نوشته‌شده در

مدیریت رمز عبور – هنگامی که کلید GPG منقضی می شود چه اتفاقی می افتد؟

اکثر مردم کلید های GPG خود را برای تنظیم نمی کنند . هیچ مشکلی با آن وجود ندارد. مگر اینکه آنها کلید خصوصی را از دست بدهند یا آن را دزدیده و یا فقط فرمان عبور خود را فراموش کنند. در چنین مواردی، کلید عمومی، که احتمالا به چندین سرور کلیدی در سراسر جهان منتشر شده و توسط شمار دلخواه سایر افراد بازیابی شده است، عملا بی فایده است و به استثنای حذف آن از برخی از سرویس دهنده های کلیدی، آنها می توانند کاملا هیچ چیز دیگری در مورد آن، مگر اینکه، آنها قبلا یک گواهی لغو برای کلید عمومی ایجاد کرده اند و هنوز هم به این گواهی دسترسی دارند.

در آن موارد بسیار نادر که گواهی احضاریه در دسترس نیست، تنها راه برای اجازه دادن به کسانی که قبلا یک کپی از کلید عمومی را گرفته اند، می دانند که نباید از آن کلید استفاده کنند، با اطلاع آنها به طور مستقیم، که همیشه امکان پذیر نیست زیرا تعداد واقعی دارندگان آن کلید عمومی خاص شناخته نشده است.

تاریخ انقضا بر روی کلیدهای شما یک معیار امنیتی بسیار خوبی است. این اجازه می دهد تا صاحبان کلید عمومی می دانند تاریخ پایان عمر کلید. از طرف دیگر، شما همیشه می توانید تاریخ انقضای کلید را گسترش دهید و کلید به روز شده را به سرورهای کلیدی ارسال کنید. وقتی دیگران متوجه شوند که کلید عمومی شما منقضی شده است، اولین کاری که انجام می دهید این است که آن را از یک سرور کلید بازخوانی کنید، در این صورت آنها کلید عمومی بهروزرسانی شما را بازیابی خواهند کرد.

حتی اگر کلید خصوصی خود را از دست بدهید یا عبارت عبور را فراموش کنید یا حتی گواهی لغو لغو را از دست بدهید، زمانیکه کلید عمومی منقضی شود، که نشان می دهد که این نامعتبر است و نباید بیشتر اعتماد کرد.

در واقع، کلید های خصوصی هرگز منقضی نمی شوند. اگرچه، من این را مورد بررسی قرار نگرفته ام، عقل سلیم نشان می دهد که از آنجایی که کلید های خصوصی برای امضای و رمزگشایی داده ها استفاده می شوند و نمی توان آنها را توزیع کرد، در صورتی که آنها منقضی شوند، هیچ معنایی ندارد.

، صاحب یک کلید خصوصی منقضی باقیمانده هنوز باید توانایی رمزگشایی داده ها را داشته باشد و همچنین بتواند داده ها را امضا کند، حتی اگر کلیه کلید های عمومی موجود در keypair به پایان رسیده باشد، زیرا همیشه می توانید تاریخ انقضاء را در تاریخ فعلی منقضی کلیدهای عمومی

نوشته‌شده در

رمزگذاری – رمزهای عبور: ذخیره رمزگذاری شده، مشاهده در متن ساده

من قبلا این سوال را در stackoverflow پرسیدم اما اطلاع دارم که کمی بیش از حد وسیع است و به جای آن در اینجا بیشتر متکی است. بنابراین اجازه دهید فقط کپی و چسباندن آنچه را که از آن پرسیدم کپی کنم:

من یک معضل مربوط به امنیت دارم که من نمیتوانم از خودم درباره امنیت برنامههای وب استفاده کنم.

بگذارید بگوییم میخواهم خدماتی ایجاد کنم که در آن کاربر می تواند ذخیره و مشاهده در متن ساده کلمات عبور خود را برای خدمات متعدد. در چنین مواردی، موارد کمی را باید در نظر گرفت: اقدامات امنیتی اولیه با رمزگذاری رمزهای عبور ذخیره شده با هش، نحوه محافظت از کلمه عبور در صورتی که از پایگاه داده به سرقت رفته باشد، برای مثال، از بین بردن پایگاه داده توسط مهاجم.

