Как реализовать систему хранения и использования паролей?

Question

[WorthToLive]

Характеристики системы.
Два способа авторизации в системе:
1) Использование USB-токена с встроенной клавиатурой для ввода пин-кода, чтобы входить в аккаунт LastPass (или подобный менеджер паролей)
Данный способ будет основным. Он должен быть безопасен для использования на общедоступных компьютерах. Желательно, чтобы не было необходимости устанавливать дополнительные программы на используемый компьютер.
2) Использование мастер-ключа для входа в LastPass (или подобный менеджер паролей)
Данный способ является дополнительным. Он только на доверенных компьютерах или при потере USB-токена.
Подскажите как это можно примерно реализовать и какие слабые места есть в такой системе?

Comments

[Алекс]

Опиши подробнее кейс, что значит на "общедоступных компьютерах" ? Речь про корпоративное использование или для себя\ индивидуальное ?
Ты собираешся облачный ЛастПасс акаунт использовать или локальный файл ? если локальный то может ты имел в виду KeePass.

[WorthToLive]

Система нужна для личного использования. Под общедоступным понимается, например, компьютер в интернет-кафе. Облачный или локальный, мне без разницы.
Основная цель упростить вход в аккаунты на общедоступных компьютерах и при этом не потерять в безопасности.

Answer 1

[Армянское Радио]

"Незнакомый компьютер без драйверов" с удовольствием стырит ваш пароль с токена по пути до его поля для ввода в LastPAss

Comments

[WorthToLive]

Предполагается, что передаваться сам пароль(частный ключ) не будет, а только открытый ключ и его производные.

[WorthToLive]

Конечно, необходимо найти сервис хранения паролей, который умеет с этим работать.

Answer 2

[Алекс]

Если это для себя - то купи себе ноут, и в нем сделай виртуалку где будеш использовать ЛастПасс в изолированной среде.
За ЛастПасом сейчас много малвари охотиться. поэтому если у тебя в нем например, хранятся логины и пароли в Банкинг (финансы), то лучше его прятать в доверенную среду (виртуалку) где будет установлен один браузер для входа на сайты. В этой виртуальке лучше не открывать Ворд, ПДФ файлы.
Ну если хочеться всетаки с USB флешкой с паролем, ну ок. Но ведь содержимое флешки ведь надо бекапить ? как и куда ты будеш это делать ? Если этот вопрос не решить - есть большой риск все потерять.

Вообще сейчас подобного рода Модель Рисков надо проектировать с учем методики "Zero Trust". т.е. надо исходить из предположения что доспустим ЛастПасс тебя подведет - пароли рано или поздно "утекут" (или они исчезнут, не важно как, потеряеш флешку или ключ мастер доступа). Тогда важнее предусмотреть - как быстро я могу заблокировать логины, збросить, восстановить их? Какой вред мне могут нанести если Злохакер получит доступ в мой гмайл \ учетку ? Как я об этом узнаю ? как минимизировать этот ущерб ?

Comments

[WorthToLive]

Спасибо за ответ. Разве можно создать безопасную виртуальную среду, если основная среда будет скомпрометирована?

[WorthToLive]

Друг советовал сделать флешку с виртуальной средой. Что думете по этому поводу?

[Алекс]

WorthToLive, >> если основная среда будет скомпрометирована?
Конечно, я пока не видел вирусов \ малвари которая проникает внутрь виртуальной машины. Выход наружу - ДА есть такие (побег из песочницы называется).

>> флешку с виртуальной средой. Что думете по этому поводу?
Если загружаться с такой флешки, тогда норм! это хорошая защита. я видел такие коммерческие проекты импортные.