Poucas perguntas sobre como ser mais seguro com senhas (lastpass, onepassword, 2 step auth)

4

Estou vendo o seguinte:

1password (adoro a interface do usuário, não me importo com o preço), lastpass (adoro yubikey, odeio a interface), keepass (odeio a interface ainda mais).

Eu quero usar 1password, mas estou com medo do cenário a seguir, porque meu GMail recentemente foi "hackeado".

Eu tenho 2 computadores + iPhone. (um MBP, um PC).

Eu não estou preocupado com o meu MBP, mas se eu estiver sincronizando meu arquivo 1password no Dropbox entre os computadores e alguém se apoderar do meu PC, eles poderão potencialmente digitar o teclado na minha senha mestra e então adquirir meu arquivo de Dropbox, então eles teriam acesso a tudo na lista de senhas.

Eu sou muito paranóico para pensar nisso, ou esse tipo de vetor é algo para se ter medo? Por causa disso, sinto que realmente quero que um método de autenticação multifator realmente me proteja.

Pensamentos?

    
por Daniel Fischer 11.05.2011 / 22:22

3 respostas

5

O cenário que você sugere é teoricamente possível. Você pode minimizar o risco usando o cliente Dropbox em vez de acessar o Dropbox pela web. Sua conta será pré-associada ao seu computador, e você não estará digitando sua senha do Dropbox, portanto, há poucas chances de que ela a capture com um keylogger. Outra possibilidade é manter seu banco de dados de senhas em uma chave USB criptografada Truecrypt ou criptografada de alguma forma em seu iPhone em vez de um serviço de compartilhamento de arquivos online, tornando ainda mais difícil obter o arquivo de senhas, pois nunca será armazenado em nenhum lugar exceto onde você está fisicamente. Claro, se eles tiverem acesso suficiente para instalar um keylogger, eles podem ter acesso suficiente para pegar o arquivo de banco de dados do armazenamento local de qualquer maneira.

Se você quiser evitar totalmente os gerenciadores de senhas, mas ainda tiver senhas memoráveis, recomendo a abordagem defendida pelo pesquisador de segurança da Universidade de Cambridge, Ross Anderson. Crie senhas usando a primeira letra de frases longas, pois isso permitirá que você gere senhas longas (ou seja, difíceis de decifrar) que ainda sejam memoráveis. Na verdade, eu uso essa técnica (com modificações para aumentar a entropia incluindo números e pontuação) para criar senhas mestras que são muito seguras e que me lembro. Consulte o link para obter mais detalhes.

Qualquer medida de segurança que você tomar será um compromisso entre conveniência e segurança. Um usuário altamente paranóico nunca inserirá suas senhas de uma máquina que não controla e só enviará senhas pela Internet via https. Naturalmente, isso limitará o número de lugares dos quais você pode acessar seu material protegido por senha.

A menos que você ache que alguém está particularmente propenso a querer seus dados específicos , é provável que qualquer ataque à sua segurança de senha seja de arrastos de baixo nível. Assim, é provável que o hacker esteja usando ferramentas automatizadas, e é improvável que faça o esforço especial de descobrir qual gerenciador de senhas você está usando, pegando o arquivo de senhas, etc. Se você acha que é provável que seja vítima de ataques direcionados. ataques, lembrando-se de senhas de alta entropia separadas para todas as suas contas confidenciais, e apenas acessá-las a partir de PCs que você controla com antivírus e antimalware atualizados é provavelmente o melhor caminho a seguir.

    
por 11.05.2011 / 23:01
1

Use um protetor de senhas (os que você menciona estão bem ... eu uso keepass) e faço da senha mestra as palavras de uma música, algo que não poderia ser violado com a automação em qualquer tipo de tempo razoável. E alguns números até o fim.

Aqui está a parte importante. Para cada site ou sistema que você usa, crie uma senha diferente, use a gerada automaticamente no programa que você está usando e faça diferentes para cada site. Não tente ter senhas que você possa lembrar, exceto pelo seu programa. É loucura de outra forma.

    
por 11.05.2011 / 22:31
1
Paranoia é a base do bom gerenciamento de senhas - se você precisa ter uma senha para alguma coisa, então a paranóia é apropriada (especialmente onde a internet está envolvida).

Em relação a senhas, usar a mesma senha em mais de um lugar pode aumentar o risco de exploração por um hacker que determina qual das suas senhas é. Os problemas com mecanismos de senha são quando alguém os pega (o que é basicamente o mesmo problema com alguém que obtém acesso a um mestre de listas de senhas).

Infelizmente, a segurança por senha é um problema social que a tecnologia nunca será capaz de resolver completamente, de acordo com o famoso ditado "onde há uma vontade, há um caminho". O fato de você estar preocupado com isso é uma coisa boa.

    
por 11.05.2011 / 22:32