Solución:
Respuesta concisa
Está bien poner un pase repo github.
Respuesta detallada
Su repositorio de pases está cifrado con GPG utilizando cualquier clave privada que haya seleccionado, por lo que es tan a prueba de balas como la clave que ha elegido. Además, su clave privada no es almacenado en su repositorio de pases. Esto significa que la ubicación privada frente a la pública de su cifrado Los archivos de contraseña no son el eslabón débil en la seguridad de su administrador de contraseñas. Más bien, es la clave privada con la que los ha cifrado lo que tiene que preocuparse.
Asegúrese de que sea una buena clave (como la que ha mencionado) y no se la exponga a nadie porque no tendrán que descifrar esa gran clave para usarla. Tendrán que guardar tu contraseña y, seamos sinceros, es muy difícil estar seguro de que tu contraseña es lo suficientemente buena como para detenerse. todo el mundo.
Así que no dejes que nadie más vea tu llave. Si mueve su clave privada a cada una de sus computadoras que usan pass, entonces puede simplemente extraer su repositorio de pases de github y usar la clave privada almacenada en esas computadoras individualmente. Ahora todos estarán sincronizados y seguros.
Dos cosas más a considerar
El objetivo de la contraseña es mantener sus contraseñas encriptadas. Si no está de acuerdo con que estén en github.com, entonces en lo que realmente confía es en su ubicación privada y no en su estado encriptado. Si ese es el caso, ¿por qué cifrarlos? Puede usar los mismos archivos planos que pasan los usos y no molestarse en cifrarlos. ¡Eso sería muy conveniente!
Además, tenga en cuenta que hacer que su administrador de contraseñas sea más fácil de usar significa que es menos probable que desee o necesite subvertirlo. Cada vez que tenga que hacer un trabajo de aprobación (por ejemplo, restablecer una contraseña en una cuenta porque la agradable y segura se generó en una computadora diferente y aún no se ha sincronizado manualmente, pero debe ingresar ahora mismo) va a reducir la seguridad que proporciona.
Esto será seguro, pero lo expone a riesgos adicionales en comparación con no colocar su almacén de contraseñas en un lugar público.
- Carga accidental de contraseñas no cifradas (no lo hará a propósito, pero ¿seguro que podría no suceder por accidente o debido a algún error de software?)
- Debilidades desconocidas en RSA o el cifrado simétrico en uso
- Patrones de uso revelados (las estadísticas son poderosas)
- La liberación accidental de su token de acceso da como resultado datos públicos; si además lo mantuviste en privado, estás mucho más seguro
- El peor de los casos es toda tu tienda de contraseñas historia se revela, en comparación con solo el actual
En otras palabras: si no comete errores, confíe en el software y las matemáticas detrás del algoritmo de cifrado se mantienen seguras y almacena públicamente el almacenamiento de contraseñas cifradas. Si tiene dudas en cualquiera de ellos (y personalmente, mi confianza estaría exactamente en este orden, con la pérdida de confianza en mí mismo como usuario con alta confidencialidad en las matemáticas detrás), mantenga la tienda en privado.
¿Alguna vez publicó una frase de contraseña privada en alguna ventana de chat por accidente que apareció? Conozco a mucha gente que lo hizo, incluyéndome a mí.
Esta es una buena pregunta, ya que ha sido un problema en el pasado cuando alguien colocaba una contraseña privada en un repositorio público.
Piénselo de esta manera, es una buena práctica no almacenar ese archivo (junto con otros archivos confidenciales) en un repositorio público, incluso si es privado. Es bueno hacer una copia de seguridad en algún lugar, pero si digamos que su contraseña se recuperó de alguna manera (un sitio de terceros, por ejemplo), podrían acceder a su github y aún así recuperar la contraseña. En el peor de los casos, pero aún es posible. Por lo general, sugeriría tener algún tipo de archivo almacenado en un disco duro externo y posiblemente almacenar el disco duro en algún lugar en caso de que haya un incendio.
Si realmente desea utilizar un repositorio o la nube para almacenarlo, haga todo lo posible para mantenerlo seguro.
En general, no es la mejor idea. No es lo peor, pero es mejor pensar en el “¿qué pasaría si?” escenarios. Puede que nunca te suceda, pero si sucedió, ¿vale la pena la molestia?
Editar: Estaba pensando en programas en algunas de mis publicaciones, así que lo recorté para que respondieras mejor a tu pregunta.