Offsite-Backup von „login.keychain“

Ich verwende die Keychain.app , um alle meine (Website-) Passwörter zu verwalten, und ich verwende auch den „Passwortassistenten“, um sichere zufällige Passwörter zu generieren.

Aber offensichtlich bin ich paranoid, dass mein Laptop verloren geht oder beschädigt wird und dass ich alle meine Passwörter verwende, also suche ich nach einer sicheren, bequemen Backup-Option .

Insbesondere muss die Sicherung sofort erfolgen (sobald ich einen neuen Schlüssel hinzufüge oder einen vorhandenen bearbeite). Dies kann durch Registrieren eines Startagenten erfolgen.

Darüber hinaus sollte die Speicherung außerhalb des Standorts erfolgen . Im Idealfall wäre dies Dropbox . Aber ich bin paranoid: Ihre Speicherung ist möglicherweise verschlüsselt, aber sie haben theoretisch immer noch Zugriff auf meine Daten.

Jetzt ist der Schlüsselbund sowieso verschlüsselt. Aber ist diese Verschlüsselung sicher? Kann ich mich einfach darauf verlassen und das Backup auf einen im Wesentlichen öffentlichen Speicher hochladen?

Ich werde eine Anmerkung zu Dropbox hinzufügen. Niemand bestreitet, dass sie die Dateien verschlüsseln, aber einige waren verwirrt zwischen der Richtlinie, dass es DropBox-Mitarbeitern verboten war, auf Dateien zuzugreifen (indem sie den Schlüssel, den sie für IHRE Dateien speichern, abrufen und auf Ihre Dateien anwenden) und der Tatsache, dass sie es können und wollen Tun Sie dies, wenn Sie von Anwälten oder der Regierung dazu aufgefordert werden. DropBox ist so sicher wie alles, was Menschen entwerfen und kontrollieren.
@bmike Dropbox fungiert im Wesentlichen als Treuhänder: Sie sind in der Lage und bereit, die Daten einer „autorisierten“ Stelle zur Verfügung zu stellen. Ich lehne dieses Konzept grundsätzlich ab. Die ganze Idee hinter moderner Sicherheit besteht darin, allen zu misstrauen, insbesondere der Regierung, und ein Großteil der modernen Sicherheit dreht sich um den Widerstand gegen Treuhand. Das mag manchen wie ein kleines Problem erscheinen, aber ich denke, es ist ein grundlegendes Bürgerrechtsproblem, das untergraben wird, wenn man es ignoriert.
@bmike Natürlich. Ziel ist es nach wie vor, diese zu minimieren. FWIW In Deutschland (wo ich wohne) ist die Situation nicht ganz so schlimm. Beispielsweise speichern ISPs keine Verkehrsdaten, sodass sie diese Informationen nicht bereitstellen können.
Ihr ISP, jeder Hosting-Service und jeder Softwareanbieter mit Einkommen ist in der Lage und willens, Ihre Daten einer „autorisierten“ Agentur zur Verfügung zu stellen – oft ohne Sie zu benachrichtigen. Wir können nur wählen, in welchem ​​Land wir unsere Daten speichern und in welchem ​​Land wir unser Eigentum speichern. Ich widerspreche Ihrer Prämisse nicht, behaupte aber, dass Dropbox nicht schlechter oder besser ist als die anderen Optionen. Sogar PirateBay hat Benutzer-IP/E-Mail kompromittiert und es ist trivial, MD5-Hash von Passwörtern zu hacken. Online zu gehen macht Sie viel unsicherer und daran führt kein Weg vorbei.

Antworten (4)

1Password ist ein Produkt, das Sie interessieren könnte. Scheint alle Kriterien in Bezug auf Geschwindigkeit, Offsite- und sichere Speicherung zu erfüllen. Außerdem können Sie es auch auf all Ihren Geräten verwenden (iPhone, iPad usw.).

Das sieht sehr schön aus aber ich bin mir nicht sicher ob ich 40€ ausgeben will wenn alle Features auch vorhanden wären. Insbesondere viele der (zugegebenermaßen sehr hübsch anzusehenden!) Features wie „Go & Fill“ oder Gerätesynchronisation interessieren mich nicht.
+1 für 1Password (eher +8, da es sogar als eigenständiges Produkt wirklich großartig ist) - es ist so viel schneller und raffinierter für die Speicherung von Passwörtern als der Schlüsselbund. Sie funktionieren auch gut mit Dropbox. Wenn Sie also mit ihrer Sicherheitsrichtlinie einverstanden sind (was ungefähr das ist, was Sie von den meisten Verbraucherseiten erhalten, die versuchen, Ihre Daten zu schützen/zu verschlüsseln), ist die Zeit + das Geld für die Mac-Software allein möglicherweise billiger als eine andere Backup-Lösung, vorausgesetzt, Sie müssen nichts anderes extern sichern.
+1 Ich bin ein Mac-App-Junkie und halte 1Password für die wichtigste App, die ich verwende.

