Come memorizzare le password scritte su un notebook fisico?

In ordine approssimativo di complessità crescente ( non sicurezza, e metodi possono essere combinati), ecco alcune idee che sarebbero facili per chiunque sia abituato a risolvere puzzle / scrivere codice / matematica. Un'idea più completa è qui sotto. NB: quando dico "segreto" intendo non scritto nel libro. Sono tutti facili e molto utili per scoraggiare il ladro casuale.

• Avere un elemento segreto memorizzato, comune a tutte le password. *
• Variante minore - un elemento segreto facilmente derivato dal nome / nome utente del sito web.
• Inserisci troppa informazione nel libro, ad es. sappi che in realtà ometti i primi 4 caratteri di ciascuna password. *
• Offset account e password per un numero costante di voci. *
• Non scrivere mai il nome utente completo, quanto basta per essere un indizio per te.

* Questi elementi hanno la vulnerabilità significativa che, una volta che l'oscuramento viene violato per una voce, viene automaticamente decifrato per tutte le voci senza ulteriori sforzi.

Se l'algoritmo esatto è pubblicato, chiaramente un ladro di notebook che potrebbe anche eseguire script di tentativi di accesso (o di una squadra, ovviamente) potrebbe applicare l'algoritmo automaticamente o tutti gli algoritmi pubblicati. Il tipo dell'algoritmo potrebbe essere pubblicato, ad esempio:

• Dalla password come scritta, chiama la prima cifra x e la seconda y .
• Conta x caratteri dal primo segno di punteggiatura (o dal primo carattere o dalla prima cifra).
• Quindi scambia i casi delle lettere successive y (o precedenti y ).
• Per un PIN di 4 cifre memorizzato, incrementa le prime quattro lettere del numero del pin (ad esempio 1234 applicato a a!bcd darebbe b!dfh ).

Ovviamente potresti:

• Scambia i significati di x e y
• Incremento / decremento x e y .
• Conta dalla prima vocale .
• Scambia i casi di y consonanti .
• Sostituisci le cifre con le lettere corrispondenti in ordine alfabetico e viceversa.
• Scambia le cifre per la punteggiatura sulla stessa chiave (devi essere sicuro del layout della tastiera che incontrerai o conoscere molto bene la tua tastiera).

Tutte queste operazioni, per definizione, possono essere programmate. Ma il ladro di un taccuino dovrebbe appropriarsi (o scrivere) di uno script che li implementa (e in realtà è piuttosto uno spazio variabile anche senza un elemento segreto.) Quindi dovrebbero digitare le password (un processo soggetto a errori con -generazione di testo), eseguire lo script sull'elenco e tentare di accedere con le potenzialmente potenzialmente migliaia di password per sito e sperare che il sito non si blocchi dopo diversi tentativi falliti.

Vale la pena tenere un elenco di backup, anche se non una copia di backup del libro, come elenco di siti per i quali le password dovrebbero essere cambiate / account contrassegnati se il libro è andato perso.

Come per molte misure di sicurezza, l'obiettivo deve essere quello di creare troppi sforzi per entrare in azione. Combinando lo sforzo manuale e con script, si sta facendo un grande sforzo in tal senso e aumentando le possibilità che si arrenderanno.

Ho creato una lingua per questo scopo. Nessuno dei simboli assomiglia all'inglese (non si sa se assomigliano a qualsiasi altra lingua), non ci sono spazi, mancano diverse lettere, i pattern comuni diventano simboli singoli (dis, ing, ecc) per impedire una facile decodifica, è scritto da cima a fondo, da destra a sinistra, in una griglia con linee esterne, e ho usato la spazzatura per riempire ogni linea.

A seconda di come lo sto memorizzando, uso anche una rotella di codice che si adatta alla posizione dell'ultima lettera. Se l'ultima lettera usata è qualcosa come h (sistema senza casta), aggiungi 7 alla prossima ruota del codice delle lettere. Puoi includere le rotelle del codice nella pagina nel cestino per confondere ulteriormente un utente malintenzionato. Poiché puoi creare più ruote di codice per pagina e spostare i numeri come preferisci, impedisce un attacco facile. Un'altra opzione è quella di sovrapporre le ruote del codice. Se sei pigro puoi utilizzare uno schema numerico come + 5, -2, + 3,6 come un PIN.

