beveiligen van passwords

[bart85]

Ik hou mijn wachtwoorden bij op de pc. Hoewel hij de owner root heeft en alleen read/write permissie voor de root, schijnt het toch niet veilig te zijn. Daarom beveilig ik ze nu met gpg. Hieronder de code:

Eerst het aanmaken van passwords.gpg met toevoegen van een nieuw account:

Code: [Selecteer]

#!/bin/bash

echo "site? "
read site
echo "user? "
read user
echo "password? "
read pass
sudo gpg -d passwords.gpg > passwords
echo -e "$site\t$user\t$pass" >> passwords
sudo gpg -e passwords
rm passwords
Vervolgens opvragen met:

Code: [Selecteer]

#!/bin/bash

site=$1

sudo gpg -d passwords.gpg | grep $site

[Johan van Dijk]

Je kan beter de ingebouwde sleutelbos van Gnome, KDE of desnoods je browser gebruiken. Die zijn allemaal beter en veiliger dan het script dat je nu post.

GPG op zich is wel veilig, alleen de manier waarop je het gescript hebt is niet handig.

Als je een terminalscript wil gebruiken kijk dan eens naar http://www.passwordstore.org/. Het pakket zit in Ubuntu onder de naam "pass".
Die werkt ook met gpg onder de motorkap.

Andere opties zijn Keepass of KeepassX.

[bart85]

Waarom is het niet veilig? Hoe kan het script worden verbeterd? Er zit een passphrase met RSA sleutelpaar over.

[valk]

Het is misschien wel veilig, maar ik zou voor oplossingen als Lastpass of KeepassX gaan. Dat zijn gespecialiseerde wachtwoord oplossingen.

KeepassX is ook opensource en gratis. Lastpass heeft een gratis versie, maar is niet open source. Lastpass is overigens wel een super makkelijke oplossing op al je apparaten...

Kijk ook hier eens voor goede tips van Bits of Freedom:
https://toolbox.bof.nl/adviezen/wachtwoordmanager/

[Johan van Dijk]

Waarom is het niet veilig? Hoe kan het script worden verbeterd? Er zit een passphrase met RSA sleutelpaar over.

Je voert gpg uit met sudo, dat is nergens voor nodig en zorgt ervoor dat jouw keys van de rootgebruiker worden ipv je eigen gebruiker.
Het is onveilig om onversleutelde wachtwoorden in een bestand op te slaan.
Je checkt niet waar je het bestand met wachtwoorden plaatst. Die zou voor iedereen beschikbaar kunnen worden in bijv. /tmp.
Om maar wat te noemen...

[bart85]

Er is hier vanuit gegaan dat passwords.gpg word opgeslagen in de homedirectory, dus niet in /tmp

[jan11000]

Als je iets over beveiliging had gelezen de afgelopen jaren.
Dan had je gezien dat firma's, die veel kennis hebben, het vaak verkeerd doen, dus een programma met encryptie maken.
Dus ik denk dat als je zoiets even maakt het dus nooit goed kan zijn, en zeker niet veilig.
Google op encryptie en hoe dit moet, en waar fouten liggen.

Gebruik dus keepass of iets vergelijkbaar.
En dit had je al heel erg lang geleden moeten gebruiken.

[Lowlands]

Gewoon een pagina maken en op je andere HD of externe HD op slaan in een map met al je gebruikersnamen en wachtwoorden.Die map een naam geven die niks met wachtwoorden te maken heeft.
Lijkt me sterk dat iemand die makkelijk kan vinden!Op een 2 TB HD!

[bart85]

Is het een idee om ecryptfs te gebruiken voor het versleutelen? Alle privacy gevoelige informatie kan dan op een aparte partitie met versleuteling komen te staan.
Hoe gaat dit in zijn werk?

[MKe]

Encrfs schijnt niet heel veilig te zijn, zie https://defuse.ca/audits/encfs.htm

[valk]

Is het een idee om ecryptfs te gebruiken voor het versleutelen? Alle privacy gevoelige informatie kan dan op een aparte partitie met versleuteling komen te staan.
Hoe gaat dit in zijn werk?

Waarom wil je zelf iets bouwen als er al uitstekende open source tools als Keepass, KeepassX en Passwordsafe bestaan. Deze tools zijn bewezen veilig, zelf iets van dat niveau maken is een behoorlijke opgave.

[MKe]

Je kunt trouwens ook prima emacs gebruiken. Deze editor slaat alles dat eindigd met .gpg versleuteld op. Emacs is echt een geweldig programma

[Johan van Dijk]

Encrfs schijnt niet heel veilig te zijn, zie https://defuse.ca/audits/encfs.htm

Encfs is wel een ander beest dan ecryptfs. Die laatste werkt op een hele andere manier en heeft de problemen van encfs niet.