सवाल क्या गिटहब पर स्टोर (एन्क्रिप्टेड) ​​पासवर्ड सुरक्षित करना सुरक्षित है?


मै इस्तेमाल कर रहा हूँ उत्तीर्ण करना मेरे सभी पासवर्ड को संभालने के लिए। वे SHA256 एल्गोरिदम का उपयोग करते हुए, 4096 बिट्स कुंजी के साथ जीपीजी का उपयोग करके एन्क्रिप्टेड हैं। मैं अपने पासवर्ड स्टोर में प्रत्येक लॉगिन के लिए एक अलग पासवर्ड का उपयोग कर रहा हूं।

पास की शानदार सुविधा में से एक यह है कि सब कुछ एक अच्छे पदानुक्रम वाले फ़ोल्डर में होता है, जो एक गिट रेपो स्थापित करने के लिए एकदम सही है (पास भी उस क्षमता को प्रदान करता है)। मैं अपने सभी कंप्यूटरों पर अपना पासवर्ड स्टोर अद्यतित करना चाहता हूं।

क्या यह पासिट गिट रिपोजिटरी को एक निजी गिटहब भंडार में धक्का देना सुरक्षित है? यदि नहीं, तो कमजोर लिंक क्या है?


19
2017-10-02 15:06


मूल


मैं ऐसा करने की सिफारिश नहीं करता। एक कारण यह होगा कि आप अपना एन्क्रिप्टेड पासवर्ड ऑफ़लाइन ब्रूट-फोर्स अटैक के अधीन होंगे। - heavyd
यह एक निजी रेपो मानते हुए, मुझे लगता है कि (गिटहब के ग्राहकों के रूप में) कि गिटहब को छोड़कर कोई भी व्यक्ति को रेपो तक पहुंच नहीं होगी। बेशक, मैं किसी भी तरह एक दिन एक गलत repo करने के लिए प्रतिबद्ध नहीं है। - Nicolas Mattia
इसके अलावा, किसी को भी जीपीजी कुंजी तक पहुंच नहीं होगी, इसलिए किसी को 4096 बिट्स एन्क्रिप्शन तोड़ने की आवश्यकता होगी, जो ऑफ़लाइन ब्रूट-फोर्स अटैक के लिए भी असंभव है - Nicolas Mattia
जब तक वे खराब नहीं हो जाते हैं और निजी कुंजी पासवर्ड पासवर्ड 1 होता है;) सिर्फ इसलिए कि मैंने इसे पहले ही लाया है, मैं अभी भी अपनी कंपनी के नाम का उपयोग पासवर्ड (कोमोडिया) के रूप में सुपरफिश सोच रहा हूं। यह सिर्फ क्रैक करना आसान बनाता है, लेकिन फिर भी। बेवकूफ गलतियों को पासवर्ड को डिक्रिप्ट करना आसान बनाता है। - dakre18
@ dakre18 स्तर "अजीब डिक्रिप्शन" से "असंभव होने" से चला जाता है - erm3nda


जवाब:


जवाब दें

पास रेपो जिथब रखना ठीक है।

Verbose जवाब

आपका पास रेपो आपके द्वारा चुनी गई निजी कुंजी का उपयोग करके जीपीजी एन्क्रिप्टेड है, इसलिए यह आपके द्वारा चुने गए कुंजी के रूप में बुलेट प्रूफ के रूप में है। इसके अलावा, आपकी निजी कुंजी नहीं है आपके पास रेपो में संग्रहीत। इसका मतलब है कि आपके निजी बनाम सार्वजनिक स्थान को गोपित पासवर्ड फाइलें आपके पासवर्ड मैनेजर की सुरक्षा में कमजोर लिंक नहीं है। इसके बजाय, यह निजी कुंजी है कि आपने उन्हें एन्क्रिप्ट किया है जिसके बारे में आपको चिंता करने की ज़रूरत है।

सुनिश्चित करें कि यह एक अच्छी कुंजी है (जैसे आपने उल्लेख किया है) और इसे किसी के सामने बेनकाब न करें क्योंकि उन्हें इसका उपयोग करने के लिए उस बड़े ओल की कुंजी को क्रैक नहीं करना पड़ेगा। उन्हें सिर्फ अपना पासवर्ड बोर्क करना होगा, और चलिए इसका सामना करेंगे, यह सुनिश्चित करना वाकई मुश्किल है कि आपका पासवर्ड रोकने के लिए पर्याप्त है हर कोई

