Copia de seguridad fuera del sitio de "login.keychain"

Estoy usando la aplicación Keychain.app para administrar todas mis contraseñas (sitio web), y también estoy usando el "asistente de contraseñas" para generar contraseñas aleatorias seguras.

Pero, obviamente, estoy paranoico de que mi computadora portátil se pierda o se dañe y de que esté usando todas mis contraseñas, así que estoy buscando una opción de respaldo segura y cómoda .

En particular, la copia de seguridad debe ser inmediata (así como estoy agregando una nueva clave o editando una existente). Esto se puede hacer registrando un agente de lanzamiento.

Además, el almacenamiento debe ser fuera del sitio . Idealmente, esto significaría Dropbox . Pero estoy paranoico: su almacenamiento puede estar encriptado pero, en teoría, todavía tienen acceso a mis datos.

Ahora, el llavero está encriptado de todos modos. Pero, ¿es este cifrado seguro? ¿Puedo simplemente confiar en esto y cargar la copia de seguridad en un almacenamiento esencialmente público?

Agregaré una nota sobre Dropbox. Nadie discute que encriptan los archivos, pero algunos estaban confundidos entre la política de que los empleados de DropBox tenían prohibido acceder a los archivos (recuperando la clave que almacenan para SUS archivos y aplicándola a sus archivos) y el hecho de que pueden y lo harán. hacer eso cuando se lo pidan los abogados o el gobierno. DropBox es tan razonablemente seguro como cualquier cosa que diseñen y controlen los humanos.
@bmike Dropbox actúa esencialmente como un agente de custodia: son capaces y están dispuestos a proporcionar los datos a una agencia "autorizada". Me opongo fundamentalmente a este concepto. La idea detrás de la seguridad moderna es desconfiar de todos, en particular del gobierno, y gran parte de los centros de seguridad modernos se centran en la oposición a la plica. Eso puede parecer un problema insignificante para algunos, pero creo que es un problema fundamental de derechos civiles que se socava al ignorarlo.
@bmike Por supuesto. El objetivo sigue siendo minimizar esto. FWIW la situación no es tan grave en Alemania (donde vivo). Por ejemplo, los ISP no guardan datos de tráfico, por lo que no pueden proporcionar esta información.
Su ISP, cualquier servicio de alojamiento y cualquier proveedor de software que tenga ingresos es capaz y está dispuesto a proporcionar sus datos a una agencia "autorizada", a menudo sin notificárselo. Solo podemos elegir en qué país almacenamos nuestros datos y en qué país almacenamos nuestra propiedad. No estoy en desacuerdo con tu premisa, pero mantengo que Dropbox no es ni peor ni mejor que las otras opciones. Incluso PirateBay ha comprometido la IP/correo electrónico del usuario y ha sido trivial para hackear el hash MD5 de las contraseñas. Estar en línea te hace mucho más inseguro y no hay forma de evitarlo.

Respuestas (4)

1Password es un producto que te puede interesar. Parece marcar todas las casillas en términos de velocidad, fuera del sitio y almacenamiento seguro. Además, también te permite usarlo en todos tus dispositivos (iPhone, iPad, etc.).

Se ve muy bien, pero no estoy seguro de querer gastar 40 $ si todas las funciones también estarían disponibles de todos modos. En particular, muchas de las funciones (¡ciertamente, muy bonitas!) como "Ir y llenar" o la sincronización de dispositivos no me interesan.
+1 para 1Password (más como +8, ya que es realmente increíble, incluso como un producto independiente): es mucho más rápido y refinado para el almacenamiento de contraseñas que el llavero. También funcionan bien con Dropbox, por lo que si está de acuerdo con su política de seguridad (que se trata de lo que obtendrá de la mayoría de los sitios de consumidores que intentan proteger/encriptar sus datos), el tiempo y el dinero solo para el software de Mac podrían ser más baratos. que otra solución de respaldo, asumiendo que no necesita respaldar nada más fuera del sitio.
+1 Soy un "adicto" a las aplicaciones de Mac, y considero que 1Password es la aplicación más importante que uso.

Terminé usando un volumen encriptado y Dropbox. La siguiente es una guía paso a paso (esto supone que Dropbox ya está instalado):

  1. Cree un volumen cifrado en Disk Utility.appy guarde el archivo de imagen en su carpeta de Dropbox.

    1. Abra la aplicación "Utilidad de disco".

    2. Agregar una nueva imagen de disco:

      Antes de agregar una nueva imagen

    3. Guarde el archivo como "Llavero" (la extensión se agregará automáticamente) en su carpeta de Dropbox e ingrese la siguiente información:

      Información del volumen

    4. Después de presionar "Crear", se le pedirá que proporcione una contraseña:

      Elegir una contraseña

  2. Agregue el archivo de volumen a sus elementos de inicio de sesión para que la imagen se monte automáticamente al iniciar sesión.