گذرواژهها باید رمزگذاری شده ذخیره شوند، اما ممکن است برای نمایش دادن به یک کاربر در متن ساده استفاده شوند. روش استاندارد برای ذخیره گذرواژه برای احراز هویت این است که آنها را به عنوان مثال با استفاده از bcrypt یا روش دیگر با نمک اضافه شده به آن ها هش کنید و چنین رمزگذاری به شما اجازه رمزگشایی کلمات عبور را به راحتی نمی دهد.

آیا آنچه من می خواهم حتی ممکن است برای رسیدن به آن؟ یا یک رویکرد دیگر وجود دارد که باید به جای هش کردن، اما هنوز هم امن برای ذخیره چندین کلمه عبور برای سرویس های چندگانه توسط یک کاربر واحد؟

من فقط به آن اضافه خواهم کرد که فرض کنیم رمز عبور یک یا مجموعه ای از کلمات عبور یک پست وبلاگ است مشاهده در یک متن ساده تنها توسط نویسنده چنین پست و تحت شرایط خاص توسط مدیر و ناظر

خود تکنولوژی خود را مهم ترین چیز در اینجا نیست، اما من قصد دارم برای ایجاد این برنامه با استفاده از چارچوب پی اچ پی و لارو. [19659002] برای نگهداری و مشاهده یک چیز است، چیز دیگری این است که چگونه چنین برنامه هایی را از انواع مختلف پست های رمزگذاری شده، خرابکاری های پایگاه داده و حملات مشابه محافظت کنید؟

نوشته‌شده در

برای مدیریت گذرواژهها از مخاطبین چقدر خطرناک است؟

پیام ها فقط در دستگاه محلی من ذخیره می شوند. پس از دریافت آنها، اطمینان دارم که تمامی نسخه ها از سرور حذف می شوند.

اگر GPG / PGP یا SSL / TLS بین سرورهای ایمیل استفاده نشود. به عنوان مثال. یک ایمیل از Outlook به Gmail ارسال می شود. سپس این یک نقطه عطف بزرگ است. با این حال، بدون E2EE (رمزنگاری پایان دادن به پایان) سرور A و سرور B هنوز می توانند ایمیل ها را بخوانند، زیرا SSL / TLS تنها امنیت پایایی را بین دو سرور فراهم می کند و نه در حالت استراحت.

سیستم ایمیل من استفاده می شود رمزگذاری شده و "امن"

این درست است، به جز اصطلاح "شرکت". بنابراین نمیتوانم ببینم چگونه E2EE در حال پردازش است، بنابراین من نمیتوانم به سیمکارتان اعتماد کنم. این مسئله یکی دیگر از مشکلات است، آیا ایمیل شرکت (سرور A) ایمیل را رمزگذاری می کند، بنابراین فقط شما می توانید به ایمیل دسترسی داشته باشید؟ این به این معنی است که یک بار ایمیل رمزگذاری شده است، سرور A و سرور B (که در آن ایمیل از سرور A دریافت می شود) نمی تواند محتوای ایمیل متن ساده را بخواند. تنها کسی که قادر به رمزگشایی متن رمز شده است شما و نه هر سرور.

این می تواند پیاده سازی PGP باشد.

برای دسترسی به کلمات عبور، هکر باید دسترسی به دستگاه من که باید کمتر احتمال دارد به عنوان آن در یک شبکه شرکت باشد.

با توجه به هیچ متن ساده و یا نسخه های رمزگشایی (در یک زمان معقول منطقی) در هر سرور نگهداری می شود، این به نظر خوب است. با این حال، اکنون باید اطمینان حاصل کنید که ایمیل هایی که به صورت محلی ذخیره می شوند تنها می توانند توسط شما قابل دسترسی باشند و اگر دستگاه شما به خطر بیافتد، چگونه تداخل را بازی می کنید؟ رمزگذاری محتویات ایمیل محلی شما می تواند یک گزینه قابل قبول در اینجا باشد. موزیلا تاندربرد ارائه می دهد 'رمزگذاری مشخصات'. با این حال، این تنها اجازه می دهد که سیستم پرونده رمزگذاری (EFS)، که تنها محدودیت آن را فراهم می کند. EFS باید انتخاب شما باشد. شخصا، من یک ماشین مجازی رمزگذاری شده (رمزگذاری کامل دیسک) یا یکی دیگر از کاربرانی که در آن من رمزعبور خانه کاربر را رمزگذاری می کنم انتخاب می کنم.

