-14 07:54:15 UTC
view on stackexchange narkive permalink

Se stai chiedendo in teoria , un tale sistema può essere costruito in modo sicuro?
La mia risposta sarebbe sì, assolutamente, ma non è un lavoro banale e molto probabilmente sarebbe sbagliato (a seconda di chi l'ha progettato e costruito).

Se stai chiedendo informazioni sui servizi esistenti , anche se non ho familiarità con quello che hai menzionato, in generale non conosco sistemi validi, affidabili e sicuri per questo.

Se stai chiedendo, come faccio a sapere se un sistema specifico è sicuro e affidabile? , beh, non puoi.
A meno che tu (o un esperto ti fidi ed è abbastanza competente nella tecnologia data) ha eseguito una revisione approfondita del codice, un test di penetrazione e altre revisioni sulla sicurezza. E distribuzione periodica ed esami del server. E così via ...

E no, ottenere una certificazione di terze parti come HackerSafe (nemmeno PCI: DSS) non è abbastanza buono, non per te affidare le chiavi ai tuoi dati più sensibili. (A meno che non sia un servizio che conosci abbastanza bene da fidarti ).

#2
+22
Eric Warriner
2010-11-13 19:05:52 UTC
view on stackexchange narkive permalink

Consiglierei di passare a Keepass o KeepassX per linux e di inserire tutte le tue password nell'unico database criptato di Keepass (bloccato con una password o un file di chiavi) e quindi mettere il file di database nel cloud come S3 da Amazon Web Services o Dropbox. In questo modo ... hai un file di database portatile che può essere scaricato su qualsiasi computer dal cloud e aperto solo dal software keepass con la tua chiave di decrittazione / password.

Mi sono sempre chiesto in che modo questo è diverso dagli altri gestori di password sincronizzati?Il vettore di attacco sembra essere la sicurezza dell'applicazione / plugin e non vedo Keepass come una qualità superiore rispetto ad altre soluzioni proprietarie (ma open source): hanno soldi in gioco, quindi immagino che investano più manodopera.Detto questo Keepass è un'ottima soluzione gratuita (a condizione che tu stesso organizzi la sincronizzazione).
#3
+11
gbr
2010-11-13 19:04:25 UTC
view on stackexchange narkive permalink

Secondo me, l'utilizzo di un servizio come passpack potrebbe aggiungere un altro "anello debole" alla tua catena.

Le tue password sono al sicuro quanto sei paranoico su di loro (pensa su tutte le best practice per le password), l'utilizzo di un servizio come passpack rende sicure le tue password anche come l'intero servizio passpack stesso (i loro server sono sicuri? il front-end? e così via ..)

Dovresti valutare quale di questi aspetti della sicurezza consideri più sicuro e quale ti fidi di più. Le tue politiche sulle password sono più sicure e affidabili della sicurezza di un'app di gestione password casuale? Se sì, allora questo servizio potrebbe non essere adatto a te.

#4
+10
vvucetic
2010-11-19 04:07:45 UTC
view on stackexchange narkive permalink

Utilizzo lastpass.com da molto tempo. Le password sono crittografate con AES a 256 bit con password principale come chiave. Il processo di decrittografia inizia nel tuo browser. Sebbene le password siano crittografate, ottenere la password dal server avviene tramite SSL, il che rende la doppia crittografia. Hanno 2 data center e un server di backup che è crittografato ancora una volta. Se hai paura dei keylogger (dovrebbe essere su computer pubblici), c'è una tastiera virtuale in loco per l'accesso con la password principale. Anche le password monouso sono opzioni.

Inoltre, è possibile condividere account con altri utenti senza fornire loro la password .. Controllala.

Non lavoro per lastpass.com, solo soddisfatto :).

I server lastpass non ottengono mai la tua password, ma ottengono i dati crittografati con una password che solo tu conosci. L'ho smontato qui: http://blog.tinisles.com/2010/01/should-you-trust-lastpass-com/
Sembra che le persone si vantino sempre di questi prodotti. Onestamente la cosa della tastiera sullo schermo è uno scherzo. Qualsiasi malware decente continuerà a raccogliere la password al momento dell'invio o con GetWindowText (). Anche la possibilità di condividere una password senza rivelarla è crittograficamente impossibile. Il più delle volte si tratta di una restrizione software che può essere sfruttata (è già stata applicata sia a RoboForm che a LastPass). Questo non vuol dire che sono contrario ai gestori di password (uso 1Password), sono solo contrario a pubblicizzarli vantandomi delle funzionalità più inutili.
#5
+6
Mark McDonagh
2011-06-27 21:14:55 UTC
view on stackexchange narkive permalink

Alcuni punti da considerare.

Quali sono le alternative? Secondo me l'utilizzo di un gestore di password online è meno rischioso del seguente

  • utilizzare la stessa password per tutti i tuoi account
  • utilizzare un foglio di calcolo statico non crittografato per memorizzare le tue password

Collaborazione. Devi condividere le password?

  • I gestori di password online sono progettati per facilitare la condivisione delle password, se condividi le password devi essere in grado di aggiornare facilmente le password assicurandoti che tutti vedano immediatamente l'ultima versione.

D'altra parte Kneepass è una buona soluzione, il problema è che ti stai assumendo maggiori responsabilità per i backup, ecc, mentre anche se è open source non c'è garanzia che non ci siano vulnerabilità nel codice.

#6
+1
Novice User
2012-04-24 21:23:54 UTC
view on stackexchange narkive permalink

Non prenderei in considerazione la possibilità di memorizzare la mia password online. Almeno non posso fidarmi così tanto di loro.

Se sei interessato, roboform per Windows (usato un po 'di tempo fa), è buono e la sua nuova funzionalità include anche la sincronizzazione online. Keepassx per Linux è un ottimo strumento anche.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...