Cómo almacenar, cifrar y respaldar correctamente las contraseñas para uso en el hogar y la oficina

Navega tus respuestas
3

Estoy muy cerca del momento, donde tendré que migrar de mi antiguo SSD y datos HDD a nuevos (desgaste y edad), por lo que estoy reconsiderando mi entorno. Por favor, dame sugerencias sobre qué debería mejorarse con respecto a la seguridad y las copias de seguridad.

Considere el entorno como se describe:

En el uso diario, uso Win7 (posiblemente actualizando a Win10 con una nueva instalación) con KeePass2 (relacionado con el trabajo). Uso una contraseña segura y un archivo de clave.

La base de datos de contraseñas de KeePass junto con el archivo de claves (y más de 10 archivos de claves ficticias) y algunos otros archivos privados, se almacenan en el volumen de TrueCrypt, que desbloqueo manualmente después del inicio del sistema.

Quiero hacer una copia de seguridad de este volumen de TrueCrypt y hacerlo disponible desde mi lugar de trabajo también. Elegí usar el servicio de almacenamiento en la nube menos popular (SpiderOak) para almacenar ese volumen (en lugar de una unidad flash, para poder acceder a las contraseñas mientras estoy lejos de la PC o no puedo acceder al dispositivo compatible con KeePass \ TrueCrypt). El problema es que el volumen siempre (la PC tiene un tiempo de actividad del 95%) está montado (no se puede copiar / sincronizar el archivo en uso, lo que genera pocas oportunidades para realizar copias de seguridad) y cuando realizo cambios en el contenido (base de datos de contraseñas), la marca de tiempo del volumen de TrueCrypt y el tamaño no está actualizado.

Como no pude resolver este problema, lo pospuse porque se necesita una mejor solución. Como también necesito acceso al último almacenamiento de contraseñas de mi lugar de trabajo, uso la conexión de Escritorio remoto (con puerto personalizado) para el hogar y uso mi PC de trabajo como terminal.

Para las conexiones a la PC doméstica, no uso VPN (AUN, estoy aprendiendo a crear un servidor l2tp con ipsec VPN en nuestro enrutador mikrotik, pero aún así, sin éxito), así que supongo. podría haber sido ya olfateado y espero poder resolver este problema en el futuro.

La pregunta:

¿Cómo debo cambiar mi comportamiento o entorno para hacerlo más seguro y las copias de seguridad realmente funcionarían?

PD: ¿Qué agujeros de seguridad ves en mi entorno actual, que debería solucionar lo antes posible hasta que mi nuevo entorno esté listo?

    
pregunta Deele 24.04.2017 - 14:59
fuente

2 respuestas

1

Si bien su enfoque es mucho más que lo que haría un usuario promedio en el entorno doméstico, hay varios vectores de ataque que puede querer mitigar (por diversión, información o preocupación seria si es un espía internacional :).

En primer lugar, ya tienes confianza ciega (infinita) en varios actores:

  • su fabricante de hardware (firmware de chips, BIOS / UEFI, etc.)
  • su proveedor de sistemas operativos,
  • Proveedor de KeePass (a menos que haya marcado la línea de origen por línea),
  • proveedor de TrueCrypt (- "-),
  • su proveedor de nube,
  • cualquier persona que tenga derechos administrativos en su máquina,
  • cualquier persona que pueda comprometer su sistema de cualquier manera,
  • todos los empleados de los proveedores de software anteriores se comprometen con su código fuente (a menos que haya examinado detenidamente sus políticas de calidad y seguridad).

Cualquiera de los actores anteriores puede acceder a sus contraseñas sin problemas. En diseños de seguridad serios, debe reducir el número de actores de confianza al mínimo, y nunca debe confiar en un solo actor .

Puede mitigar los problemas de seguridad de la siguiente manera:

1) Mantenga las contraseñas más importantes en su cabeza. Esta es la buena manera, y la forma prevista de utilizar las contraseñas. Las personas medievales pudieron memorizar textos sagrados enteros (latinos) sin comprenderlos. No estamos entrenados para eso, pero es posible.