इसलिए किसी और को अपनी कुंजी न देखने दें। यदि आप अपने निजी कंप्यूटर को पास करने वाले प्रत्येक कंप्यूटर पर ले जाते हैं, तो आप केवल अपने पास रेपो को जिथब से खींच सकते हैं और व्यक्तिगत रूप से उन कंप्यूटरों पर संग्रहीत निजी कुंजी का उपयोग कर सकते हैं। अब वे सभी समन्वयित और सुरक्षित रहेंगे।

विचार करने के लिए दो और चीजें

पास का पूरा बिंदु अपने पासवर्ड को एन्क्रिप्टेड रखना है। यदि आप github.com पर उनके साथ ठीक नहीं हैं, तो आप वास्तव में जो भरोसा कर रहे हैं वह उनका निजी स्थान है और न ही उनके एन्क्रिप्टेड राज्य। यदि ऐसा है, तो उन्हें बिल्कुल क्यों एन्क्रिप्ट करें? आप केवल उसी फ्लैट फाइलों का उपयोग कर सकते हैं जो उपयोग पास करते हैं, और उन्हें एन्क्रिप्ट करने से परेशान नहीं करते हैं। वह बहुत सुविधाजनक होगा!

साथ ही, ध्यान रखें कि आपके पासवर्ड मैनेजर का उपयोग करना आसान है, इसका मतलब है कि आप इसे कम करने की आवश्यकता / कम करने की संभावना कम हैं। किसी भी समय आपको इसके लिए पास का काम करना होगा (उदाहरण के लिए किसी खाते पर पासवर्ड रीसेट करना क्योंकि एक सुरक्षित कंप्यूटर पर एक अच्छा सुरक्षित उत्पन्न हुआ था और आपने अभी तक मैन्युअल रूप से सिंक नहीं किया है, लेकिन आपको अभी इसमें जाना होगा) यह प्रदान करता है कि सुरक्षा को कम करने के लिए।


12
2017-10-02 16:45



मुझे लगता है कि आप तीन वाकई अच्छे अंक बना रहे हैं: 1) सर्वर पर एन्क्रिप्शन कुंजी मौजूद नहीं है 2) क्या कोई मेरा पासवर्ड देखता है, यही कारण है कि यह पहली जगह एन्क्रिप्ट किया गया है 3) मेरी बेकार उंगलियों को ज्यादातर बाहर निकाला जाता है पाश। लेकिन जैसा कि @ जेन्स ने कहा, तो मुझे सॉफ्टवेयर पर भरोसा करना है। - Nicolas Mattia
पास इतना आसान है कि आप वास्तव में पास पर भरोसा नहीं कर रहे हैं, आप पीजीपी पर भरोसा कर रहे हैं। कहा जा रहा है, हाँ, आपको अभी भी पीजीपी पर भरोसा करना है। उस पर मेरे विचार हैं, पीजीपी का उपयोग किसी भी चीज़ के लिए क्यों करें यदि आपको भरोसा नहीं है कि यह सामान को एन्क्रिप्ट करता है? - Tyler Abair


यह सुरक्षित होगा, लेकिन आपके पासवर्ड स्टोर को सार्वजनिक स्थान पर न रखने की तुलना में आपको अतिरिक्त जोखिमों के बारे में बताता है।

  • अनएन्क्रिप्टेड पासवर्ड का आकस्मिक अपलोड (आप इसे उद्देश्य पर नहीं करेंगे, लेकिन यकीन है कि यह दुर्घटना से नहीं हो सकता है, या कुछ सॉफ़्टवेयर बग के कारण?)
  • आरएसए में अज्ञात कमजोरियों या उपयोग में सममित एन्क्रिप्शन
  • उपयोग पैटर्न प्रकट (आंकड़े शक्तिशाली है)
  • सार्वजनिक डेटा में आपके पहुंच टोकन परिणामों की आकस्मिक रिलीज; यदि आप अतिरिक्त रूप से उस निजी रखेंगे, तो आप अधिक सुरक्षित हैं
  • सबसे खराब मामला आपका पूरा पासवर्ड स्टोर है इतिहास केवल वर्तमान की तुलना में खुलासा किया गया है