Un metodo di base per minimizzare l'impatto di qualcuno che è in grado di scoprire le password da un'occhiata al notebook è di avere una password per pagina - se stai guardando quella, è tutto quello che possono vedere.

Un'altra alternativa sarebbe avere un Diceware o un elenco simile e annotare i numeri. Aggiunge un passo alla "decrittazione", in quanto il legittimo proprietario deve fare un riferimento incrociato con un elenco di Diceware, ma probabilmente rallenterebbe un utente malintenzionato con accesso al notebook per un breve periodo - probabilmente dovranno fotocopiare il tutta la lista, così come tutti i numeri specifici del sito per essere sicuri di accesso.

In sostanza, tuttavia, se il proprietario può "decifrare" istantaneamente, un utente malintenzionato può decrittografarlo in base al tempo. Se hanno accesso per un po ', possono chiaramente prendere una copia dei contenuti e lavorarci sopra senza che tu lo sappia (facendoti trovare il libro da qualche parte che considereresti sicuro, ad esempio - forse nella tua casa dove normalmente tieni la borsa , dove potrebbe essere caduto naturalmente).

Potresti ricordare una password parziale fissa e notare solo le parti variabili. Tuttavia, in questo caso non stai facendo affidamento su nessuno dei siti da te autenticato per essere violati: non appena uno è, devi considerare la parte parziale compromessa e cambiare tutte le password che lo utilizzano, proprio come se avessi usato lo stesso password ovunque.

L'opzione più sicura potrebbe essere quella di avere una cassastrong fisica in cui il notebook è conservato e che viene aperta solo quando nessun altro è in giro. Sembra un po 'eccessivo per la maggior parte degli usi, ma è più o meno il metodo utilizzato per alcuni dati critici, come le chiavi per la firma di root DNS.

Scrivi un diario e incorpora le password all'interno delle voci. Non sembrerà un libro di password. Qualcuno dovrà leggerlo per notare le parole errate. Ho usato una rubrica dove gli indirizzi, i numeri di telefono e i codici postali di amici intimi e familiari che erano PIN e password. Conosco gli indirizzi e i numeri di telefono dei miei familiari, quindi non è importante averli registrati in modo errato.

Ci sono molti esempi migliori e più sicuri, ma ho pensato di menzionare una cosa che ho usato in passato, che è mnemonica sotto forma di disegni / fumetti per rappresentare passphrase. Ciò richiede che tu possa ricordare vagamente quale fosse la passphrase, comunque.

Un esempio potrebbe essere la frase "Il compleanno di Tommy è il 23 marzo!". Il fumetto potrebbe consistere in un personaggio che ricordi mentalmente come "Tommy", che celebra il suo compleanno, con una battuta finale su un papà-scherzo (o qualcosa con un riferimento al sito che stai utilizzando) e datato / firmato il 23 marzo. Puoi anche aggiungere molti altri fumetti che non rappresentano password per oscurarli ulteriormente.

Per qualcuno che cammina, questo è solo il tuo album da disegno. La maggior parte delle persone non è interessata a rubare scarabocchi da un cattivo fumettista, e soprattutto non si aspetterebbe che sia un libro di password. Nel caso in cui qualcuno lo rubi e conosca il tuo sistema, dovrebbe comunque essere in grado di capire come elaborare mentalmente i tuoi stessi disegni che sarà in gran parte soggettivo. Questo può anche essere ostacolato aggiungendo informazioni di riempimento all'interno di ciascun disegno per aggiungere disturbo alla password per chiunque stia cercando di decifrarlo. Se ti piace la fantasia, potresti persino spingerti oltre facendo delle "leggi" mentali su ciò che conta nel tuo mondo fantastico che ritragga tra fumetti / disegni.

Come ho detto, ci sono modi migliori per archiviare le password fisicamente ma questo potrebbe funzionare per le persone che usano bene la mnemonica e può anche essere davvero divertente!

Utilizza una maschera.

No, sul serio. Usa qualcosa di simile a un cartone di medio spessore, reperibile da forniture per ufficio o negozi di articoli per hobby, per creare una maschera a griglia rigida, con dimensioni di 30x6 caratteri e ritagliare fori casuali per circa 40-50 caratteri. (Puoi ovviamente scegliere diverse dimensioni, a seconda delle tue esigenze.)

