(暗号化された)パスワードをGitHubに保存しても安全ですか?


21

私はすべてのパスワードを処理するためにパスを使用しています。SHA256アルゴリズムを使用して、4096ビットキーのGPGを使用して暗号化されます。パスワードストアのログインごとに異なるパスワードを使用しています。

passのクールな機能の1つは、すべてが素晴らしい階層を持つフォルダーに保持されることです。これは、gitレポのセットアップに最適です(passはその機能も提供します)。すべてのコンピューターでパスワードを最新の状態に保ちたい。

パスgitリポジトリをプライベートGitHubリポジトリにプッシュしても安全ですか?そうでない場合、弱いリンクは何ですか?


これはお勧めしません。理由の1つは、暗号化されたパスワードをそのままにしておくと、オフラインの総当たり攻撃の対象になることです。
15年

プライベートリポジトリであることを考えると、(GitHubのクライアントと同様に)GitHub以外の誰もリポジトリにアクセスできないと思います。もちろん、私がいつか間違ったレポにコミットしない限り。
ニコラスマッティア

1
誰かがオフラインでもブルートフォース攻撃のためにそうである4096ビットの暗号化、分割する必要がありますので、また、誰が、GPGキーへのアクセス権を持っていないだろう
ニコラ・マティア

1
彼らが台無しにしない限り、秘密鍵のパスワードはPassword1です;)今日私がすでに一度それを持ってきたという理由だけで、私はまだパスワードとして会社の名前を使用してスーパーフィッシュを考えています(komodia)。クラックしやすくなりますが、それでもなおです。愚かな間違いはパスワードを解読しやすくします。
dakre18

@ dakre18レベルが「起こりそうにない」から「面白い復号化」に
移行する-m3nda

回答:


13

簡潔な答え

パスリポジトリgithubを配置しても構いません。

詳細な回答

パスリポジトリは、選択した秘密キーを使用してGPG暗号化されているため、選択したキーと同じように防弾です。さらに、秘密鍵パスリポジトリに保存されません。つまり、暗号化されたパスワードファイルのプライベートな場所とパブリックな場所は、パスワードマネージャーのセキュリティの弱点ではありません。むしろ、心配する必要があるのは、それらを暗号化した秘密キーです。

それが良いキー(あなたが言及したもののような)であることを確認してください。彼らはあなたのパスワードを偽造する必要があり、それに直面してみましょう、あなたのパスワードがすべての人を止めるのに十分であると確信することは本当に難しいです

だから他の人にあなたの鍵を見させないでください。パスを使用する各コンピューターに秘密キーを移動すると、githubからパスリポジトリを取得し、それらのコンピューターに保存されている秘密キーを個別に使用できます。これで、すべてが同期され安全になります。

考慮すべき2つのこと

すべてのポイントは、パスワードを暗号化しておくことです。彼らがgithub.comにいることで大丈夫でなければ、本当に頼りにしているのは、暗号化された状態ではなく、プライベートな場所です。その場合、なぜそれらをまったく暗号化するのですか?パスを使用するのと同じフラットファイルを使用するだけで、暗号化は不要です。それはかなり便利でしょう!

また、パスワードマネージャーを使いやすくすることで、パスワードマネージャーを破壊したり、破壊したりする必要が少なくなることを忘れないでください。パスの仕事をする必要があるときはいつでも(たとえば、別のコンピューターで安全なパスワードが生成されていて、まだ手動で同期していないため、アカウントのパスワードをリセットしますが、すぐに取得する必要があります)それが提供するセキュリティを減らすつもりです。


あなたは3つの本当に良い点を作っていると思います:1)暗号化キーがサーバーに存在しない2)誰かが私のパスワードを最初に暗号化される理由であると誰かに見てもらう3)私の不器用な指は主にループ。しかし、@ Jensが言ったように、私はソフトウェアを信頼しなければなりません。
ニコラスマッティア

1
Passは、Passを信頼しているのではなく、PGPを信頼しているほど単純です。そうは言っても、PGPを信頼する必要があります。それについての私の考えは、それがものを暗号化することを信用していないのに、なぜ何のためにPGPを使用するのですか?
タイラーアベア

7

これは安全ですが、パスワードストアを公共の場所に置かない場合に比べて、追加のリスクにさらされます。

  • 暗号化されていないパスワードの偶発的なアップロード(意図的にそれを行うことはありませんが、偶然、またはソフトウェアのバグが原因ではないことを確認してください?)
  • RSAの未知の弱点または使用中の対称暗号化
  • 明らかになった使用パターン(統計は強力です)
  • アクセストークンを誤ってリリースすると、公開データになります。さらにプライベートにした方がずっと安全です
  • 最悪の場合は、現在のパスワードストアの履歴のみと比較して、パスワードストアの履歴全体が明らかになる

言い換えると、間違いを犯さなければ、ソフトウェアを信頼し、暗号化アルゴリズムの背後にある数学は安全に保たれ、暗号化されたパスワードストアを公に保存することは問題ありません。これらのいずれかに疑問がある場合(そして、個人的には、私の信頼はまさにこの順序であり、背後にある数学の機密性が高いユーザーとしての自分への信頼を失います)、ストアをプライベートにしてください。

偶発的にポップアップウィンドウにプライベートパスフレーズを投稿したことがありますか?私は自分自身を含めた多くの人々を知っています。


3

過去に誰かがプライベートなパスワードを公開リポジトリに置くという問題があったため、これは良い質問です。

このように考えると、たとえそのファイルがプライベートであっても、そのファイルを(他の機密ファイルと一緒に)パブリックリポジトリに保存しないことをお勧めします。どこかにバックアップしておくのは良いことですが、パスワードが何らかの方法で取得されたと言えば(サードパーティのサイトなど)、彼らはあなたのgithubにアクセスし、それでもパスワードを取得できます。最悪のケースですが、それでも可能です。通常、外部ハードドライブに何らかの種類のファイルを保存することをお勧めします。また、火災が発生した場合に備えて、ハードドライブをどこかに保存することをお勧めします。

リポジトリまたはクラウドを使用して保存したい場合は、できる限りのことを行って安全に保管してください。

全体的にそれは最良のアイデアではありません。最悪ではありませんが、「もし起こるとしたら?」を考えるのが最善です。シナリオ。それはあなたに決して起こらないかもしれませんが、もしそうなら、それはトラブルの価値がありますか?

編集:私は私の投稿のいくつかでプログラムを考えていたので、あなたがあなたの質問によりよく答えられるようにそれをトリミングしました。


0

パスのクールな機能の1つは、すべてが素敵な階層を持つフォルダーに保持されることです。これは、gitリポジトリの設定に最適です。

安全ではないと思います。すべてのアカウント(ディレクトリ構造)は暗号化されていません。パスワードのみがgpgによって保護されていました。

(合格すればその能力が得られます)

パスの能力を使用してそれを行う場合。たぶんそれはより安全です。ただし、「pass git init」を使用してストアを再構築する必要があります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.