2) Siempre use 2FA (autenticación de dos factores) para sus cuentas importantes. La mayor ventaja de 2FA es que no tienes que confiar en un solo actor. Si el atacante comprometió su máquina o redujo su sistema operativo, todavía tiene que robar su huella digital o comprometer su teléfono y dispositivo de seguridad. Si confías únicamente en las contraseñas y no las guardas en tu cabeza, un solo actor es suficiente para derrotar a tu defensa. Es un orden de magnitud varios menos probable que dos actores estén cooperando. Los Ejércitos cibernéticos nacionales ciertamente pueden hacer eso, pero de lo contrario, usted es más o menos seguro.

3) Mantenga el número de actores al mínimo. Un pendrive portátil con un archivo de texto simple, cifrado con un algoritmo decente y una buena clave es mucho más seguro que su configuración actual porque confía en muchos menos actores: el hardware actual, el sistema operativo actual y el algoritmo. Puedes incluir tu propio descifrador hecho en C o python. Algunos hardware de código abierto portátil con una pantalla pequeña y con código simple verificable es aún mejor. Puede que no sea muy conveniente, pero es más seguro.

4) Mantenlo simple. En seguridad la simplicidad es crucial. Cuanto más pueda verificar personalmente, menos tendrá que confiar.

Si haces todo lo anterior, la mayoría de los atacantes probablemente esté mejor enviando a un matón para que te golpee y así obtener las credenciales. :-)

EDITAR: Si la cantidad de contraseñas es grande y no se puede evitar algún tipo de administrador de contraseñas, sugiero una fuera de sistema. Pendrive con el administrador de contraseñas independiente es lo suficientemente bueno. O puede crear su propio dispositivo de seguridad con el marco de Arduino que incluso puede escribir sus contraseñas.

    
respondido por el goteguru 24.04.2017 - 16:32
fuente
0

La seguridad es, siempre ha sido y siempre se tratará de equilibrar la seguridad de la competencia con la comodidad. Prácticamente todo lo que haga para facilitar el inicio de sesión reducirá su postura de seguridad. Cada herramienta que existe para almacenar contraseñas requiere que confíe en el proveedor de la herramienta. El almacenamiento en la nube está confiando en el proveedor.

Cuando confía en una compañía, está confiando en que tienen procesos establecidos para evitar que los empleados malintencionados lo lastimen. Confía en que tengan la seguridad de TI establecida para que los malos no puedan comprometerlos y luego comprometerse a usted. Las personas siempre han sido el eslabón más débil en la cadena de seguridad y siempre lo serán.

Si podemos confiar en los administradores de contraseñas, las nubes, los sistemas operativos no es algo que podamos decirle. Depende de la importancia que tengan los datos y de cuánto podría lastimarlo si se dañara, eliminara, robara o divulgara.

Personalmente, creo que tiene menos de qué preocuparse en las áreas de administración de contraseñas, cifrado y almacenamiento en la nube, y debería preocuparse principalmente por exponer su PC doméstica a una conexión de escritorio remoto. Tengo un sistema de Windows expuesto a RDP a través de un puerto no estándar, pero ese sistema no tiene nada que pueda acceder a mis cuentas en otro lugar.

Cambiar el puerto por defecto es bueno, pero no es suficiente. Busque buenos escritos sobre la mejor manera de fortalecer su servicio de RDP. Si ese servicio RDP está activo para que pueda conectarse desde el trabajo, configure su firewall para que solo permita la IP pública de su trabajo.

Eso me recuerda preguntar, ¿tienes un firewall frente a esa PC con Windows, verdad?

    
respondido por el Thomas Carlisle 25.04.2017 - 02:13
fuente

Lea otras preguntas en las etiquetas

Rastreando una puerta trasera registrando paquetes ¿Qué tan probable es que la vulnerabilidad de Hot Potato pueda ser explotada en una máquina Windows 2012 actualizada?