    1. Abra sus Preferencias del sistema, vaya a Preferencias de la cuenta.
    2. Vaya a la pestaña "Elementos de inicio de sesión".

    3. Arrastre y suelte su Keychain.sparseimagearchivo desde la carpeta de Dropbox a la lista de elementos de inicio de sesión:

      Adición de un elemento de inicio de sesión

  3. Cree un agente de lanzamiento que observe los cambios en el llavero y lo copie en el volumen cifrado.

    1. Abra una terminal (por ejemplo Terminal.app, ).
    2. Cambie a la ruta de los agentes de lanzamiento:cd ~/Library/LaunchAgents/

    3. Cree un archivo de texto en esa carpeta (p. ej., usando vim), asigne un nombre al archivo net.madrat.utils.keychain-sync.plisty pegue el siguiente contenido en el archivo de texto:

      <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>net.madrat.utils.keychain-sync</string>
    <key>OnDemand</key>
    <true/>
    <key>ProgramArguments</key>
    <array>
        <string>/bin/cp</string>
        <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
        <string>/Volumes/Keychain/</string>
    </array>
    <key>RunAtLoad</key>
    <false/>
    <key>StartInterval</key>
    <integer>1800</integer>
    <key>UserName</key>
    <string>USERNAME</string>
    <key>WatchPaths</key>
    <array>
        <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
    </array>
</dict>
</plist>

      (Reemplace todas las apariciones de USERNAMEpor su nombre de usuario de inicio de sesión).

      Importante: El nombre de archivo de este archivo debe corresponder a la Labelcadena, más la .plistextensión. Si cambia cualquiera, también debe cambiar el otro.

  4. Active y pruebe el agente de lanzamiento.

    1. En la terminal, ejecuta launchctl load net.madrat.utils.keychain-sync.plist. El agente de lanzamiento ahora está activo.

    2. Pruebe el agente agregando una nueva clave a su llavero y observe que Dropbox actualiza el Keychain.sparseimagearchivo.

Felicitaciones a @barbaz por tener la idea de usar un volumen OS X encriptado.
Aunque sigo pensando que eso es pedir que me roben, ¡esta es una solución muy elegante! ;)
@Cawas Estoy bastante seguro de que un cifrado AES moderno no se puede descifrar. ¿Cómo es eso de pedir que te roben?
Me gusta pensar en medidas definitivas, casi utópicas si se quiere... "moderno [ponga su tecnología aquí]" para un hacker es casi como un banco con la caja fuerte más tecnológica guardando dinero para un ladrón. ¿Realmente puedes decir que nadie puede romperlo? Bueno, en mi opinión, si quiero que la información esté protegida, la única forma en que sé que será si nadie, y quiero decir nadie, lo sabe. AES no fue creado por mí, así que alguien lo sabe.
@Cawas Parece que tienes un grave malentendido de la criptografía moderna. Lo que usted defiende se conoce como "seguridad por oscuridad" y los expertos en seguridad generalmente reconocen que este concepto está fundamentalmente roto: no funciona. AES y las medidas relacionadas se romperán en el futuro y, de hecho, es posible que ya estén rotos, pero la probabilidad de que esto ocurra es mucho (!) menor que la de que su oscuridad sea perforada por un atacante dedicado.
Llámalo "seguridad por oscuridad" y ese es solo el primer paso de lo que estoy sugiriendo. No lo estoy defendiendo porque no lo hago yo mismo, no tengo nada en los medios digitales que deba estar tan protegido. Simplemente me gusta pensar en ello. Tenga en cuenta que la probabilidad es solo una medida estadística de hechos históricos. Y solo le preocupa el cifrado, mientras que hay muchos más aspectos a considerar. Hablar de "expertos en seguridad" y "no funciona" es demasiado vago, pero estoy de acuerdo en que también estoy siendo vago, aunque eso se debe a que hay más que decir de lo que puedo escribir. Editaré mi respuesta.
allí, si todavía estás interesado. :)

Actualmente, Dropbox no es compatible con "Ver cualquier carpeta" , por lo que tendrá que ensamblar una segunda secuencia de comandos o usar una herramienta como DropLink ( @dr0plink en Twitter) para copiar los archivos en la única carpeta que ve. Eso es más complicado y más propenso a fallar.

CrashPlan es una solución mucho mejor, ya que le permitirá ver carpetas específicas (o todo el disco). Esto es menos probable que se rompa y permitirá que el llavero almacene el archivo donde prefiera.

Puede alquilar espacio con ellos o configurar su propio almacenamiento externo y utilizar el software de forma gratuita. Hay muchos otros productos similares a CrashPlan, pero es el que uso y elijo debido a las características, el precio y el soporte.

