Almacenar contraseña en dominio público usando archivos y md5sum

1

Cada vez que compruebo la integridad de un archivo con md5sum, obtengo una serie de caracteres alfanuméricos para comparar y verificar si se descargó correctamente.

¿No se pudo utilizar la concatenación de varias de esas cadenas como contraseña ? Esto permitiría 'almacenar' la contraseña en claro , siempre que recuerde exactamente qué archivos producen dichas cadenas md5.

Sé que es tan poco práctico como puede ser, pero tengo curiosidad acerca de los posibles riesgos de seguridad y ventajas , si las hay.

Ventajas Puedo pensar en:

  1. Capacidad para recuperar su contraseña, incluso si sus discos duros y copias de seguridad se vuelven inutilizables.
  2. No se puede ingresar su contraseña directamente si se la interrogó. Aunque siempre podría apuntar a los archivos, entonces realmente no hay ningún resguardo aquí.

Desventajas Puedo ver sin apenas conocimiento de la seguridad de la información:

  1. Extremadamente poco práctico en comparación con un administrador de contraseñas.
  2. Si los archivos se eligen de forma deficiente o se pueden editar, la contraseña podría perderse o ser difícil de encontrar. p.ej. Uno de los archivos es un fondo de pantalla de un programa popular y abarca muchas ediciones de sus fans.

  3. Cualquier persona con conexión a Internet puede acceder a la contraseña. Lo único que lo protege es el hecho de que podría ser cualquier combinación de archivos con una fecha de creación anterior a la propia contraseña.

Como se dijo, no sé casi nada acerca de IS. Por favor, corrija cualquier error o error en esta pregunta.

    
pregunta Calculus Knight 31.08.2015 - 11:23
fuente

2 respuestas

1

Ventajas sobre un administrador de contraseñas: Poco a nada.

Problemas de seguridad:

  • La técnica de generación de contraseña se registrará en el comando history .
  • Cualquier mecanismo de acceso a archivos registraría el acceso a estos archivos cada vez que inicie sesión.
  • Su contraseña estará visible en la pantalla cada vez que necesite usarla.
  • Si algún archivo cambia sin su conocimiento, su contraseña se perderá.
respondido por el SilverlightFox 31.08.2015 - 16:52
fuente
1

Si asumimos que el contenido de los archivos de entrada es aleatorio, podemos ver que su propuesta utiliza MD5 como algoritmo de PRNG y utiliza los archivos de entrada como información inicial de la función PRNG. Entonces tu pregunta se convierte en:

  

¿Es seguro usar un algoritmo PRNG, cuyas semillas se almacenan en mi disco, como generador de contraseñas?

La respuesta a esta pregunta es claramente no porque todos los datos para recrear la contraseña están en línea y no están encriptados. Si bien las contraseñas pueden parecer aleatorias para los proveedores de identidad individuales, cualquier persona con acceso a su sistema tendrá acceso a todas sus contraseñas.

Si bien cree que la estrategia que utiliza para asignar archivos en el disco a las contraseñas, realmente no proporciona seguridad, solo oscuridad. Así que no hay beneficio allí.

Una posible mejora de su esquema sería cifrar los archivos de entrada y tener alguna aplicación inteligente que los descifre brevemente cada vez que necesite una contraseña. Esto puede ayudar a algunos, pero aún quedarán con muchos de los problemas analizados en la respuesta de SilverlightFox .

Si el contenido de estos archivos no es realmente aleatorio, se vuelve muy difícil predecir la calidad de las contraseñas que se generarán. Quizás un atacante inteligente y determinado aprenderá lo suficiente como para predecir sus contraseñas o reducir drásticamente el espacio de búsqueda para algunas de sus contraseñas. Es demasiado difícil saberlo. En general, escribir su propio cripto es difícil y propenso a errores. Tenga en cuenta que incluso la estrategia de cifrado analizada anteriormente no aumenta la aleatoriedad / previsibilidad de sus archivos de entrada.

Como último pensamiento, podría haber interacciones desconocidas entre el algoritmo que usas para generar contraseñas y los valores hash MD5. Quizás los MD5 generados a partir de estos archivos son menos aleatorios de lo que uno quisiera. Sin una investigación extensa y pública de su propuesta, no hay forma de saberlo (incluso entonces se puede encontrar una falla más adelante, pero esa es la mejor estrategia que tenemos en este momento).

    
respondido por el Neil Smithline 31.08.2015 - 17:48
fuente

Lea otras preguntas en las etiquetas