Disclaimer: hier komt de reactie van een fundamentalist, een gekkie die veel te veel tijd in zijn security stopt en een model heeft wat voor de meesten volledig onwerkbaar is. Gebruik dit dan ook niet als harde waarheid, probeer het niet zelf te implementeren. Mocht je dat wel doen: de auteur van deze reactie is niet aansprakelijk voor gevolgen en daaruit voortvloeiende kosten, waaronder professionele hulp.Segmentatie
Uit je bericht opmakende lijkt het dat je een enkele kluis hebt. Als daar iets mee gebeurd, ligt je hele hebben en houden op straat. Je zou kunnen overwegen om dat te '
segmenteren' en daarmee de schade in te perken, mocht een van de kluizen in handen van een aanvaller vallen.
Hoe je die segmentatie precies maakt is een kwestie van zowel persoonlijke voorkeur als een mogelijk 't
hreat model'. Wat voorbeelden:
- Het kan op basis van categorieën - bijvoorbeeld persoonlijk en zakelijk of huishoudelijk, externe partijen, top secret.
- Het kan op basis van de vertrouwelijkheid - van bijvoorbeeld basaal (credentials voor spelletjes als candy crush saga) tot en met zeer vertrouwelijk (kopie identificatie, ssh keys, gpg passphrases).
- Of op basis van verttrouwen in een device. Misschien vertrouw je jouw iPhone meer dan je Windows machine of andersom.
Keuze wachtwoordmanager
Je geeft aan dat je 1Password en LastPass gebruikt, beiden proprietary (
closed source) apps welke gebruik maken van een cloud. Dat zou ik zelf nooit doen, je geeft een externe (for-profit!) partij enorm veel vertrouwen, dat op de korte of de lange termijn geschonden kan worden. En ik zou bijna zeggen; geschonden gaat worden
De nadelen:
- Je hebt geen toegang tot de code. Je kunt de werking niet bestuderen, je kunt het niet aanpassen, niet auditten of een kopie maken van de code.
- Je geeft twee entiteiten enorm veel macht. Stel, beiden zouden morgen de stekker eruit trekken; heb jij een kopie van jouw kluizen in een "open formaat", dus waarmee je de mogelijkheid hebt om te switchen naar een andere app?
- Omdat het in een wolkje ergens draait, op de server van een ander, geef je die partij ook enorm veel vertrouwen voor de beveiliging van jouw kluis. Houden zij bruteforcers actief tegen? Is het mogelijk om bij die partijen in te breken, alle kluizen te stelen en deze vervolgens "offline" te bruteforcen?
Zelf zou ik op z'n minst KeePassXC aanraden. Dat is open source, je kluis staat niet langer in een verzameling van gebakken lucht (de 'cloud') - met het voordeel EN nadeel dat je zelf verantwoordelijk bent voor de synchronisatie en backup.
Browsers en sandboxing
Een moderne browser - of het nu Chromium based of Firefox is - zijn waanzinnig complex; in sommige aspecten complexer dan een relatief simpel besturingssysteem. Standaard handelen browsers zelf de beveiliging en isolatie/sandboxing af. Dat slaat echter één cruciale stap over: kun je de browser wel vertrouwen? Wat als hier een gapende kwetsbaarheid in zit?
Browsers hebben toegang tot alle data van jouw account, inclusief je SSH/GPG keys, kluizen, mailarchief, foto's, dickpicks, chatgeschiedenis, enzovoorts. Terwijl ze daar niets mee te maken hebben! Bizar toch? Gelukkig kun je daar in veel gevallen wat aan doen, door de browser te sandboxen
Je kunt daarin zo ver gaan als je wilt, van vrij simpel tot een aluhoedje waardig niveau (zoals ondergetekende heeft). Hoe effectief het is hangt ook af van de verdere beveiliging. Als je full-yolo modus alles onder admin/root rechten doet, geen updates installeert heeft het natuurlijk wat minder zin
Een aantal tips:
- Versleutel je opslag, ongeacht of dit intern of extern is. Gebruik LUKS (Linux), Veracrypt (Windows), Geli (FreeBSD) of bioctl (OpenBSD).
- Werk met zo min mogelijk rechten. Gebruik een reguliere user voor browsing, doe dit nooit met een admin of root account.
- Beveilig je OS met een verharde configuratie. Zie bijvoorbeeld deze guide voor Windows, gebruik Lynis voor Linux (en maak gebruik van de grsecurity patchset of linux-hardened).
Als je de fundamentals op orde hebt kun je vervolgens de browser en mogelijk andere applicaties gaan sandboxen - en daarmee ook de toegang tot jouw data beperken. Voor Windows is er bijvoorbeeld Sandboxie, voor Linux is er Firejail (in combinatie met SElinux en AppArmor). Ook daarin kun je dieper duiken en de standaard configuratie optimaliseren en verder dicht timmeren.
Last but not least
Mobiele devices, zoals de iPhone, iPad en moderne Android telefoons hebben een beveiligde / vertrouwde opslag - een 'secure enclave'. Hiermee kan het OS en applicaties op deze apparaten vertrouwelijke informatie op een veilige manier opslaan. Mits het een beetje een goede implementatie is, dan zou je zelfs kunnen beargumenteren dat het veiliger is dan menig computer
Op een flink deel van deze apparaten kun je ook instellen dat deze veilige opslagzone gewist wordt na een X aantal ongeldige inlogpogingen - dit kan op bijvoorbeeld de iPhone en iPad die je aangeeft te gebruiken. De baseline beveiliging is grotendeels voldoende om zelfs de meer technisch onderlegde dieven weg te houden van de data op je apparaat, maar meer beveiliging kan geen kwaad.
En een Yubikey kun je verliezen, die kan gestolen worden of stuk gaan. Maar ook daarvan kan je een backup maken en deze veilig elders opslaan. Wat veilig is, is afhankelijk van jouw voorkeuren maar ook de bedreigingen waar je rekening mee wilt houden.
Conclusie
Enorm veel tekst waar je totaal niet om gevraagd hebt. Misschien zelfs complete bagger. Maar, wellicht (...en hopelijk) kun je er ook wat inspiratie uit halen, voor nu of mogelijk iets voor de toekomst
En zo niet: excuus voor de tijdsverspilling
[Voor 9% gewijzigd door jurroen op 27-01-2022 23:32]
:strip_icc():strip_exif()/u/396981/crop5f8bfe34b578f_cropped.jpeg?f=community)
/u/28468/librarian2.png?f=community)
:strip_icc():strip_exif()/u/990805/crop5e20ca3d75443_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/457808/crop5686a95ab9c87_cropped.jpeg?f=community)
/u/365254/crop62e2919a741c0.png?f=community)