GitHub'da şifreleri saklamak (şifreli) güvenli midir?


21

Tüm şifrelerimi işlemek için pass kullanıyorum . SHA256 algoritmasını kullanarak 4096 bit anahtarla GPG kullanılarak şifrelenir. Şifre depomdaki her giriş için farklı bir şifre kullanıyorum.

Geçişin harika özelliklerinden biri her şeyin güzel bir hiyerarşiye sahip bir klasörde tutulmasıdır, ki bu bir git repo oluşturmak için mükemmeldir (geçiş bile bu yeteneği sağlar). Şifremin tüm bilgisayarlarımda güncel olmasını istiyorum.

Pass git deposunu özel GitHub deposuna itmek güvenli midir? Eğer değilse, zayıf halka nedir?


Bunu yapmanı tavsiye etmem. Bunun bir nedeni, şifrelenmiş şifrenizi terk etmeniz, çevrimdışı kaba kuvvet saldırısına maruz kalmasıdır.
heavyd

Özel bir repo olduğu düşünülürse, GitHub’ın müşterileri gibi GitHub’dan başka hiç kimsenin repoya erişemeyeceği varsayılır. Tabii ki, bir şekilde yanlış bir depoya girmediğim sürece.
Nicolas Mattia,

1
Ayrıca, hiç kimse GPG anahtarına erişemeyecekti, bu yüzden birinin 4096 bit şifrelemesini kırması gerekecekti, bu da çevrimdışı bir kaba kuvvet saldırısı için bile pek mümkün değildir
Nicolas Mattia

1
Onlar berbat olmadıkça ve özel anahtar parola Password1;) sadece bugün bir kez açtığım için hala şirketin adını parola (komodia) olarak kullanarak süper balığı düşünüyorum. Sadece çatlamasını kolaylaştırır, ama yine de. Aptalca hatalar şifrelerin şifresini çözmeyi kolaylaştırır.
dakre18

@ dakre18 seviyesi "olası bir ihtimal" den "komik şifre çözme" ye geçer
m3nda

Yanıtlar:


13

Ters cevap

Geçiş repo github koymak tamam.

Ayrıntılı Cevap

Geçiş deponuz, seçtiğiniz özel anahtarı kullanarak GPG şifreli olduğundan, seçtiğiniz anahtar kadar kurşun geçirmez. Ayrıca, özel anahtar değildir pass repo depolanan. Bu, şifreli parola dosyalarınızın halka açık özel konumunun parola yöneticinizin güvenliğindeki zayıf halka olmadığı anlamına gelir . Aksine, endişelenmeniz gereken onları şifrelemiş olduğunuz özel anahtardır.

İyi bir anahtar olduğundan emin olun (bahsettiğiniz gibi) ve kullanmaya o büyük anahtarı kırmak zorunda kalmayacakları için kimseye maruz bırakmayın. Sadece şifrenizi girmek zorunda kalacaklar ve kabul edelim ki, şifrenizin herkesi durduracak kadar iyi olduğundan emin olmak gerçekten zor .

Bu yüzden başkalarının anahtarınızı görmesine izin vermeyin. Özel anahtarınızı geçiş kullanan bilgisayarların her birine taşırsanız, geçiş kodunuzu github'dan çekip, bu bilgisayarlarda saklanan özel anahtarı ayrı ayrı kullanabilirsiniz. Şimdi hepsi senkronize ve güvende kalacaklar.

Dikkate Alınacak İki Şey

Geçiş noktası, şifrelerinizi şifreli tutmaktır. Onları github.com'da olma konusunda iyi değilseniz, o zaman gerçekten güvendiğiniz şey şifreli durumları değil özel konumlarıdır. Bu durumda, neden onları hiç şifreleyelim? Sadece kullanımları geçen aynı düz dosyaları kullanabilir ve şifrelemeyi zahmete sokamazsınız. Bu oldukça uygun olurdu!

Ayrıca, parola yöneticinizin kullanımını daha kolay kılmanın, onu isteme / reddetme olasılığınızın düşük olduğu anlamına geldiğini unutmayın. Geçiş yapmak için ne zaman bir iş yapmak zorunda olursanız olun (örneğin, bir hesaptaki şifreyi sıfırlama çünkü hoş bir güvenlik kodu farklı bir bilgisayarda oluşturulmuş ve henüz el ile senkronize edilmemişsinizdir, ancak hemen giriş yapmalısınız) Sağladığı güvenliği azaltacak.


