क्या GitHub पर पासवर्ड (एन्क्रिप्टेड) ​​स्टोर करना सुरक्षित है?

21

मैं अपने सभी पासवर्ड को संभालने के लिए पास का उपयोग कर रहा हूं। उन्हें SHA256 एल्गोरिथ्म का उपयोग करके 4096 बिट्स कुंजी के साथ GPG का उपयोग करके एन्क्रिप्ट किया गया है। मैं अपने पासवर्ड स्टोर में हर लॉगिन के लिए एक अलग पासवर्ड का उपयोग कर रहा हूं।

पास की शांत विशेषता में से एक यह है कि सब कुछ एक अच्छा पदानुक्रम के साथ एक फ़ोल्डर में रखता है, जो एक गिट रेपो स्थापित करने के लिए एकदम सही है (पास भी उस क्षमता प्रदान करता है)। मैं अपने सभी कंप्यूटरों पर अपना पासवर्ड स्टोर करना चाहूंगा।

क्या फिर पास गिट रिपॉजिटरी को एक निजी गिटहब रिपॉजिटरी में धकेलना सुरक्षित है? यदि नहीं, तो कमजोर कड़ी क्या है?

encryption  git  passwords  gnupg  github 
निकोलस मटिया
स्रोत
मैं ऐसा करने की सलाह नहीं दूंगा। एक कारण, यह होगा कि आप अपने एन्क्रिप्टेड पासवर्ड को ऑफलाइन ब्रूट-फोर्स अटैक के अधीन रखेंगे।
हैवीड
यह एक निजी रेपो है, इसे देखते हुए, मैं मान लूंगा (जैसा कि GitHub के ग्राहक हैं) कि GitHub को छोड़कर किसी के पास खुद रेपो तक पहुंच नहीं होगी। जब तक, बेशक, मैं किसी भी दिन एक गलत रेपो के लिए प्रतिबद्ध हूं।
निकोलस मटिया
1
इसके अलावा, किसी के पास GPG कुंजी तक पहुंच नहीं होगी, इसलिए किसी को 4096 बिट्स एन्क्रिप्शन को तोड़ने की आवश्यकता होगी, जो कि ऑफ़लाइन ब्रूट-फोर्स हमले के लिए भी संभावना नहीं है
निकोलस मटिया
1
जब तक वे खराब न हो जाएं और निजी कुंजी पासवर्ड Password1 है;) सिर्फ इसलिए कि मैं इसे एक बार पहले ही ले आया था, मैं अभी भी सोच रहा हूँ कि यह पासवर्ड (कोमोडिया) के रूप में कंपनी के नाम का उपयोग कर रहा है। यह सिर्फ दरार करना आसान बनाता है, लेकिन फिर भी। बेवकूफ गलतियाँ पासवर्ड को डिक्रिप्ट करने में आसान बनाती हैं।
dakre18
@ dakre18 का स्तर "घटित होने की संभावना" से "मज़ेदार डिक्रिप्शन" तक चला जाता है
erm3nda

जवाबों:

13

उलटे जवाब

पास रेपो गिथब रखना ठीक है।

क्रिया उत्तर

आपका पास रेपो जीपीजी आपके द्वारा चुनी गई किसी भी निजी कुंजी का उपयोग करके एन्क्रिप्ट किया गया है, इसलिए यह आपके द्वारा चुनी गई कुंजी के रूप में बुलेट प्रूफ है। इसके अलावा, आपकी निजी कुंजी आपके पास रेपो में संग्रहीत नहीं है । इसका मतलब है कि आपके एन्क्रिप्टेड पासवर्ड फ़ाइलों का निजी बनाम सार्वजनिक स्थान आपके पासवर्ड प्रबंधक की सुरक्षा की कमजोर कड़ी नहीं है। बल्कि, यह निजी कुंजी है जिसे आपने उन्हें एन्क्रिप्ट किया है जिसके बारे में आपको चिंता करनी होगी।

