É seguro armazenar senhas (criptografadas) no GitHub?

Navegue suas respostas
19

Estou usando o passe para lidar com todas as minhas senhas. Eles são criptografados usando GPG com uma chave de 4096 bits, usando o algoritmo SHA256. Estou usando uma senha diferente para cada login no meu armazenamento de senhas.

Uma das características legais do pass é que tudo é mantido em uma pasta com uma boa hierarquia, o que é perfeito para configurar um repositório do git (o passe até fornece essa capacidade). Eu gostaria de ter minha senha armazenada em todos os meus computadores.

É seguro, então, enviar o repositório pass git para um repositório privado do GitHub? Se não, qual é o elo fraco?

    
por Nicolas Mattia 02.10.2015 / 17:06

4 respostas

12

Resposta breve

Não há problema em colocar um repo github de passagem.

Resposta detalhada

Seu repo de passagem é criptografado por GPG usando qualquer chave particular que você tenha selecionado, por isso é a prova de bala que a chave escolhida. Além disso, a sua chave privada não é armazenada no seu repo de aprovação. Isso significa que a localização privada versus pública de seus arquivos de senha criptografados não é o link fraco na segurança do gerenciador de senhas. Pelo contrário, é a chave privada com a qual você os criptografou, com a qual você precisa se preocupar.

Certifique-se de que é uma boa chave (como a que você mencionou) e não a exponha a ninguém, porque eles não precisarão usar a chave grande para usá-la. Eles só terão que abrir sua senha, e, vamos encarar, é realmente difícil ter certeza de que sua senha é boa o suficiente para parar todos .

Portanto, não deixe ninguém mais ver sua chave. Se você mover sua chave privada para cada um de seus computadores que usam o passe, você poderá simplesmente puxar o seu repositório de passagem do github e usar a chave privada armazenada nesses computadores individualmente. Agora todos ficarão sincronizados e seguros.

Mais duas coisas a considerar

O objetivo principal é manter suas senhas criptografadas. Se você não está certo com eles estarem no github.com, então o que você realmente está confiando é em sua localização privada e não em seu estado criptografado. Se for esse o caso, por que criptografar eles de alguma forma? Você poderia apenas usar os mesmos arquivos simples que passam usos, e não se incomodar em criptografá-los. Isso seria bem conveniente!

Além disso, lembre-se de que facilitar o uso do seu gerenciador de senhas significa que é menos provável que você queira / precise subvertê-lo. Toda vez que você tem que fazer o trabalho do passe para isso (por exemplo, redefinir uma senha em uma conta porque a senha segura foi gerada em um computador diferente e você ainda não sincronizou manualmente, mas precisa entrar agora), você está vai reduzir a segurança que fornece.

    
por 02.10.2015 / 18:45
5

Isso será seguro, mas expõe você a riscos adicionais em comparação a não colocar seu armazenamento de senhas em um local público.

  • Upload acidental de senhas não criptografadas (você não fará isso intencionalmente, mas com certeza isso pode não acontecer acidentalmente ou devido a algum bug de software?)
  • Fraquezas desconhecidas no RSA ou a criptografia simétrica em uso
  • Padrões de uso revelados (estatísticas são poderosas)
  • A liberação acidental de seu token de acesso resulta em dados públicos. se você também mantivesse isso privado, você é muito mais seguro
  • O pior caso é que todo o seu armazenamento de senhas histórico é revelado, comparado a apenas o atual

Em outras palavras: se você não cometer erros, confiar no software e a matemática por trás do algoritmo de criptografia permanecer segura publicamente, o armazenamento do armazenamento de senha criptografada não será problema. Se você tiver alguma dúvida sobre isso (e pessoalmente, minha confiança estaria exatamente nesta ordem, com a confiança perdida em mim como um usuário com alta confidencialidade na matemática), mantenha a loja privada.

Já postou uma senha privada em alguma janela de bate-papo por acidente que apareceu? Eu conheço um monte de gente que fez, inclusive eu.

    
por 02.10.2015 / 18:31
3

Esta é uma boa pergunta, já que foi um problema no passado, quando alguém colocou uma senha privada em um repositório público.

Pense nisso desta maneira, é uma boa prática não armazenar esse arquivo (junto com outros arquivos confidenciais) em um repositório público, mesmo que seja privado. É bom fazer backup em algum lugar, mas se digamos que sua senha foi recuperada de alguma forma (site de terceiros, por exemplo), eles poderiam acessar seu github e ainda recuperar a senha. No pior dos casos, mas ainda é possível. Eu normalmente sugiro ter algum tipo de arquivo armazenado em um disco rígido externo e, possivelmente, armazenar o disco rígido em algum lugar no caso de haver um incêndio.

Se você realmente quiser usar um repositório ou nuvem para armazená-lo, faça tudo que puder para mantê-lo seguro.

No geral não é a melhor ideia. Não é o pior, mas é melhor pensar no "o que aconteceria se?" cenários. Pode nunca acontecer com você, mas se aconteceu, vale a pena?

Editar: Eu estava pensando em programas em alguns dos meus posts, então eu apareci para você responder melhor sua pergunta.

    
por 02.10.2015 / 17:35
0

One of pass's cool feature is that everything holds in a folder with a nice hierarchy, which is perfect for setting up a git repo

Eu acho que não é seguro. Para toda a sua conta (estrutura de diretórios) não é criptografada. Apenas a senha foi protegida por gpg.

(pass even provides that ability)

Se fizer isso usando a habilidade de passe. Talvez seja mais seguro. Mas você precisa reconstruir sua loja usando "pass git init".

    
por 27.03.2017 / 05:18

Tags

Por que posso ver uma fonte mesmo se ela não estiver instalada? O que faz o processador quando copio coisas de um disco USB para outro?