No olvides que MobileMe te permitirá sincronizar esos elementos del llavero con la nube. Puede evaluarlo de forma gratuita durante algún tiempo antes de tener que pagar una tarifa anual.

Querrá investigar un poco: es bastante complicado hacer el cifrado correctamente. PGP tiene algunos buenos manuales sobre los conceptos básicos , pero usted quiere a alguien que se tome el tiempo para explicar su experiencia y que no prometa demasiado. Además, si puede hacer el cifrado usted mismo, sus claves están bajo su control para que otros no se sientan inclinados a liberarlas. Aquí es donde confiar solo en el cifrado de Dropbox ha decepcionado a algunas personas que no cifraron primero sus datos antes de enviarlos a su carpeta de Dropbox.

Nada es totalmente seguro. Trato de mitigar eso mediante el uso de herramientas de alguien que parchea los agujeros rápidamente y me avisa si necesito actualizar las cosas una vez que se corrige una debilidad. También trato de saber lo suficiente sobre lo que sucede debajo del capó para no cometer errores tontos como confiar en la autoridad de firma de claves equivocada.

Lo bueno es que todos estos productos tienen pruebas gratuitas para que pueda ver qué funciona mejor antes de gastar dinero.

Ya estoy usando el demonio de lanzamiento para monitorear mis archivos en busca de cambios y realizar copias de seguridad automáticas de Dropbox, así que eso no es un problema para mí. Pero CrashPlan se ve increíble. +1 también para MobileMe, nunca lo había considerado.
Me encanta launchd: es increíble no tener que piratear/asimilar fseventsd, pero tener un envoltorio ordenado y poderoso para iniciar scripts.
+ para plan de emergencia. Lo uso junto con dropbox y es genial.

Sugerencia

En realidad, a mí no me importa mucho evitar que la gente entre. Solo hago tantas copias de seguridad como puedo, ya que eso es lo único que considero la seguridad de los datos. Incluyendo todo en línea y fuera de línea. Pero eso no quiere decir que no me esfuerce mucho para evitar problemas con cualquier persona que ingrese en cualquier lugar.

Si fuera tan paranoico como usted, no confiaría en el cifrado, haría mi propia forma loca de almacenarlo en un HTML o incluso en TEXTO, y luego lo replicaría junto con muchas otras cosas. La idea es ocultar la contraseña a simple vista, pero solo tú sabes qué buscar. Tome un libro digital o algo así, haga una regla simple que solo usted conozca y utilícela como su contraseña. Por ejemplo:

El veloz zorro marrón saltó sobre el perro perezoso... ¡y MURIÓ!

La contraseña aquí podría ser: Tbjtd.D!2011- Allí, incluso agregué el año. Eventualmente me acostumbro a escribirlo y ya ni siquiera necesito mirar la referencia.

Como estábamos discutiendo, sí, esto es seguridad a través de la oscuridad , pero esto es solo para un individuo. Si obtiene una selección aleatoria de caracteres tan solo en su mente, y nunca la escribe ni se la pasa a nadie, conceptualmente no hay una contraseña más segura porque es impredecible por definición (aleatoriedad). Solo necesita ser lo suficientemente grande como para evitar que el poder computacional lo use por fuerza bruta. Es así de simple.

Entonces, si lo escribe de manera impredecible y agrega un honeypot con todo el cifrado y las cosas de las que ha hablado, pero no agrega su contraseña principal allí, simplemente se agregó muchas capas de la máxima seguridad al hacer un perfecto y camino imposible de seguir que solo tiene sentido para ti. El punto de escribirlo en mi sugerencia es simplemente como un dispositivo mnemotécnico para que pueda recordar su contraseña en caso de que la olvide.

Tenga en cuenta que este es un caso de uso muy específico que no pretende generar medidas de seguridad para los datos ni el cifrado, sino una contraseña .

Respuesta directa

Pero si desea confiar en algún cifrado y no sabe si puede confiar en Keychain.app (sé que no puedo), pruebe el KeePassX de código abierto , que es la única forma de confiar en el cifrado, tal como lo veo. Puede combinarlo con Dropbox y tratar de tranquilizarse confiando en que su clave nunca se filtrará .

Me alegra ver que en realidad encontró un reemplazo "mejor" (al menos si solo usa Mac) para KeePassX (el DMG) e incluso pudo agregar una forma automática de actualizarlo a través de LaunchAgents. El resto es básicamente lo que dije arriba.

Ningún cifrado o medida de seguridad puede ser 100 % confiable casi por definición, pero sigue siendo útil como una capa adicional si no le importa llamar la atención sobre sus datos relevantes y concentrarlos en una gran caja fuerte que diga "aquí, intente aquí y si éxito al abrir esto, lo tienes todo" considerando que es muy difícil romperlo.

Copia de seguridad fuera del sitio de "login.keychain"
RespuestasAquíPolítica de privacidad1y, 0v