Administrador de contraseñas - id_rsa como archivo clave

Navega tus respuestas
3

Finalmente estoy dando el paso y empleando el uso de un administrador de contraseñas. Después de algunas investigaciones he seleccionado KeePassX. Mi plan es reemplazar todas mis contraseñas web con cadenas de 16 caracteres al azar.

Decidí usar una combinación de archivo de clave y contraseña.

Mi pregunta es esta; ¿es una mala idea usar mi id_rsa como mi archivo de clave KeePass? Llevo mi id_rsa conmigo todo el tiempo en un dispositivo USB cifrado. Siempre está ahí y es un archivo que protejo de todos modos, por lo que parece tener sentido.

Simplemente estoy muy consciente de que reutilizar cualquier cosa en seguridad generalmente rompe el mundo de alguna manera.

También me gustaría centralizar mi base de datos de contraseñas de alguna manera, en lugar de tener que copiarla en la computadora portátil / computadora de escritorio con cada nueva contraseña. ¿Alguien puede ver un problema al usar algo como SVN para lograr esto?

    
pregunta lynks 15.12.2012 - 13:15
fuente

2 respuestas

4

El "archivo de clave" está marcado antes de usar. Dudo mucho que haya alguna interacción con la estructura del archivo (que es un archivo de clave RSA) que pueda sobrevivir al hash, pero en general tiene razón: debe abstenerse de reutilizar un secreto criptográfico (como una clave RSA privada) para dos propósitos distintos. En realidad, es un requisito en muchos estándares relacionados con la arquitectura de seguridad (por ejemplo, FIPS 140-2 ). Le sugiero que cree otro ( dd if=/dev/urandom of=keyfile bs=16 count=1 ) que transportará junto con su id_rsa , usando la misma protección. 16 bytes aleatorios son más que suficientes.

    
respondido por el Thomas Pornin 28.12.2012 - 15:31
fuente
1

Uso SplashID Safe de SplashData y se sincroniza fácilmente en diferentes plataformas. No es necesario que incorpore el archivo de claves a la contraseña, ya que el sistema de registro de la aplicación SplashID puede organizarse de manera personalizada y conveniente con la cantidad de categorías de archivos de claves que desee. Con solo una clave maestra de la aplicación para recordar, tiene una herramienta de generación de contraseñas segura para establecer contraseñas más seguras e indiscutibles.

    
respondido por el DeandreJ 17.12.2012 - 00:03
fuente

Lea otras preguntas en las etiquetas

¿Requerir a los usuarios completar un PDF con información de CC y enviarlo por correo viola el cumplimiento de PCI? ¿Qué vulnerabilidades en el Top 10 de OWASP son relevantes para WordPress?