सुनिश्चित करें कि यह एक अच्छी कुंजी है (जैसे कि आपने उल्लेख किया है) और इसे किसी के सामने उजागर न करें क्योंकि उन्हें इसका उपयोग करने के लिए उस बड़ी ol की कुंजी को क्रैक नहीं करना पड़ेगा। उन्हें सिर्फ आपका पासवर्ड बोर्क करना होगा, और, आइए इसका सामना करें, यह वास्तव में कठिन है कि आपका पासवर्ड हर किसी को रोकने के लिए पर्याप्त है ।

इसलिए किसी और को अपनी चाबी देखने न दें। यदि आप अपनी निजी कुंजी को अपने प्रत्येक कंप्यूटर पर ले जाते हैं जो पास का उपयोग करता है, तो आप बस अपने पास रेपो को जीथब से खींच सकते हैं और उन कंप्यूटरों पर व्यक्तिगत रूप से संग्रहीत निजी कुंजी का उपयोग कर सकते हैं। अब वे सभी सिंक और सुरक्षित रहेंगे।

विचार करने के लिए दो और बातें

पास का पूरा बिंदु आपके पासवर्ड को एन्क्रिप्ट रखने के लिए है। यदि आप github.com पर उनके साथ ठीक नहीं हैं, तो आप वास्तव में जिस पर भरोसा कर रहे हैं, वह उनका निजी स्थान है न कि उनका एन्क्रिप्टेड अवस्था। अगर ऐसा है, तो उन्हें आखिर क्यों एन्क्रिप्ट किया जाए? आप बस उसी फ्लैट फ़ाइलों का उपयोग कर सकते हैं जो पास का उपयोग करता है, और उन्हें एन्क्रिप्ट करने में परेशान नहीं करता है। यह बहुत सुविधाजनक होगा!

इसके अलावा, इस बात का ध्यान रखें कि अपने पासवर्ड मैनेजर का उपयोग करना आसान बनाने का मतलब है कि आप इसे कम / कम कर सकते हैं। किसी भी समय आपको इसके लिए पास की नौकरी करनी होगी (जैसे किसी खाते पर पासवर्ड रीसेट करना क्योंकि एक अच्छा सुरक्षित एक अलग कंप्यूटर पर उत्पन्न हुआ था और आपने मैन्युअल रूप से अभी तक सिंक नहीं किया है, लेकिन आपको अभी प्राप्त करना है) यह प्रदान करने वाली सुरक्षा को कम करने वाला है।

टायलर अबीर
स्रोत
मुझे लगता है कि आप तीन वास्तव में अच्छे अंक बना रहे हैं: 1) एन्क्रिप्शन कुंजी सर्वर पर मौजूद नहीं है 2) किसी ने मेरा पासवर्ड देखा है यही कारण है कि यह पहली जगह में एन्क्रिप्टेड है 3) मेरी अनाड़ी उंगलियों को ज्यादातर बाहर ले जाया जाता है पाश। लेकिन जैसा @Jens ने कहा, तो मुझे सॉफ्टवेयर पर भरोसा हो गया है।
निकोलस मटिया
1
पास काफी सरल है कि आप वास्तव में पास पर भरोसा नहीं कर रहे हैं, आप पीजीपी पर भरोसा कर रहे हैं। कहा जा रहा है कि, हां, आपको अभी भी पीजीपी पर भरोसा करना होगा। उस पर मेरे विचार, किसी भी चीज के लिए पीजीपी का उपयोग क्यों करें यदि आपको भरोसा नहीं है कि यह सामान को एन्क्रिप्ट करता है?
टायलर अबीर
7

यह सुरक्षित होगा, लेकिन अपने पासवर्ड को सार्वजनिक स्थान पर नहीं रखने की तुलना में अतिरिक्त जोखिमों को उजागर करता है।

  • अनएन्क्रिप्टेड पासवर्ड का आकस्मिक अपलोड (आप उद्देश्य पर ऐसा नहीं करेंगे, लेकिन निश्चित रूप से यह दुर्घटना से, या किसी सॉफ्टवेयर बग के कारण नहीं हो सकता है?)
  • RSA में अज्ञात कमजोरी या उपयोग में सममित एन्क्रिप्शन
  • उपयोग के पैटर्न से पता चला (आंकड़े शक्तिशाली हैं)
  • सार्वजनिक डेटा में आपके पहुंच टोकन परिणामों की आकस्मिक रिहाई; यदि आपने अतिरिक्त रूप से उस निजी को रखा है, तो आप अधिक सुरक्षित हैं
  • सबसे खराब स्थिति आपके पूरे पासवर्ड स्टोर के इतिहास का पता चलता है, केवल वर्तमान की तुलना में

