Tengo un archivo GNUPG que utilizo para almacenar todas mis contraseñas localmente (no sé si es una buena idea). La pregunta es, ¿es seguro enviar el archivo GNUPG a github para que pueda acceder a él desde cualquier lugar?
Tengo un archivo GNUPG que utilizo para almacenar todas mis contraseñas localmente (no sé si es una buena idea). La pregunta es, ¿es seguro enviar el archivo GNUPG a github para que pueda acceder a él desde cualquier lugar?
Está encriptado, por lo que en teoría es seguro, siempre y cuando su clave / contraseña de encriptación sea de suficiente calidad.
Pero si estás haciendo pública tu base de datos, eso es casi una invitación para que la gente intente descifrandola. Si su clave no es tan fuerte como cree, o si se resbala de alguna otra forma (por ejemplo, caer en un ataque de phishing), está en riesgo. Creo que publicar tu base de datos públicamente es una mala idea. Solo porque algo no debería estar en riesgo si está en manos de los atacantes, no significa que deba ser voluntario para ser un objetivo. Al igual que un sitio web mantiene sus hashes de contraseña como una primera línea de defensa, su primera línea de defensa debe mantener su archivo de contraseñas fuera del alcance de los atacantes. Ni siquiera pueden intentar atacar lo que aún no tienen.
Sugiero usar un servicio de almacenamiento en línea que ofrezca acceso privado (como: Dropbox, Google Drive, OneDrive, etc.) para almacenar sus contraseñas cifradas para un conveniente acceso a múltiples dispositivos, pero aún así mantenerlas ocultas para la mayoría de los atacantes.
Fuera del tema: ¿has considerado un administrador de contraseñas diseñado para este propósito? Si desea una herramienta solo local, KeePass, PasswordSafe y otras opciones existen. Creo que encontrará que la conveniencia aumenta bastante con el mismo nivel de seguridad (o mejor, ya que no necesita preocuparse por los archivos temporales creados en el descifrado).
El administrador de contraseñas pass funciona esencialmente de la forma que está proponiendo al colocar cada contraseña (más información opcional opcional) ) en un archivo PGP encriptado individual y registrándolo en git para moverlo. Si bien no es el administrador de contraseñas más popular, es lo suficientemente popular como para que, si esto causara problemas graves, probablemente se conozca.
Uso pass aunque uso una cuenta ssh (autenticada a través de gpg-agent y mi PGPCard) en una VM personal alquilada en lugar de github, aunque todo esto hace es ocultar los nombres de archivo, que llevan el nombre de los sitios para los que se utilizan, que pasan utiliza y realmente no haría una diferencia para su escenario todo en un archivo.
Lea otras preguntas en las etiquetas password-management audit gnupg github