@WorthToLive

Как реализовать систему хранения и использования паролей?

Характеристики системы.
Два способа авторизации в системе:
1) Использование USB-токена с встроенной клавиатурой для ввода пин-кода, чтобы входить в аккаунт LastPass (или подобный менеджер паролей)
Данный способ будет основным. Он должен быть безопасен для использования на общедоступных компьютерах. Желательно, чтобы не было необходимости устанавливать дополнительные программы на используемый компьютер.
2) Использование мастер-ключа для входа в LastPass (или подобный менеджер паролей)
Данный способ является дополнительным. Он только на доверенных компьютерах или при потере USB-токена.
Подскажите как это можно примерно реализовать и какие слабые места есть в такой системе?
  • Вопрос задан
  • 193 просмотра
Пригласить эксперта
Ответы на вопрос 2
gbg
@gbg
Любые ответы на любые вопросы
"Незнакомый компьютер без драйверов" с удовольствием стырит ваш пароль с токена по пути до его поля для ввода в LastPAss
Ответ написан
asilonos
@asilonos
Программист
Если это для себя - то купи себе ноут, и в нем сделай виртуалку где будеш использовать ЛастПасс в изолированной среде.
За ЛастПасом сейчас много малвари охотиться. поэтому если у тебя в нем например, хранятся логины и пароли в Банкинг (финансы), то лучше его прятать в доверенную среду (виртуалку) где будет установлен один браузер для входа на сайты. В этой виртуальке лучше не открывать Ворд, ПДФ файлы.
Ну если хочеться всетаки с USB флешкой с паролем, ну ок. Но ведь содержимое флешки ведь надо бекапить ? как и куда ты будеш это делать ? Если этот вопрос не решить - есть большой риск все потерять.

Вообще сейчас подобного рода Модель Рисков надо проектировать с учем методики "Zero Trust". т.е. надо исходить из предположения что доспустим ЛастПасс тебя подведет - пароли рано или поздно "утекут" (или они исчезнут, не важно как, потеряеш флешку или ключ мастер доступа). Тогда важнее предусмотреть - как быстро я могу заблокировать логины, збросить, восстановить их? Какой вред мне могут нанести если Злохакер получит доступ в мой гмайл \ учетку ? Как я об этом узнаю ? как минимизировать этот ущерб ?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы