No.977
Allora, vi dico che è da novembre scorso che riempio delle pagine di quaderno inserendo ogni tipo di credenziali:
username, passwords, quali app di auth usano quei servizi, codici identificativi e per i servizi bancari le ultime transazioni fatte con allegate date e così via.
Insomma, se mi entrano in casa e rubano sto quaderno, sapranno vita morte e miracoli di me.
Sicuro fino ad un certo punto, dato che se in un modo o nell'altro il quaderno finisce in mani non tue, i dati sono in chiaro, ma di certo non volevo mettermi a scrivere il tutto a mano usando il cifrario di cesare…
Quindi, perchè ho preferito questo sistema tanto semplice e non molto sicuro?
Da informatico dirò una blasfemia, ma io non mi fido del software: nè di quello che scrivono altri, nè di quello che scrivo io e principalmente il motivo di ciò è una mia forte ignoranza a riguardo. Ci sono anche altri motivi in realtà tra cui:
- quella merdosa possibilità che un file sensibile si corrompa e anche su più copie di backup, cosa che mi è capitata tra l'altro quando ne avevo un disperato bisogno
- quel servizio online free/paid che: o viene hackerato dove vengono rubate cose (cifrate o meno c'è sempre "harvest now, decrypt later", vi invito ad informarvi) o a cui perdi l'accesso perchè come lo smemorato non ricordi una psw d'accesso. Ci tengo a dirvi che non mi sono mai fidato di cloud storage o comunque dei servizi online, la mia merda me la tengo stretta in locale
Date queste mie considerazioni, si può capire che non mi fido molto del digitale, anche con tutti sti layer di sicurezza, dato che in un modo o nell'altro si può sempre perdere l'accesso a delle risorse. Ma lo stesso discorso lo posso riproporre anche a metodi analogici che sono anche meno sicuri. Che mo i dati stiano su un CD/USB/QUADERNO/CLOUD, la loro persistenza per ciò che mi riguarda non è mai garantita al 100% e qui apriti cielo con le crisi esistenziali e le solite cose tipo "nulla è per sempre lmaoo" .
Comunque, dopo tutto questo spiegone, come l'incoerente che sono ho deciso di dare comunque una chance al digitale, principalmente per non accumulare col tempo quaderni su quaderni con inserimenti e modifiche alle credenziali future e passate.
Per cui, m'è venuto in mente questo attacco d' arte autismo.
In breve usare un arduino pro micro, un lettore microSD, un LCD e dei tastini. Lo sketch sull'arduino fa pochissime cose: farmi navigare tra i record inseriti, simulare una tastiera che scrive i dati selezionati con un click e principalmente decodificare i dati sulla SD usando AES (possibilmente, merda quantum safe). Per decifrare (e cifrare) c'è bisogno di una chiave e avevo pensato a chiavi che bene o male mi accompagneranno fin quando non avrò problemi di memoria, roba come il mio nome o altri cazzi da domanda di sicurezza di windows, tanto chi mi fotterà tale dispositivo dovrebbe capire anche come immettere la chiave (avevo pensato ad un tag NFC che contiene tale chiave, ma sarebbe più consono inserirla tramite i tastini). In ogni caso come funziona:
viene scritto un file JSON classico che contiene in sostanza l'array dei siti con sotto array con dizionari di valore: chiave. Un classico, solo che aggiungo dei valori di inzio e di fine chiamati OKAYIN e OKAYOUT. Fattò ciò prendo sto JSON e lo codifico in AES e lo salvo su 3 MICROSD diverse (una da mettere nel lettore, una da dare a mia madre e una da mettere in banca) e cancello il file originale dopo essermi assicurato che le copie funzionino. Ovviamente il tutto verrà fatto su un pc con win98 e python3 OFFLINE. Il dispositivo non si avvia se non è presente la SD, se c'è avvia la funzione di autenticazione che consiste nel prendere in input la chiave. Immessa una chiave l'arduino inizia a decifrare il tutto, se trova OKAYIN e OKAYOUT, allora concede l'accesso, altrimenti daràa a schermo un errore farlocco tipo "dati corrotti" così da scoraggiare eventuali persone che hanno sequestrato me e il dispositivo meglio morire.
In ogni caso il resto viene da se se il tutto si sblocca normalmente, si naviga tra le vari voci, si seleziona quella che si vuole, e si selezionano i dati da mandare al dispositivo che richiede le credenziali. Per l'inserimento/modifica di nuovi record, si fa il dump della SD, la si decifra sempre su quel pc con win98 offline usando la chiave e aggiunti/modificati i record, ripete il tutto. Qual'ora si volesse agire sulla MCU, innanzitutto metto sul chip la classica resina nera, rimuovo dal pcb gli attacchi per la seriale/flash e comunque non riuscirebbero a risalire ai dati cifrati.
Che ne pensate?
No.978
Bel progetto ma ho visto Arduino schiattare come vaccinati pluridosati.
La copia cartacea è solo a rischio furto; il mariuolo vuole la password del tuo conto corrente, non della vasta collezione di siti web pornogay che tanto ti piacciono, né il tuo account reddit dove vai spergando contro la barista che non vuole pagamenti elettronici sotto i cent'euri.
L'alternativa è un file di testo dal nome innocuo e da sincronizzare esclusivamente a mano su vari pc che non prendano il volo. Andrebbe bene pure un cellulare non spione (quindi non Android o derivati, e nemmeno Apple). Occhio a non usare Windows 7-8-9-10-11 per evitare che te lo sincronizzi sul claudio a tua insaputa, e il cloud è pur sempre l'ardisco di qualcun altro, cioè fatto proprio per harvestare e sniffare. Non che ci facciano chissà che, ma ad avere un elenco di password di un coglione random potrebbe sempre tornare utile.
Il vantaggio del file .txt è che per editarlo basta anche un pc di quarant'anni fa, e che ad avercelo sottomano (pc o cellulare) si può fare copiaincolla di modifiche e aggiunte.
Io per esempio ho un reddit.txt in cui annoto oltre alle password anche "ban r/italy fino al 16 aprile", "permaban r/italia per incelleria", "finge di essere femmina", "compromesso sullo stesso ip con account 12345", ecc.
No.979
>>978
>non della vasta collezione di siti web pornogay che tanto ti piacciono, né il tuo account reddit dove vai spergando contro la barista che non vuole pagamenti elettronici sotto i cent'euri.
>ban r/italy fino al 16 aprile", "permaban r/italia per incelleria", "finge di essere femmina"Anon tutto bene?
No.980
>>978>"finge di essere femmina"Redditor e fingersi femmine, nomina un duo più iconico
No.981
non userei una SD come unico dispositivo di salvataggio per dati così sensibili
sono migliorate negli anni ma non abbastanza da poterti fidare ciecamente
No.982
Penso che uso sempre lo stesso metodo dagli anni '90 e chi non lo usa è un coglione:
1) Identifica una seria alfanumerica a caso, esempio: AD481cre$t0
2) infarciscila con la piattafroma a cui ti stai iscrivendo, ma mascherandola in qualche modo, esempio: AD481feisbuccre$t0
3) Oh wow hai trovato un modo automatico per ricordarti mille password senza l'ausilio di alcun supporto: [AD481][nome della piattaforma pronunciato in italiano][cre$t0]
4) profittane
Cazzo questo è solo un modo tra altri venti milioni, basta usare un attimo il cervello.
No.983
>>982OP qui
La tecnica che hai descritto la uso appieno
Di solio na roba tipo
AL13n_F4ceB0ok
AL13n_1nSt4
Diciamo che sono più autistico su questo fronte, ma il problema non sono le password in sè o la memoria ballerina ma l'insieme di tutti i dati per quel determinato sito o servizo.
Ad esempio l'app della banca per il reset password chiede oltre che il Codice Fiscale 3 tipi di pin diversi e risposte alle classiche 5 domande. Capisci che, volendolo o meno, la mole di dati si ingigantisce man mano che ti sottoscrivi a cose. Avessi avuto 11-12 anni non avrei avuto questo tipo di problemi
No.984 RABBIA!
>>983>appienoperdonatemi la terronagine, a volte non la controllo
No.985
>>983Non ha senso un algoritmo mentale se poi non riesci a ricordartelo
Also mi sembra poco sicuro, io faccio lo stesso ma usando solo le lettere pari del nome del servizio, alcune (fisse) le trasformò in numeri e le inserisco in determinate posizioni di una stringa fissa (a meno del carattere speciale)
Così anche se qualcuno dovesse avere in chiaro una password non può risalire alle altre
No.1009
Lol ho letto un po' e do Arduino non ne so nulla, ma mi pare la tipica cosa fatta per flexxare e rendere più complessa la storia inutilmente
No.1092
>>977>se mi entrano in casa e rubano sto quaderno, sapranno vita morte e miracoli di meA quel punto possono tranquillamente installarti microspie in casa, o più semplicemente prenderti a legnate finchè non gli dai le password.
Il tuo quaderno è ragionevolmente sicuro dalle intrusioni, la sua vera debolezza è l'integrità: non è facilissimo farne copie, è facile perderlo, può rovinarsi e divenire illeggibile…
TL DR fai fotocopie.
>>982Variante che preferisco:
>nome del tuo dio>nome del tuo animale preferito>numero importante>nome piattaforma>punto esclamativo se necessario No.1121
Cosa avete di così importante che può venire compromesso, a parte il conto bancario? Io ormai sono almeno 5 anni che tra lavoro e idiozie quotidiane varie non riesco a stare più dietro ai siti vari e semplicemente non li uso più
No.1167
KeepassXC con chiave hardware yubikey più file chiave di generose dimensioni.
Il resto sono tue seghe mentali, inoltre pensi di poter mettere in piedi un sistema veramente sicuro e senza falle? Dubito.
L'idea è in ogni caso carina ma resa del tutto inutile dalla 2fa hardware.