من می توانم یک مشکل دیگر را پیش بینی کنم هرچند که Thunderbird نمی داند بدن پیام حاوی یک رمز عبور حساس است، ممکن است محتویات داخل حافظه ذخیره شود، حافظه مبادله یا فایل های موقت ذخیره شده در حافظه ثانویه (مانند HDD) conjecture و باید برای تمام برنامه ها اذعان شود.

اگر یک هکر به دسترسی دست پیدا کند، به احتمال زیاد فکر نمی کند که در ایمیل های آرشیوی ذخیره شده در دستگاه محلی نگاه کند

ممکن است بر خلاف آن، من نمی خواهم امنیت خود را بر امید، به ویژه ایده "من امیدوارم که آنها نه فکر می کنم از این."

آیا هیچ راهی برای اندازه گیری این خطر وجود دارد؟

من می توانم این را به چندین نقطه دیگر شکستن:

  • آیا رمزگذاری کامل دیسک استفاده می شود؟
    • یا کدگذاری دایرکتوری کاربر استفاده می شود؟
  • محتویات مشخصات ایمیل به صورت محلی قابل دسترسی است؟
    • رمزگذاری نمایشی استفاده می شود؟
  • چگونه از نرم افزار جاسوسی محافظت می کنید؟
  • شما چه حفاظتی در برابر دسترسی فیزیکی دارید، برای مثال حمله به دوشیزه خشمگین

اینها تنها چند نکته هستند، بیشتر میتوانند اضافه شوند، اما اینها میتوانند در نظر گرفته شوند. اگر شما یک جایگزین را در نظر بگیرید، اما میخواهید یک راه حل منبع باز باشد، KeePassX را در نظر بگیرید. اگر به درستی استفاده شود، می توان آن را به عنوان یک مدیر رمز عبور مبتنی بر ابر نیز مورد استفاده قرار داد.

برای خواندن بیشتر، آیا رمز عبور ایمیل ایمن برای کاربر ارسال می شود؟

نوشته‌شده در

چرا پیگیری تغییرات رمز عبور کاربر در برنامه وب را مشاهده می کنید؟

به دلایلی، به عنوان یک شیوه امنیتی * برای وب سایت ها برای پیگیری تغییرات رمز عبور تبدیل شده است. سایت هایی مانند گوگل حتی می توانند به شما بگویند که چند سال پیش رمز عبور خود را تغییر دادید. گذشته از فقط یادآوری شما که " گذرواژه خود را 10 ماه پیش تغییر داد … " آنها به جلو و حالت " آیا این شما بودید؟ حساب شما "

استدلال در پشت این – امنیت عاقلانه؟ اگر یک مهاجم 10 ماه قبل توانست رمز عبور خود را تغییر دهد، آیا منطقی است که او بتواند پس از آن حساب کاربری خود را بازیابی کند؟ اگر آنها می توانند رمز عبور خود را تغییر دهند، به این معنی که آنها می توانند تقریبا همه چیز را تغییر دهند که کاربر می تواند برای بازیابی حساب کاربری استفاده کند.

من فکر می کنم یک نقطه از این که چرا سایت ها نیاز به پیگیری تغییرات رمز عبور کاربر دارند را از دست ندهید. EDIT:
این وضعیت زمانی اتفاق می افتد که یک کاربر یک کلمه عبور اشتباه وارد کند که یک کلمه عبور داشت. به عنوان مثال، یک سایت یک مثال جدول کلمات عبور با مطالب زیر دارد: 

 user_id | رمز عبور | تغییر کرد
---------------------------------
1 | بله | هرگز
---------------------------------
1 | بله بله | 2014/07/26
---------------------------------
1 | no blah | 01.01.2017
---------------------------------
2 | بله | هرگز

هنگامی که کاربر با user_id = 1 تلاش می کند با رمز ورود no blah وارد شوید، او یادآوری خواهد شد که او رمز عبور خود را در 2014/01/31 تغییر داد . اما زمانی که او با گذرواژه فعلی خود بلا وارد می شود، بدون هیچ مشکلی وارد سیستم می شود.