Am Ende habe ich ein verschlüsseltes Volume und Dropbox verwendet. Das Folgende ist eine Schritt-für-Schritt-Anleitung (dies setzt voraus, dass Dropbox bereits installiert ist):

  1. Erstellen Sie ein verschlüsseltes Volume in Disk Utility.appund speichern Sie die Bilddatei in Ihrem Dropbox-Ordner.

    1. Öffnen Sie die Anwendung „Festplatten-Dienstprogramm“.

    2. Fügen Sie ein neues Disk-Image hinzu:

      Bevor Sie ein neues Bild hinzufügen

    3. Speichern Sie die Datei als „Schlüsselbund“ (Erweiterung wird automatisch hinzugefügt) in Ihrem Dropbox-Ordner und geben Sie die folgenden Informationen ein:

      Angaben zum Band

    4. Nachdem Sie auf „Erstellen“ geklickt haben, werden Sie aufgefordert, ein Passwort anzugeben:

      Auswahl eines Passworts

  2. Fügen Sie die Volume-Datei zu Ihren Anmeldeobjekten hinzu, damit das Image beim Anmelden automatisch gemountet wird.

    1. Öffnen Sie Ihre Systemeinstellungen, gehen Sie zu Kontoeinstellungen.
    2. Wechseln Sie zur Registerkarte „Anmeldeelemente“.

    3. Ziehen Sie Ihre Datei per Drag & Drop Keychain.sparseimageaus dem Dropbox-Ordner in die Liste der Anmeldeobjekte:

      Hinzufügen eines Anmeldeobjekts

  3. Erstellen Sie einen Startagenten, der auf Änderungen im Schlüsselbund achtet und ihn in das verschlüsselte Volume kopiert.

    1. Öffnen Sie ein Terminal (zB Terminal.app).
    2. Wechseln Sie in den Startagentenpfad:cd ~/Library/LaunchAgents/

    3. Erstellen Sie eine Textdatei in diesem Ordner (z. B. mit vim), benennen Sie die Datei net.madrat.utils.keychain-sync.plistund fügen Sie den folgenden Inhalt in die Textdatei ein:

      <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>Label</key>
    <string>net.madrat.utils.keychain-sync</string>
    <key>OnDemand</key>
    <true/>
    <key>ProgramArguments</key>
    <array>
        <string>/bin/cp</string>
        <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
        <string>/Volumes/Keychain/</string>
    </array>
    <key>RunAtLoad</key>
    <false/>
    <key>StartInterval</key>
    <integer>1800</integer>
    <key>UserName</key>
    <string>USERNAME</string>
    <key>WatchPaths</key>
    <array>
        <string>/Users/USERNAME/Library/Keychains/login.keychain</string>
    </array>
</dict>
</plist>

      (Ersetzen Sie alle Vorkommen von USERNAMEdurch Ihren Login-Benutzernamen.)

      Wichtig: Der Dateiname dieser Datei muss der LabelZeichenfolge plus .plistErweiterung entsprechen. Wenn Sie einen ändern, müssen Sie auch den anderen ändern.

  4. Aktivieren und testen Sie den Startagenten.

    1. Führen Sie im Terminal aus launchctl load net.madrat.utils.keychain-sync.plist. Der Startagent ist jetzt aktiv.

    2. Testen Sie den Agenten, indem Sie Ihrem Schlüsselbund einen neuen Schlüssel hinzufügen, und beobachten Sie, ob Dropbox die Keychain.sparseimageDatei aktualisiert.