दूसरे शब्दों के साथ: यदि आप गलतियाँ नहीं करते हैं, तो सॉफ़्टवेयर पर भरोसा करें और एन्क्रिप्शन एल्गोरिथ्म के पीछे का गणित सुरक्षित रूप से सुरक्षित रहता है, एन्क्रिप्टेड पासवर्ड स्टोर ठीक है। यदि आपको उनमें से किसी में भी संदेह है (और व्यक्तिगत रूप से, मेरा भरोसा वास्तव में इस क्रम में होगा, तो पीछे के गणित में उच्च गोपनीयता वाले उपयोगकर्ता के रूप में अपने आप में खोया विश्वास), स्टोर को निजी रखें।

कभी किसी चैट विंडो में एक निजी पासफ़्रेज़ पोस्ट किया गया जिससे दुर्घटना हुई? मुझे पता है कि लोगों का एक झुंड था, जिसमें खुद भी शामिल था।

जेन्स इरट
स्रोत
3

यह एक अच्छा सवाल है, क्योंकि यह अतीत में एक समस्या रही है जहां किसी ने एक सार्वजनिक पासवर्ड में एक निजी पासवर्ड डाला।

इसे इस तरह से सोचें, यह एक सार्वजनिक भंडार में, उस फ़ाइल (किसी अन्य संवेदनशील फ़ाइलों के साथ) को स्टोर करने का अच्छा अभ्यास है, भले ही वह निजी हो। कहीं न कहीं इसका बैकअप लेना अच्छा है, लेकिन यदि आप कहते हैं कि आपके पासवर्ड को किसी तरह प्राप्त किया गया था (उदाहरण के लिए थर्ड पार्टी साइट), तो वे आपके गीथूब तक पहुँच सकते हैं और फिर भी पासवर्ड पुनः प्राप्त कर सकते हैं। सबसे खराब मामला है, लेकिन यह अभी भी संभव है। मैं आमतौर पर किसी बाहरी हार्ड ड्राइव पर किसी प्रकार की फ़ाइल को संग्रहीत करने का सुझाव देता हूं, और संभवत: हार्ड ड्राइव को कहीं न कहीं आग लगने की स्थिति में संग्रहीत करता हूं।

यदि आप वास्तव में इसे संग्रहित करने के लिए एक भंडार या बादल का उपयोग करना चाहते हैं, तो बस उसे सुरक्षित रखने के लिए सब कुछ कर सकते हैं।

कुल मिलाकर यह सबसे अच्छा विचार नहीं है। यह सबसे बुरा नहीं है, लेकिन यह सोचने के लिए सबसे अच्छा है कि "क्या होगा अगर?" परिदृश्यों। यह आपके साथ कभी नहीं हो सकता है, लेकिन अगर यह किया जाता है, तो क्या यह परेशानी के लायक है?

संपादित करें: मैं अपने कुछ पोस्ट में कार्यक्रमों के बारे में सोच रहा था, इसलिए मैंने आपके प्रश्न का बेहतर उत्तर देने के लिए इसे ट्रिम किया।

dakre18
स्रोत
0

पास की शांत विशेषता में से एक यह है कि सब कुछ एक अच्छा पदानुक्रम के साथ एक फ़ोल्डर में रखता है, जो एक gitfo सेट करने के लिए एकदम सही है

मुझे लगता है कि यह सुरक्षित नहीं है। आपके सभी खाते (निर्देशिका संरचना) के लिए एन्क्रिप्टेड नहीं है। केवल पासवर्ड को gpg द्वारा संरक्षित किया गया था।

(पास भी क्षमता प्रदान करता है)

यदि यह पास की क्षमता का उपयोग कर रहा है। शायद यह अधिक सुरक्षित है। लेकिन आपको "पास गिट इनिट" का उपयोग करके अपने स्टोर को फिर से बनाने की आवश्यकता है।

यूटोपिक एक्सपे्रस
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.