Uso pass para administrar mis contraseñas y sincronizarlas manualmente con un repositorio privado de git en la nube.
Creo que esto es seguro porque el repositorio no es público y, lo que es más importante, los datos están cifrados con GPG.
¿Estoy en riesgo de hacer esto?
¿Estoy en riesgo de hacer esto?
No
Si "pasar" es seguro, lo que significa que se está cifrando correctamente, podría enviar sus contraseñas cifradas a cualquier persona que desee y aún estaría bien.
Mientras no puedan descifrar su contraseña maestra con fuerza bruta, esto puede llevarle años si tiene una contraseña maestra segura.
El paso filtra los nombres de las entradas: si su contraseña se llama web / site.com, se almacenará en el archivo ~/.password-store/web/site.com.gpg , y en el repositorio de git solo será web/site.com.gpg .
Entonces, cualquier persona con acceso a tu repositorio (en tu caso: github) podrá ver el nombre de tus contraseñas. Esto no es tan bueno para la privacidad: digamos que hay un archivo llamado web/pornhub.com.gpg , esto podría dar una pista sobre sus hábitos de navegación;)
Además, el tamaño de los archivos también puede dar una pista sobre qué cuentas pueden tener pequeñas contraseñas . Si un archivo es muy pequeño, es probable que su contraseña también sea pequeña. Un atacante podría usar esta información para seleccionar qué cuenta tuya es más probable que tenga una contraseña débil.
Lea otras preguntas en las etiquetas password-management