因此,最近,在接受了一些信息安全培训(FutureLearn 的网络安全简介,我强烈推荐它作为解释清楚的新手材料)之后,我决定冒险尝试并最终提高我在受密码保护的计算机系统中的身份验证的安全性。我的目标是...
- 为我有权访问的每个受密码保护的服务使用唯一的密码
- 使它们在实际可行的情况下对猜测、蛮力和字典攻击具有弹性
- 在可行的情况下根据我拥有的东西使用双因素身份验证
- 避免过度依赖特定计算机(例如手机)、对象或服务(例如网络覆盖)的可用性,基本上是容易被破坏和被盗的东西
- 自动化所需的任何类型的数据同步
我想出了一个我非常满意的方案,但我想与更有经验的人核实一下,我完全了解它的优点和缺点。这就是我需要你的专家帮助的地方,如果你有时间帮助我的话。当然,您也可以随意重用该程序,它没有版权。
所以这里是:
- 在一般情况下,我可以通过 Internet 连接和 USB 端口访问受信任的计算机,我使用 LastPass 生成、管理和同步随机的每个服务密码,使用强主密码和 Yubikey 作为第二个身份验证因素. 2FA 已为以理智方式支持它的服务启用。
- 对于受信任的计算机或网络连接不可用的情况,我还将 Lastpass 配置为仅使用主密码在我的手机上接受离线登录。通过将 Lastpass 配置为仅接受来自此手机的 UUID 的在线登录来维护双因素身份验证。
- 最后,为了登录计算机会话,包括我的手机,我选择假设没有软件工具的可用性,并使用密码。这些密码短语是根据服务标识在我的脑海中生成的,这些密码很荒谬,我会记住的。此类虚假示例可能是“HeyAmigo!IDonQuichoteDemandAccessToThisMac”或“OMG!Raptors!ToTheUNIXSystem!”。
现在,当然,没有一个系统是完全安全的,这就是为什么我想确定我了解这个身份验证方案的弱点在哪里:
- 与任何密码管理器一样,我需要为 LastPass 选择一个非常好的主密码,因为破解它的动机很高。
- 我需要相信 LastPass 客户端在任何平台上都是安全的,就如宣传的那样工作(例如生成真正的随机密码)并且不会泄露敏感数据。
- 我需要相信我的 YubiKey 的只写访问方案是有效的,并且 Yubico 服务器不会泄露我的 AES 密钥,这样 YubiKey 身份验证才能保持安全。
- 我的受信任计算机(包括我的手机)需要没有键盘记录器和其他类型的恶意软件,它们能够拦截 LastPass 的主密码和服务密码。
- LastPass 的手机 UUID 机制(我没有找到任何技术文档)必须是安全的:ID 实际上必须是唯一的,并且伪造它们需要是不可行的。
- 我的登录密码机制可能不如我在其他地方使用的随机生成的密码安全。对于长密码(10 个单词或更多,包括不常见的密码),我相信它不会受到暴力破解和字典攻击,但它可能很容易被认识我的人猜到。因此,对于本地登录,它可能已经足够坚固,我还有第二个身份验证因素(对机器的物理访问),但对于远程访问,我可能想要更强大的东西。
您认为我做对了吗,或者在我的身份验证方案中看到另一个我可能想要警惕并在未来尝试加强的弱点?