Зашифрованная фраза - это выход, но как обычно бывает с этим тоже могут возникнуть сложности.
У меня за 4 года -- ноль проблем.Например, нужно рассмотреть вопрос, каким именно способом шифровать
- https://gnupg.org/
- https://www.veracrypt.fr/en/Downloads.html
- https://cryptomator.org/
- https://mhogomchungu.github.io/zuluCrypt/
- https://keepassxc.org/ (да-да, я не ошибся)
как запоминать, грубо говоря, ключи к шифру?
На свой PGP/GPG ключ (файлик) ставишь норм пароль и наслаждаешься жизнью. Везде ставишь норм пароль и все.
Стоит ли заморачиваться с разными способами шифрования или использовать только один?
Дело вкуса. Например, лично я использую все перечисленные выше инструменты, некоторые в паре друг с другом.А то получится та же самая ситуация - больше разных шифров, больше лазеек для хакера.
Не надо бояться мистических хакеров. Никто из адекватных хакеров не будет даже пробовать что то сделать PGP/GPG без файла-ключа, а если заполучат файл-ключ (это относится только к PGP/GPG) -- тогда надеяться на свой пароль. Везде должны стоять норм пароли. Та же ситуация с контейнерами VeraCrypt/zuluCrypt, та же ситуация с базой KeePassXC, та же ситуация с Cryptomator -- везде должны стоять норм пароли, потому что самое крутое в мире крипто-турбо-блохъчейн-шифрование ничего не стоит, если там... пароль из списка самых используемых в 2019 году. Читающие этот пост, не поленитесь, кликните и посмотрите на общую картину.Выставление зашифрованных фраз в рамочке - тоже повышают опасность, если не кражи, то разных рычагов давления, например, пыток.
Понятное дело! Для этого и придумали контейнеры с двойным дном. А еще лучше, имхо, использовать стеганографию, только очень-очень осторожно! Читать, читать, не бояться выучить что то новое, и еще читать, перед тем как начать играться в Мистера Робота, потому что инструменты Steghide и Outguess действительно крутые, но, после того как юзер запихнет свои реальные приватники в картинку, с той картинкой нужно быть осторожным. Осторожным, в смысле, что сервис, куда юзер будет заливать картинку с данными внутри, не изменял код самой картинки. То есть, грузить на облако можно, а вот в соц сети -- нет. Потому что большинство проприетарных (кстати только что в голову пришло затестить что нибудь с мира Fediverse) говно-соц сетей изменяют ваши картинки во время их загрузки на тот же ФБ, Твиттер и т.д. Зачем? Чтобы вот такие Как бы хорошо не были защищены файлы, лучше вообще не говорить, что вы что-то защищаете.
Конечно! Большинство людей не понимают, что приватность/безопасность, это не клик по одной кнопке/ссылке. Также, это не покупка чего нибудь от Purism, и это не просто установка Линукса, а набор определенных вещей и привычек.
Большинство утечек приватной инфы, как правило, происходит по вине конечного пользователя. Например, юзает себе человек какой то сервис (почту, мессенджер и пр.), и тут ему предлагают в лс заработать, надо перейти по ссылке, перелогиниться в свой аккаунт, и тогда ему отправят 10-20 баксов. Человек перелогинивается, пароль, user agent, cookies улетают мошеннику, который логинится в его аккаунт и уже ищет нужную инфу, смотрит отправленные сообщения, черновики, ищет фото кредиток, паспорта или любые другие данные, которые могут принести пользу мошеннику в будущем.
Кстати, глупый вопрос для опытных шифровальщиков. Если есть одна фраза, зашифрованная несколькими известными методами, то повышает ли это вероятность взлома? Могут ли злоумышленники противопоставить эти методы и тем самым обнаружить зашифрованную информацию?
Думаю, что кто-то здесь тебе ответит что да, мол, заюзал ты какой то метод/инструмент, нашли в нем серьезную дыру, и хакеры на тебя нападут. Я же придерживаюсь мнения -- зависит от многих факторов. Потому что опять, нет магической одной магической палочки для приватности/безопасности.
Например, есть юзер который использует Veracrypt, в котором находят условную дыру (пароль 1111 открывает любой контейнер) и тогда что, все хакеры инета нападут на него и украдут мнемонические фразы? Нет.
Для начала, нужно узнать где приблизительное место где пользователь хранит сам контейнер, припустим это ГуглДиск. "О, Боже!" - закричали они, "Хранит фсё у Гугла!" (кстати, даже у Гугла можно по разному хранить информацию
). Значит, хакеру нужно как то добраться до ГуглДиска. Припустим ему это получилось, дальше... Нужно найти сам контейнер. Припустим у пользователя есть платный акк ГуглДиска и у него там 200 Гб всяких фото/видео/музыки/каких то архивов/установщики программ и т.д.
Где контейнер? Нужно его найти, чтобы воспользоваться условной уязвимостью. Хацкер качает все содержимое ГуглиДиска жертвы себе на комп, и пишет скрипт:
Code: (псевдокод)
бесконечный цикл:
....монтировать каждый файл в veracrypt и открывать его с паролем 1111
....если открылся контейнер:
........вывести сообщение "Я хацкер который получил доступ "
....иначе:
........монтировать следующий файл
....монтировать каждый файл в veracrypt и открывать его с паролем 1111
....если открылся контейнер:
........вывести сообщение "Я хацкер который получил доступ "
....иначе:
........монтировать следующий файл
Припустим хакерок перебрал все файлы, и ничего не нашел, но блин, он же знает что контейнер Veracrypt точно есть на ГуглДиске, потому что жертва дурачек -- хвастался в Твиттере (проёб со стороны жертвы, и как видите, проёб человека, а не софта), что он турбо-криптан, все зашифровал и засунул на ГуглДиск.
Так, мне надоело уже развивать эту историю, поэтому я завершу её тем, что контейнер Veracrypt был на ГуглДиске, а хацкер не cмог его найти, потому что жертва засунула контейнер Veracrypt с помощью Steghide (или Outguess) в свое семейное фото с высоким разрешением.
Занавес.
В этой истории можно было еще добавить ситуацию, когда хацкер точно знает, что жертва заюзала стеганографию и начинает анализировать все картинки и... опять ничего не находит (потому что жертва не ступила, и запихнула данные в фото которое есть только в одном экземпляре). Или же, хакерочек все находит (потому что жертва ступила, и запихнула данные в скачанную картинку и инета).
Веселитесь.
