Właśnie wymyśliłem coś (myśle) ciekawego:
Mam kilka długich, najważniejszych haseł (jak hasło do password managera, klucze ssh etc.).
Myśle że wezmę arduino, napiszę mu kod żeby emulowało klawiaturę, dołącze jeden przycisk i wtedy jak będę się logować do password managera albo na ssh, to wciskam guzik i arduino mi samo wpisuje te hasła.
Oczywiście same hasła będą też zapisane na kartce na samym arduino w razie awarii mikrokontrolera (włamania do domu w poszukiwaniu haseł się nie boje).
Plusy: hasła do najważniejszych usług mogą być dowolnie skomplikowane. Obecnie mój password manager mi generuje mocne hasła do serwisów, ale samo hasło do managera już mam proste (bo je musze codziennie wpisywać).
Tym sposobem nigdzie na komputerze nie trzymamy hasła które może wyciec gdyby ktoś uzyskał zdalny dostęp.
Są też niby klucze yubikey, ale one nie wszędzie są chyba wspierane. Co uważacie?
@redve ja robię tak:
Do gówno stron mam 1 hasło
Do ważniejszych rzeczy tworzę sobie hasła według swojego schematu i pamiętam schemat a nie hasła.
Do banku mam überpojebane według innego schematu.
Pamiętam tylko jedno hasło do gównostron i na resztę mam schemat który łatwo zapamiętać i szybko napisać
@entropy_ no dobra, ale dalej bezpieczne hasło = długie hasło.
Taki schemat też mam, ale przez to mój klucz ssh ma 30 znaków i mi dużo schodzi na wpisywaniu go codziennie, a tak mam 1 guziczek i pstryk
@redve do ssh sobie klucze publiczne wygeneruj jak biały człowiek a nie hasło piszesz
@redve czej, Ty wklepujesz pubkey (edit privkey oczywiście) ręcznie? Czy mowa o passphrase?
@serel @entropy_ passphrase oczywiście.
Mam klucze publiczne, ale te klucze są zabezpieczone hasłem które może wyciec
@entropy_ nie jestem pewien czy zrozumiałeś o co chodzi w moim wpisie.
To jest 30 lub więcej znakowe hasło które długo się wpisuje, i jest duża szansa na zrobienie literówki.
Sensem całego projektu jest to, żeby oprócz bezpiecznego hasła mieć mało roboty
@entropy_ z grubsza tak to powinno wyglądać + różne maile do różnych stron itp
Jest też kwadratura takich zabezpieczeń:
kiedyś pracowałem w korpobanku, którego dział IT wymyślił że do każdego systemu bankowego musi być inne hasło, do tego minimum 16-to znakowe, do tego hasło nie może być użyte przez minimum trzy miesiące w innym systemie od pierwszego użycia i (tutaj kurwa hit) połowa znaków z tego hasła do danego systemu nie może zostać użyta w nowym haśle
Finał był taki że pracownicy zapisywali hasła w zeszytach, notatnikach, telefonach lub mieli Excele z formułami do generowania haseł xD
Parę lat temu pracowałem w firmie gdzie robiliśmy to na smartcard readerach. Dlaczego smartcard? Smartcard to secure device gdzie flash jest rozbity na cały krzem (nie jest trzymany w jednym miejscu), plus wszystkie operacje matematyczne zawsze zabierają taką samą ilość czasu.
@redve jak Twoje rozwiązanie różni się poziomem bezpieczeństwa od trzymania hasła po prostu zapisanego na pendrive, z którego robisz ctrl+c -> ctrl+v?
@wombatDaiquiri o pendrive-ach słyszałem że można z nich łatwo wykraść wszystkie dane po samym podpięciu go (windows domyślnie montuje wszystkie pendrive-y, więc zrobienie skryptu który automatycznie scrape-uje wszystkie dane i je wysyła dalej wydaje sie banalne). Moje rozwiązanie zapewniałoby komunikację tylko w jednym kierunku, więc nikt by nie zobaczył hasła dopóki nie będę chciał go wpisać.
