Discussione Miglior gestore di password?

[FrancescoZoino0]

Uso keepass e mi trovo benissimo. prima usavo anche password gorilla di ubuntu ma poi sono passato definitivamente su keepass, per motivi di cifratura avanzata. Per le password veramente importanti, però, ti consiglio di scriverle su foglio di carta.

Ad esempio ho 2 conti correnti, uno temporaneo e l'altro dove ho tutto. Mi collego al temporaneo da qualsiasi pc windows e da cellulare (password salvata su keepass), ma il conto "serio" lo apro esclusivamente da computer linux (e password salvata su carta).

Quindi ricapitolando:

1. no sicurezza: file di testo
2. sicurezza contro una nonna : file di testo con password
3. sicurezza media: keepass
4. sicurezza avanzata: ledger nano s, app "password manager"
5. sicurezza contro la NSA: foglietto di carta

1a opzione : non criptata o necessita di competenze top
2a opzione: non criptata
3a opzione: non criptata e i cinesi non aspettano altro per attaccare un serverino dove hai messo tutte le password.
Credo che il raspi necessiti di più accorgimenti rispetto ad un software normale.

Hai ragione sul fatto che non possa essere abbastanza sicura come opzione o meglio non criptata anche se nella terza opzione potrebbe apportare qualche modifiche proprio sulla sicurezza magari metterci un dominio con SSL e varie opzioni che migliorano la sicurezza. Ma è comunque difficile rubare i dati dai personal cloud installabili sui proprio server come NextCloud oppure OwnCloud perchè ogni giorno la community lavora per migliorarli, quindi non si tratta di una semplice pagina in php con il login che poi ti fa vedere i tuoi file. Il sistema cloud in questo caso (owncloud e nextcloud) siono già criptati da loro stessi o meglio hanno già una buona sicurezza.

Ma resta comunque il fatto che anche questi servizi che ti danno questa possibilità (di immagazzinare password,ecc.) non sono sicuri, chissà poi che ci fanno e comunque posso ricevere un attacco anche loro, certo per l'hacker sarà più difficile poichè avranno aggiunto molte più sicurezze ma resta il fatto che l'hacker possa essere interno e vendere questi dati a terzi. Per il resto è vero, queste applicazioni sono utili però non si può MAI avere una SICUREZZA AL 100% nel mondo informatico.

Byee

 

[FrancescoZoino0]

Non avevo capito bene cosa fosse Keepass, comunque concordo con te in questo.

 

[LCyberspazio]

Discussione interessante. Di base non utilizzo gestori di password per il problema di accedere alle password da diversi dispositivi. Siti web non se ne parla e anche le app Android mi fanno salire la paranoia.

Per il momento ho infatti un bel file cifrato con GPG (algoritmo TwoFish) in un serverino casalingo. Posso quindi loggarmi nel server e decrittare il crittogramma da tutte le piattaforme.
Pro:
- Un cifrario più resistente anche del Rijndael di AES (NSA spostati... no dai, scherzavo... amici?)
- nessun intermediario
- solo free software

Contro:
- Devo gestirmi la sicurezza del server (anche da attacchi fisici, ma ho la soluzione)

- Nessun meccanismo di copia diretta negli appunti, rischio di shoulder surfing



...almeno per il momento questa mi è sembrata la soluzione più paranoid-friendly

 

[ĐĐoS]

Ma praticamente questi software oltre a memorizzare le password fanno anche il riempimento automatico all'apertura di un ulteriore software oppure una pagina web? Comunque anch'io mi sto interessando ad un gestore password, non sapevo ne esistessero alcuni utili, credevo si potessero hackerare facilmente. Comunque ho anche un'altra domanda, se dovessi avere + account su Facebook? (esempio)

 

[LCyberspazio]

Troppo casino. Se mi serve una password voglio sia una cosa veloce. Io per le password non importanti uso Safe in cloud per adesso.

Non nego che sia un metodo macchinoso ma solo da smartphone e tablet, poiché sui PC ho praticamente sempre una shell aperta sul serverino.
Quindi per la maggior parte si tratta di lanciare un comando, ergo più veloce che aprire un sito e cercare in un database.

EDIT: ovviamente fermo restando che il concetto di base è non avere le password su un server che non posseggo

 

[morugaskorpio]

La soluzione migliore? Keepassxc con password, file chiave e yubikey configurata.

Sfido chiunque a riuscire a rompere una cosa del genere

 

[Psychonaut]

Io sul Mac uso MacPass, è free è open-source ed è compatibile con keepass.