Per scrivere una password, posiziona la maschera sul tuo notebook, scrivi la lunghezza della password attraverso i primi due fori (o scegli un carattere speciale che significa sempre "questa è la fine della password" e scrivi quello alla fine invece), poi la password stessa attraverso i fori rimanenti (sia longitudinalmente o per colonna prima, sempre la tua scelta), tanti quanti ne hai bisogno. Quando hai finito, rimuovi la maschera e riempi tutti gli spazi dei caratteri rimanenti con caratteri illeggibili; più casuale, meglio è. Per semplificare, inizia disegnando una griglia nel blocco appunti prima di inserire la password.

Quando hai bisogno di leggere una password, posiziona semplicemente la maschera sopra il groviglio di caratteri e ciò che rimane visibile sarà la password più qualsiasi traccia casuale che hai usato per riempire gli slot dei personaggi che non fanno parte della password . (A quel punto devi solo sapere per quanto tempo è la password, quindi il carattere di terminazione o registrare il numero di caratteri.)

Mantieni la maschera al sicuro ma separata dal notebook, forse nel tuo portafoglio. Considera la maschera come "passphrase master" di sorta.

Questo non proteggerà realmente contro un utente malintenzionato che si rivolge specificamente al tuo schema e forse anche a te in particolare, ma dovrebbe fornire una ragionevole quantità di sicurezza contro qualcuno che capita di mettere le mani sul notebook mentre ha un sovraccarico basso quando sei legittimamente utilizzando le password. Il sovraccarico qui è quando registri una nuova password nel notebook, che è spesso una situazione che sei in grado di controllare meglio (ad esempio, probabilmente non c'è bisogno di cambiare la tua password bancaria mentre sei in un Internet café in un paese del terzo mondo).

Se vuoi migliorare ulteriormente il fattore di offuscamento, puoi aggiungere un offset allo schema: registra quanti caratteri all'inizio salta quando inserisci la password.

Se c'è una videocamera che registra il tuo portatile mentre inserisci la password, sembra altrettanto probabile se non sia più probabile che stia registrando anche la tastiera che stai usando per inserire la password, a quel punto hai perso quasi non importa quale schema si utilizza per nascondere le password scritte.

C'era una volta, ho annotato i diversi PIN per le mie carte di credito e bancarie. Li ho convertiti in base 9 e poi aggiunto un extra spurio 9 da qualche parte in ogni numero. Penso che sia abbastanza sicuro, ma naturalmente funziona solo con password completamente numeriche come i PIN.

Mi sono imbattuto in diversi tentativi su una scheda di riferimento delle dimensioni di un portafoglio utilizzata come testo cifrato della password. Un esempio: link

Non utilizzerei uno di questi, ma se lo facessi, passerei più tempo sul mio modello mentale di come ho ricavato la mia password, il che dovrebbe fornire un'adeguata offuscazione che probabilmente non sarebbe in grado di acquisire carta e la password allo stesso tempo. Se tu fossi preoccupato di questo, avresti bisogno di trovare un modo per spostare il tuo codice. "Il numero di riga è la cifra del numero di telefono con il terzo carattere nel nome di dominio di questo sito, la colonna è il penultimo carattere convertito in posizione numerica nell'alfabeto." Quindi Google.com è O = 6 sul quadrante, quindi la sesta riga, colonna G = 7 quindi settima colonna, quindi decidi qualche altro fattore per quanti caratteri e in che modo leggi o come cambi ogni carattere. Diagonale, su 1 & oltre 2, ecc.

Almeno con questa soluzione, puoi perdere il "taccuino" e sostituirlo in un secondo momento, e non complicare eccessivamente le questioni che cercano di elaborare uno schema sicuro. Se ti ho consegnato la mia "carta" con i personaggi che ho effettivamente utilizzato, le probabilità che tu inizi nel posto giusto con un determinato sito web, e scelga la giusta direzione, lunghezza e così via sono trascurabili.

Hai un diverso modello di minaccia per i documenti scritti che per quelli elettronici, ma il modo di gestirli è abbastanza noto: limitare e controllare l'accesso fisico.

Non importa se si tratta di codici di lancio nucleari o della combinazione del lucchetto del diario della sorellina, tranne nel modo specifico in cui eseguirai quel controllo.