दूसरे शब्दों के साथ: यदि आप गलतियां नहीं करते हैं, तो सॉफ़्टवेयर पर विश्वास करें और एन्क्रिप्शन एल्गोरिदम के पीछे गणित सुरक्षित रूप से एन्क्रिप्टेड पासवर्ड स्टोर को संग्रहीत करने के लिए सुरक्षित रहता है ठीक है। यदि आपको इनमें से किसी में संदेह है (और व्यक्तिगत रूप से, मेरा विश्वास बिल्कुल इस आदेश में होगा, मेरे पीछे गणित में उच्च गोपनीयता वाले उपयोगकर्ता के रूप में खो गया विश्वास), स्टोर को निजी रखें।

कभी भी कुछ चैट विंडो में एक निजी पासफ्रेज पोस्ट किया गया जो दुर्घटनाग्रस्त हो गया? मैं उन लोगों का एक समूह जानता हूं जो स्वयं सहित थे।


5
2017-10-02 16:31





यह एक अच्छा सवाल है, क्योंकि यह अतीत में एक समस्या है जहां कोई सार्वजनिक भंडार में एक निजी पासवर्ड डालता है।

इस तरह से सोचें, सार्वजनिक भंडार में उस फ़ाइल को स्टोर करने के लिए यह अच्छी प्रथा है (किसी भी अन्य संवेदनशील फाइलों के साथ), भले ही यह निजी हो। इसे कहीं भी वापस लेना अच्छा होता है, लेकिन यदि मान लें कि आपका पासवर्ड किसी भी तरह से पुनर्प्राप्त किया गया था (उदाहरण के लिए तीसरी पार्टी साइट), तो वे आपके जीथ्यूब तक पहुंच सकते हैं और फिर भी पासवर्ड पुनर्प्राप्त कर सकते हैं। सबसे खराब मामला, लेकिन यह अभी भी संभव है। मैं आमतौर पर बाहरी हार्ड ड्राइव पर संग्रहीत किसी प्रकार की फ़ाइल रखने का सुझाव दूंगा, और संभवतया हार्ड ड्राइव को कहीं भी आग लगाना होगा।

यदि आप वास्तव में इसे स्टोर करने के लिए एक रिपॉजिटरी या क्लाउड का उपयोग करना चाहते हैं, तो बस इसे सुरक्षित रखने के लिए आप जो कुछ भी कर सकते हैं, वह करें।

कुल मिलाकर यह सबसे अच्छा विचार नहीं है। यह सबसे बुरा नहीं है, लेकिन यह सोचना सबसे अच्छा है कि "क्या होगा?" परिदृश्यों। यह आपके साथ कभी नहीं हो सकता है, लेकिन अगर ऐसा हुआ, तो क्या यह मुसीबत के लायक है?

संपादित करें: मैं अपनी कुछ पोस्ट में कार्यक्रमों के बारे में सोच रहा था, इसलिए मैंने आपके प्रश्न को बेहतर तरीके से जवाब देने के लिए इसे छंटनी की।


3
2017-10-02 15:35





पास की शानदार सुविधा में से एक यह है कि सब कुछ एक अच्छे पदानुक्रम वाले फ़ोल्डर में होता है, जो एक गिट रेपो स्थापित करने के लिए एकदम सही है

मुझे लगता है कि यह कोई सुरक्षित नहीं है। आपके सभी खाते (निर्देशिका संरचना) के लिए एन्क्रिप्टेड नहीं है। केवल जीपीजी द्वारा पासवर्ड सुरक्षित किया गया था।

(पास भी उस क्षमता प्रदान करता है)

अगर यह पास की क्षमता का उपयोग कर करते हैं। शायद यह अधिक सुरक्षित है। लेकिन आपको "पास गिट इनिट" का उपयोग करके अपने स्टोर को पुनर्निर्माण की आवश्यकता है।


0
2018-03-27 03:18