Dodatkowo kiedy np. streamuję ekran i potrzebuję wpisać hasło (np. streamuję współpracownikowi jak coś robię z ssh/gitem) to wtedy można podejrzeć moje hasło.
Generalnie nie różni się oprócz tego jakoś znacznie, a to co opisałem to pierdoły, natomiast będzie mniej klikania niż podpinanie pendrive-a
@redve Problem w Twoim rozwiązaniu jest taki że sama pamięć której użyjesz do trzymania hasła musi być bezpieczna: tak jak pisałem poprzednio: Flash musi być rozbity na cały krzem.
Dodatkowo musisz dodać opcję tego że urządzenie które przechowuje hasło (nazwijmy to "HasłaTur", Tastatur po niemiecku to klawiatura) musi ufać urządzeniu które pobiera hasło, tutaj by przydałaby się opcja parowania/wymiany certyfikatów, a to trywialne już nie jest.
Weź pod uwagę to że po zgubieniu Hasłatur'a każda osoba będzie miała wtedy dostęp do Twojego master hasła.
Pokombinuj może z Androidem i łaczeniem się z PC po bluetooth jako HID? I hasło będzie przekazywane tylko wtedy gdy nie wiem, odcisk palca się zgadza albo pin.
@redve
Moje rozwiązanie zapewniałoby komunikację tylko w jednym kierunku
Jeśli mogę spytać - jak zamierzasz to zrobić? Bo jeśli Arduino będzie udawało klawiaturę, to czy nie wystarczy keylogger na Twoim komputerze żeby podejrzeć Twoje hasło plaintextem?
@wombatDaiquiri to też rozważałem, i na to faktycznie ciężko byłoby coś znaleść.
Nie mniej, będzie to lepsze od trzymania hasła w pliku, i pozwoli skrócić logowanie sie
@m_h jeżeli ktoś będzie miał tylko płytkę arduino która wysyła coś po usb po kliknięciu przycisku, to jeżeli nie wiedział wcześniej co kradnie to prawdopodobnie nie da rady tego użyć (a jeżeli ktoś mi w autobusie ukradnie plecak, to raczej nie wie co kradnie)
Nie wie co wysyłam, ani do czego to jest hasło, ani jaki jest email. Większym problemem byłby faktycznie keylogger
@redve https://github.com/luisbraganca/rubber-ducky-library-for-arduino
przy pomocy tego (lub innych bibliotek typu rubber dycky) mozesz sobie zrobić emulację klawiatury.
@owczareknietrzymryjski problem w tym że to jest do leonardo, a do leonardo to nawet w przykładach arduino jest kod.
Szukam czy zrobie to jakoś z nano, ale będzie kiepsko bo ono jak widzę sie nie komunikuje po USB. Może coś po serial porcie wymyśle + serwer który to czyta
@redve Zalatuje trochę paranoją, wystarczy manager haseł + silne hasło master do niego. Większość jakichkolwiek włamań to jest efekt pishingu albo debilnego odpalania nieznanych .exe na kompie. Nikt ci nie będzie łamał hasła do menagera haseł komputerem kwantowym xD.
@Catharsis
silne hasło master do niego
jak już wiele razy pisałem, problemem nie jest nawet samo bezpieczeństwo co ułatwienie sobie życia.
Silne hasło będzie długie. Nie jest możliwe żeby krótkie hasło było silne.
Długie hasło długo się wpisuje, a robię to często (codziennie sie loguje do ssh/password managera).
Chodzi o skrócenie tego zadania, przy jednoczesnym nie zwiększaniu ryzyka trzymając np. najważniejsze hasło w nieszyfrowanym pliku na pendrive
@redve Silne hasło w cale nie musi być aż tak dłuuuuugie by mieć 30 znaków. To jest paranoja i nikt nie będzie poświęcać takich zasobów by spróbować brute forceować twoje hasło. Kilkanaście znaków w zupełności wystarczy bo przy literach, cyfrach i symbolach to i tak będą lata jak nie dłużej. O ile nie trzymasz tam haseł do kont z milionami w kryptowalucie to nikomu się nie będzie opłacało poświęcać tyle zasobów na to by złamać hasło jakiegoś randoma z internetu.
Zaloguj się aby komentować