Por muitos anos os ditos especialistas em segurança, que depois viraram especialistas em segurança da informação diziam "jamais anote suas senhas, memorize-as". Anotar sua senha significa deixá-la ali em texto puro e simples, esperando ser encontrada.
Os ditos especialistas não estão completamente errados, e para não me aprofundar muito em OTP, segurança física e segurança lógica, devo dizer que só esqueceram de abordar o tema "como fazer para compartilhar senhas dentro do seu time e entres times" e contar que "anotar sua senha" de maneira criptografada utilizando um algoritmo como AES é muito mais seguro do que prefixo/sufixo ou usar somente uma senha para todos sistemas em si.
Sim, a proposta aqui é você ter uma senha mestra -- e lembre-se que provavelmente você já faz isto se usa um dos métodos citados anteriormente. A segurança em uma extremidade não muda, ela continua sendo tão fraca quanto era antes. Você eleva a segurança na outra ponta, na extremidade mais próxima ao sistema, que pode ser um site, por exemplo.
O ideal é utilizar um sistema de gerenciamento de senhas, que para descriptografar as outras te cobre algo que você sabe (a senha mestra) e algo que você possui (um cartão com tabela de senhas, chave privada e etc).
Se você se interessou pelo assunto, deve querer ler sobre o Clipperz e Passpack, são sites que caminham nessa direção. Não tem todas as funcionalidades descritas como suporte a tabela de senhas, mas o Clipperz tem até mesmo OTP e seu código fonte disponível (bastante interessante para rodar na sua intranet).
0 comentário(s):
Postar um comentário