Hut-Tipp an @barbaz für die Idee, ein verschlüsseltes OS X-Volume zu verwenden.
Auch wenn ich immer noch denke, dass das darum geht, ausgeraubt zu werden, ist dies in der Tat eine sehr elegante Lösung! ;)
@Cawas Ich bin mir ziemlich sicher, dass eine moderne AES-Verschlüsselung nicht zu knacken ist. Wie bittet das, ausgeraubt zu werden?
Ich denke gerne an ultimative Maßnahmen, fast utopisch, wenn Sie so wollen ... "modern [stellen Sie Ihre Technologie hier]" ist für einen Hacker fast wie eine Bank mit dem technologischsten Safe, die Geld für einen Räuber aufbewahrt. Kannst du wirklich sagen, dass niemand es brechen kann? Nun, meiner Meinung nach, wenn ich möchte, dass Informationen geschützt sind, weiß ich nur, dass es so sein wird, wenn niemand, und ich meine niemand, davon weiß. AES wurde nicht von mir gemacht, also kennt sich jemand damit aus.
@Cawas Sie scheinen ein schwerwiegendes Missverständnis der modernen Kryptographie zu haben. Was Sie befürworten, ist als „Security by Obscurity“ bekannt, und es wird allgemein von Sicherheitsexperten anerkannt, dass dieses Konzept grundlegend kaputt ist: Es funktioniert nicht. AES und verwandte Maßnahmen werden in Zukunft gebrochen werden, und sie können tatsächlich bereits gebrochen werden, aber die Wahrscheinlichkeit dafür ist viel (!) geringer, als dass Ihre Unklarheit von einem engagierten Angreifer durchbrochen wird.
Nennen Sie es „Sicherheit durch Verschleierung“, und das ist nur der erste Schritt von dem, was ich vorschlage. Ich befürworte es nicht, weil ich es nicht selbst mache, ich habe nichts in digitalen Medien, das so geschützt werden muss. Ich denke einfach gerne darüber nach. Denken Sie daran, dass die Wahrscheinlichkeit nur ein statistisches Maß für historische Fakten ist. Und Sie machen sich nur Sorgen um die Verschlüsselung, während es noch viele weitere Aspekte zu berücksichtigen gilt. Von „Sicherheitsexperten“ und „es funktioniert nicht“ zu sprechen, ist viel zu vage, aber ich stimme zu, dass ich auch vage bin, obwohl das daran liegt, dass es mehr zu sagen gibt, als ich schreiben kann. Ich werde meine Antwort bearbeiten.
dort, falls es dich noch interessiert. :)

Dropbox unterstützt derzeit „Watch Any Folder“ nicht , daher müssen Sie ein zweites Skript zusammenstellen oder ein Tool wie DropLink ( @dr0plink auf Twitter) verwenden, um die Dateien in den einen Ordner zu kopieren, den es überwacht. Das ist komplizierter und störanfälliger.

CrashPlan ist eine viel bessere Lösung, da Sie damit bestimmte Ordner (oder das gesamte Laufwerk) überwachen können. Dies ist weniger wahrscheinlich, dass es kaputt geht, und lässt keychain die Datei dort speichern, wo es bevorzugt wird.

Sie können bei ihnen Speicherplatz mieten oder Ihren eigenen externen Speicher einrichten und die Software kostenlos nutzen. Es gibt viele andere Produkte, die CrashPlan ähneln, aber es ist dasjenige, das ich verwende und aufgrund der Funktionen, des Preises und des Supports ausgewählt habe.

Vergessen Sie nicht, dass Sie mit MobileMe diese Schlüsselbundelemente mit der Cloud synchronisieren können. Sie können das einige Zeit kostenlos testen, bevor Sie eine jährliche Gebühr zahlen müssen.

Sie sollten etwas recherchieren - es ist ziemlich kompliziert, die Verschlüsselung korrekt durchzuführen. PGP hat einige gute Einführungen in die Grundlagen , aber Sie möchten jemanden, der sich die Zeit nimmt, seine Erfahrungen zu erklären und nicht zu viel verspricht. Außerdem - wenn Sie die Verschlüsselung selbst vornehmen können, haben Sie Ihre Schlüssel unter Ihrer Kontrolle, sodass andere nicht geneigt sind, sie freizugeben. Hier hat es einige Leute enttäuscht, sich nur auf die Verschlüsselung von Dropbox zu verlassen, die ihre Daten nicht zuerst verschlüsselt haben, bevor sie sie an ihren Dropbox-Ordner gesendet haben.

Nichts ist absolut sicher. Ich versuche, dies zu mildern, indem ich Tools von jemandem verwende, der Lücken umgehend repariert und mich wissen lässt, ob ich Dinge aktualisieren muss, sobald eine Schwachstelle gepatcht ist. Ich versuche auch, genug darüber zu wissen, was unter der Haube vor sich geht, damit ich keine dummen Fehler mache, wie zum Beispiel, der falschen Schlüsselautorität zu vertrauen.

Das Schöne ist, dass alle diese Produkte kostenlose Testversionen haben, damit Sie sehen können, was am besten funktioniert, bevor Sie Geld ausgeben.

