Bueno, tal vez puedas, pero sé que ciertamente no puedo. Al menos no por mi cuenta. Lo intenté (hace mucho tiempo), pero terminé dándome cuenta de que lo haría mucho mejor usando una herramienta desarrollada con el tiempo por un equipo de personas. Finalmente conseguí un trabajo trabajando con ellos. [Divulgación: soy el principal defensor contra las artes oscuras en AgileBits, los creadores de 1Password.]
Contraseñas no administradas
El esquema particular que describe casi seguramente no funcionará para usted porque el archivo de texto será demasiado difícil de mantener incluso si obtiene la seguridad correcta (más sobre eso más adelante). No se adapta al uso diario con la cantidad de sitios y servicios diferentes para los que las personas necesitan contraseñas. Como consecuencia, se encontrará sin utilizar su sistema o simplemente reutilizando un montón de contraseñas diferentes.
- ¿Cuál es el mejor instituto para aprender a hackear en India?
- ¿Es cierto que Google está robando nuestros datos e información personal?
- ¿Quién está hackeando a los piratas informáticos?
- Cómo omitir la verificación en dos pasos en una cuenta de Google que ha sido pirateada
- ¿Qué es el ransomware GoldenEye?
Lo harás mejor que la persona que reutiliza solo tres contraseñas. Puede terminar con seis o incluso diez, pero su esquema no lo ayuda a administrar las contraseñas; solo te ayuda a almacenar un montón de ellos de forma segura.
Protección contra phishing
La mayoría de los administradores de contraseñas tienen formas de integrarse con los navegadores web. Esto no solo hace que sea mucho más agradable de usar, sino que ofrece una protección sustancial contra el phishing. Un buen administrador de contraseñas no completará una contraseña que tiene para PayPal.com
en PayPa1.com
(letra L versus dígito uno).
La integración del navegador web también hace más. Le facilita agregar contraseñas para los sitios que usa en su administrador de contraseñas y lo hace menos vulnerable a los rastreadores del portapapeles.
Alguna cripto
Dijiste que querías usar AES-256, pero no dijiste qué modo de bloque usarías. ¿Sabes cómo considerar cuál es el más adecuado para tus necesidades? Y todos los modos de cifrado de bloques decentes necesitan nonces o vectores de inicialización. ¿Sabes cómo generarlos y usarlos de manera segura? ¿Realiza verificaciones de integridad criptográfica en sus datos?
¿Qué pasa con su función de derivación de clave? La forma en que obtiene su contraseña maestra a su clave de cifrado es algo que está lleno de sutiles dificultades que incluso los expertos pueden equivocarse [1]. ¿Qué defensas ofrece su KDF en términos de adivinación automática de su contraseña maestra?
Si no reconoce que este tipo de decisiones juegan un papel mucho más importante en la seguridad de su sistema que la elección de AES-128 o AES-256 [2], entonces no creo que esté en condiciones de diseñar un Administrador de contraseña segura. (Eso está bien. No todos en el planeta necesitan saber todo este tipo de cosas; pero las personas que crean administradores de contraseñas realmente necesitan saberlo).
Archivos temporales
Si solo encripta un archivo de texto que abre en un editor de texto una vez descifrado, ¿puede estar seguro de que sus datos descifrados no se escriben en archivos temporales? Tener un montón de archivos como `descrypted-passwords.txt ~` por ahí no es realmente algo que quieras.
Sincronización
Probablemente esté imaginando que simplemente cifraría su archivo y luego lo sincronizaría utilizando algún servicio seguro de sincronización de archivos. Eso funcionará para usted siempre que el número de registros que tenga en él sea pequeño. Pero debido a que debe volver a cifrar todo el archivo cada vez que realice un cambio, encontrará que perderá los cambios porque crea un sistema para el cual la resolución de conflictos es extremadamente difícil.
Darle una oportunidad
Estoy en el negocio de hacer (y vender) un administrador de contraseñas. Así que debes tener eso en cuenta al evaluar mi respuesta aquí. Pero creo que si lo intentas después de unos meses, al menos tengo razón sobre mi primer punto. Si sigues así y estudias el tipo de cosas que los desarrolladores de administradores de contraseñas han analizado, creo que te convencerás de mis otros puntos.
Notas al pie
[1] En hashcat y contraseñas maestras fuertes como tu mejor protección
[2] Adivina por qué nos estamos moviendo a claves AES de 256 bits