Sanırım üç iyi noktaya değiniyorsunuz: 1) şifreleme anahtarı sunucuda bulunmuyor 2) birinin şifremi görmesinin ilk sırada şifreli olmasının sebebi olduğunu görmeniz 3) sakar parmaklarım çoğunlukla döngü. Fakat @Jens’in dediği gibi yazılıma güvenmeliyim.
Nicolas Mattia,

1
Pass, gerçekten güvenmediğiniz kadar basittir, PGP'ye güveniyorsunuz. Olduğu söyleniyor, evet, hala PGP'ye güvenmek zorundasınız. Bu konudaki düşüncelerim, bunları şifrelediğine güvenmiyorsan neden PGP'yi bir şey için kullanıyorsun?
Tyler Abair,

7

Bu güvenli olacaktır, ancak parolanızı halka açık bir yere koymamakla karşılaştırıldığında sizi ek risklere maruz bırakır.

  • Yanlışlıkla şifrelenmemiş şifrelerin yüklenmesi (bunu bilerek yapmayacaksınız, ancak kazara veya bir yazılım hatası nedeniyle oluşmayacağından emin misiniz?)
  • RSA'daki bilinmeyen zayıflıklar veya kullanımdaki simetrik şifreleme
  • Kullanım kalıpları açıklandı (istatistikler güçlü)
  • Erişim belirtecinizin yanlışlıkla serbest bırakılması kamuya açık verilerle sonuçlanır; ayrıca, özel olarak saklarsan, daha güvende olursun
  • En kötü durum, şu anki durumunuza kıyasla , tüm parola depo geçmişinizin açıklanmasıdır

Başka bir deyişle: Hata yapmazsanız, yazılıma güvenin ve şifreleme algoritmasının ardındaki matematik, şifreli parola deposunun halka açık bir şekilde saklanmasından emin olun. Bunlardan herhangi birinde şüpheniz varsa (ve kişisel olarak, güvenim tam olarak bu sırada olacaktı, arkasındaki matematikte yüksek gizliliğe sahip bir kullanıcı olarak kendime güvenim kaybediyor), mağazayı gizli tutun.

Hiç sohbet penceresindeki kaza sonucu ortaya çıkan özel bir şifre yazdınız mı? Kendim de dahil bir sürü insan tanıyorum.


3

Bu iyi bir soru, çünkü geçmişte birisinin kamuya açık bir depoda özel bir şifre koyduğu bir problemdi.

Bu şekilde düşünün, özel olsa bile, bu dosyayı (diğer hassas dosyalarla birlikte) herkese açık bir depoda saklamamak iyi bir uygulamadır. Bir yerde yedeklemeniz iyidir, ancak şifrenizin bir şekilde alındığını söylese (örneğin, üçüncü taraf sitesi), github'unuza erişebilir ve hala şifreyi alabilirler. En kötü durum, ama yine de mümkün. Genelde harici bir sabit sürücüde bir tür dosya depolanmasını öneririm ve muhtemelen bir sabit disk sürücüsü varsa, yangın çıkması durumunda bir yerde saklayın.

Saklamak için gerçekten bir depo veya bulut kullanmak istiyorsanız, güvende tutmak için elinizden geleni yapın.

Genel olarak en iyi fikir değil. En kötüsü değil, ama "ne olurdu?" Diye düşünmek en iyisidir. senaryoları. Asla senin başına gelmeyebilir, ama eğer öyleyse, başın belada mı?

Düzenleme: Yazımın bir kısmındaki programları düşünüyordum, bu yüzden sorunuzu daha iyi yanıtlayabilmeniz için hazırladım.


0

Geçişin harika özelliklerinden biri, her şeyin güzel bir hiyerarşiye sahip bir klasörde tutulmasıdır, ki bu bir git repo oluşturmak için mükemmeldir

Bence güvenli değil. Tüm hesabınız için (dizin yapısı) şifreli değil. Sadece şifre gpg tarafından korunmuştu.

(geçmek bile bu yeteneği sağlar)

Geçiş yeteneğini kullanarak yaparsanız. Belki daha güvenlidir. Ama "pass git init" kullanarak mağazanı yeniden kurman gerekiyor.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.