Несколько вопросов о том, как быть более безопасным с паролями (lastpass, onepassword, двухэтапная аутентификация)

Предлагаемый вами сценарий теоретически возможен. Вы можете минимизировать риск, используя клиент Dropbox, а не доступ к Dropbox через Интернет. Ваша учетная запись будет предварительно связана с вашим компьютером, и вы не будете вводить свой пароль Dropbox, поэтому у них мало шансов получить его с помощью кейлоггера. Другая возможность - сохранить базу данных паролей на USB-ключе, зашифрованном Truecrypt, или каким-либо образом зашифрованным на вашем iPhone, а не онлайн-сервисом для обмена файлами, что еще более усложняет получение вашего файла паролей, так как он никогда не будет храниться где-либо кроме того, где вы физически. Конечно, если у них достаточно прав для установки кейлоггера, у них вполне может быть достаточный доступ, чтобы в любом случае получить файл вашей базы данных из локального хранилища.

Если вы хотите полностью отказаться от менеджеров паролей, но при этом иметь запоминающиеся пароли, я рекомендую подход, предложенный исследователем безопасности Кембриджского университета Россом Андерсоном. Создайте пароли, используя первую букву длинных фраз, поскольку это позволит вам создавать длинные (то есть трудно взломанные) пароли, которые все еще запоминаются. Я на самом деле использую эту технику (с модификациями для увеличения энтропии, включая числа и знаки препинания), чтобы создавать очень надежные мастер-пароли, которые я помню. См. Http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-500.pdf для получения дополнительной информации.

Любая мера безопасности, которую вы принимаете, будет компромиссом между удобством и безопасностью. Сильно параноидальный пользователь никогда не будет вводить свои пароли с машины, которую он не контролирует, и только когда-либо отправляет пароли через Интернет через https. Естественно, это ограничит количество мест, из которых вы можете получить доступ к защищенным паролем материалам.

Если вы не считаете, что кому-то особенно нужны ваши конкретные данные, скорее всего, любые атаки на безопасность вашего пароля будут низкоуровневыми тралами для низко висящих фруктов. Таким образом, хакер, вероятно, будет использовать автоматизированные инструменты и вряд ли пойдет на особые усилия по выяснению того, какой менеджер паролей вы используете, захват файла паролей и т. Д. Если вы считаете, что вы, вероятно, станете жертвой атаки, запоминание отдельных паролей с высокой энтропией для всех ваших конфиденциальных учетных записей и доступ к ним только с компьютеров, которые вы контролируете с использованием новейших антивирусных и антивирусных программ, вероятно, является лучшим способом продвижения вперед.

Используйте хранитель паролей (те, что вы упомянули, хорошо ... я использую keepass) и сделайте мастер-пароль словами к песне, что не может быть нарушено с помощью автоматизации в любое разумное время. И несколько цифр до конца.

Здесь важная часть. Для каждого сайта или системы, которые вы используете, создайте свой пароль, используйте автоматически сгенерированный пароль из используемой вами программы и создайте разные для каждого сайта. Не пытайтесь иметь пароли, которые вы можете запомнить, кроме вашей программы. Глупо иначе.

Паранойя - это основа хорошего управления паролями - если вам нужен пароль для чего-то, тогда паранойя уместна (особенно, когда речь идет о интернете).

Что касается паролей, использование одного и того же пароля более чем в одном месте может увеличить риск использования темным хакером, который определяет, какой из ваших паролей является. Проблема с парольными механизмами заключается в том, что кто-то другой завладевает ими (что, в принципе, та же проблема, когда кто-то получает доступ к мастеру списка паролей).

К сожалению, безопасность пароля - это социальная проблема, которую технология никогда не сможет полностью решить, как гласит известная поговорка «где есть желание, там есть выход». Тот факт, что вы обеспокоены этим, является хорошей вещью.