Risposte alla domanda " Quanto sono sicuri i gestori di password come LastPass? "suggeriscono che la memorizzazione di password personali su un notebook fisico potrebbe essere un'opzione ragionevole:
I know someone who won't use Password Safe and instead has a physical notebook with his passwords in obfuscated form. This notebook is obviously much safer against malware... whether it's at greater risk of loss/theft is an interesting question.
Ovviamente, un pezzo di carta è sicuro contro qualsiasi attacco di malware.
The requirement is for an offline access of credentials. For example a small notebook on which you write all your security details for all banks, stores, websites, even combination locks, addresses and all other details you may wish to be able to access from any location in the world.
Inoltre, a volte può essere più semplice cercare le password in un blocco note - ad es. se viaggi molto, puoi memorizzare le password sul tuo smartphone utilizzando un'app di gestione password. Tuttavia, questo significa che il telefono deve essere sempre carico e operativo, il che aggiunge un altro punto di errore.
Ora, trascurando le possibilità che un notebook possa essere perso, rubato completamente, distrutto o altrimenti danneggiato fisicamente, vorrei concentrarmi su una sola domanda:
Come nasconderesti le password (come menzionato nella prima citazione) in modo che non possano essere facilmente decifrate da qualcuno che sia in grado di lanciare un'occhiata al taccuino?
D'altro canto, l'algoritmo deve essere abbastanza semplice da consentire al proprietario del notebook di decodificare le proprie password in pochissimo tempo.
Domande bonus:
Potrebbe un tale algoritmo essere considerato più o meno sicuro anche se è pubblicato qui su Information Security o offuscamento implica sempre sicurezza attraverso l'oscurità (cioè mantenendo l'algoritmo stesso segreto )?
Un algoritmo di offuscamento potrebbe essere progettato in modo tale da rendere impossibile o poco probabile la decifrazione delle password, anche se un ipotetico hacker ha accesso al notebook per almeno alcune ore? O sarebbe naturalmente in contraddizione con il requisito che il proprietario possa decodificare rapidamente le sue password?