Ich verwende bereits den Launch-Daemon, um meine Dateien auf Änderungen zu überwachen und automatische Dropbox-Sicherungen durchzuführen, sodass das für mich kein Problem darstellt. Aber CrashPlan sieht fantastisch aus. +1 auch für MobileMe, daran hatte ich noch nie gedacht.
Ich liebe launchd total - es ist so großartig, fseventsd nicht hacken/groken zu müssen, sondern einen ordentlichen und leistungsstarken Wrapper zu haben, um Skripte zu starten.
+ für Crashplan. Ich benutze es zusammen mit Dropbox und es ist großartig.

Anregung

Mir selbst ist es eigentlich nicht so wichtig , Leute am Eindringen zu hindern. Ich mache einfach so viele Backups wie ich kann, weil das das einzige ist, was ich als Datensicherheit betrachte. Einschließlich alles online und offline. Aber das soll nicht heißen, dass ich mich nicht sehr anstrenge, um zu verhindern, dass irgendjemand irgendwo hineinkommt.

Wenn ich so paranoid wäre wie Sie, würde ich der Verschlüsselung nicht trauen, ich würde es auf meine eigene nutzlose Weise in HTML oder sogar TEXT speichern und es dann zusammen mit vielen anderen Dingen replizieren. Die Idee ist, das Passwort vor aller Augen zu verbergen, aber nur Sie wissen, wonach Sie suchen müssen. Schnapp dir ein digitales Buch oder so etwas, stelle eine einfache Regel auf, die nur du kennst, und verwende sie als Passwort. Zum Beispiel:

Der flinke braune Fuchs sprang über den faulen Hund... und STARB!

Das Passwort hier könnte lauten: Tbjtd.D!2011- Dort habe ich sogar das Jahr hinzugefügt. Irgendwann gewöhne ich mich daran, es zu tippen, und ich muss nicht einmal mehr auf die Referenz schauen.

Wie wir besprochen haben, ja, dies ist Sicherheit durch Unklarheit , aber dies ist nur für eine Einzelperson. Wenn Sie eine solche zufällige Auswahl von Zeichen nur in Ihrem Kopf haben und sie niemals aufschreiben oder an jemanden weitergeben, gibt es konzeptionell kein sichereres Passwort, da es per Definition unvorhersehbar ist (Zufälligkeit). Es muss nur groß genug sein, um zu verhindern, dass Rechenleistung es brutal erzwingt. So einfach ist das.

Wenn Sie es also auf unvorhersehbare Weise aufschreiben und einen Honeypot mit allen Verschlüsselungen und Dingen hinzufügen, über die Sie gesprochen haben, aber Ihr Hauptpasswort nicht hinzufügen, haben Sie sich selbst viele Ebenen der höchsten Sicherheit hinzugefügt, während Sie ein perfektes und erstellen unmöglich, einem Pfad zu folgen, der nur für Sie Sinn macht. Der Punkt, es in meinem Vorschlag aufzuschreiben, dient einfach als Gedächtnisstütze , damit Sie sich an Ihr Passwort erinnern können, falls Sie es jemals vergessen.

Denken Sie daran, dass dies ein sehr spezifischer Anwendungsfall ist, der nicht dazu gedacht ist, Sicherheitsmaßnahmen für Daten oder Verschlüsselung zu generieren, sondern ein Passwort .

Direkte Antwort

Aber wenn Sie sich auf eine Verschlüsselung verlassen möchten und nicht wissen, ob Sie Keychain.app vertrauen können (ich weiß, dass ich das nicht kann), versuchen Sie das Open-Source- KeePassX , das meiner Meinung nach die einzige Möglichkeit ist, der Verschlüsselung zu vertrauen. Sie können es mit Dropbox kombinieren und versuchen, sich zu beruhigen, indem Sie darauf vertrauen, dass Ihr Schlüssel niemals verloren geht .

Ich freue mich zu sehen, dass Sie tatsächlich einen "besseren" (zumindest wenn Sie nur Macs verwenden) Ersatz für KeePassX (das DMG) gefunden haben und sogar in der Lage waren, eine automatisierte Methode zur Aktualisierung über LaunchAgents hinzuzufügen. Der Rest ist im Grunde das, was ich oben gesagt habe.

Keine Verschlüsselungs- oder Sicherheitsmaßnahme kann fast per Definition zu 100 % vertrauenswürdig sein, aber es ist immer noch nützlich als zusätzliche Ebene, wenn Sie nicht darauf achten, auf Ihre relevanten Daten aufmerksam zu machen und sie in einem großen Safe zu konzentrieren, der sagt: „Hier, versuchen Sie es hier und wenn Sie Wenn Sie es schaffen, dies zu öffnen, haben Sie alles", wenn man bedenkt, dass es in der Tat sehr schwer ist, es zu brechen.

Offsite-Backup von „login.keychain“
AntwortenHierDatenschutz-Bestimmungen1y, 0v