Questo significa anche che, se vuoi proteggere questi dati, non dovresti semplicemente offuscarli ma criptarli. Un modo per farlo potrebbe essere quello di crittografare i dati con una password, stampare il testo cifrato come un QRCode e memorizzarlo. Non ti dà molto vantaggio rispetto al controllo degli accessi, però: è sicuramente più sicuro, ma è piuttosto scomodo da usare e probabilmente ti mancherà quando ne avrai effettivamente bisogno.

Uso indizi mnemonici. Quindi invento una password che riesco a ricavare dagli indizi e quindi memorizzo solo gli indizi sulla carta. Gli indizi potrebbero essere uno scarabocchio, o parte di un disegno, o qualcosa che mi ricorda quale sia la mia password. O che mi ricordi la parte che non ho memorizzato. Quindi, senza sapere quali sono le mie associazioni, sembrerebbe piuttosto difficile per qualcuno capire le mie password dai miei indizi.

La sicurezza attraverso la memorizzazione conta come sicurezza attraverso l'oscurità? Mi sembra che nel contesto della domanda, questo è il più lontano possibile dal momento che è un sistema di password, ed è un modo per evitare di dedurre la password guardando il notebook, a meno che qualcuno non mi conosca così bene possono in qualche modo dedurre dai miei indizi. Sono abbastanza sicuro di poter inventare alcune password, e nemmeno le persone che mi conoscono meglio potrebbero mai dedurre, anche se ciò richiede più intenzione di creare una passphrase che è una strana combinazione di cose, che il mio unico contesto è ricordare la frase I composto.

Esempio: uno scarabocchio astratto con molti simboli e password, e scelgo un punto per una parte di esso dove c'è una piccola curva, e in una direzione ci sono tre piccoli segni e poi uno lungo, ma non sono 'distinto da molti altri scarabocchi e punti e così via. Ma ricordo che sono la parte che stavo usando per ricordarmi la mia password. La curva mi ricorda una parte del corpo, e le prime due parole sono quella parte del corpo in due lingue diverse, quindi i tre segni sono una frase di tre toni che so che ricorderò, come "yo ho ho" e la barra è un'osservazione finale che ricorderò anche, come YOW !. Quindi posso sempre farmi ricordare "gomitoelbowyohohoYOW!" ... ma non penso che nessun altro possa sapere dove guardare nel mio doodle, né tanto meno dedurre quella password.

Scrivi le password con inchiostro invisibile.

Prendi un libro normale o un notebook che abbia uno scopo diverso (appunti scolastici) e scrivi le tue password nei margini usando un inchiostro che può essere visibile solo con una luce UV. Chiunque guardi il taccuino / libro assumerà che è ciò che sembra essere mentre hai ancora accesso alle password.

Nota: non so quale sia la durata dell'inchiostro invisibile se usato su carta.

Nel 7 ° grado la nostra classe ci ha fatto scrivere un diario. Ho usato un semplice codice che utilizzava nuovi simboli per le lettere, e ho notato che nella parte posteriore. Ma presto l'ho memorizzato e facilmente scritto direttamente.

L'uso di nuovi simboli è meno confuso dell'uso di una sostituzione cifrata delle lettere. In effetti è piuttosto facile.

Si offusca ma può essere interrotto tramite normali tecniche ... se hai un normale testo in inglese (o qualsiasi altra cosa)! Per le password di lettere casuali, è abbastanza sicuro a meno che non si abbia un modo per spezzare le voci alcune e utilizzare i risultati per leggere gli altri. Questo può essere migliorato avendo più voci e usando un altro metodo nascosto per sapere quale è giusto.

Regola numero uno: NON SCRIVERE LA TUA PASSWORD

Alla fine degli anni '60 le aziende iniziarono ad usare i computer mainframe. Questo era un nuovo concetto negli affari. Il proprietario dell'azienda avrebbe trovato qualcuno che aveva qualche attitudine (si veda una lezione universitaria in cui vedevano effettivamente un computer) e chiedeva loro (sotto minaccia di licenziamento) di diventare il sysadmin. Il nuovo amministratore riceverà un login e una password. Questo era un nuovo concetto per molte persone. Quindi, hanno annotato la password, per ogni evenienza.

Più persone utilizzavano il mainframe con lo stesso account. Il problema era che qualcuno avrebbe configurato tutto per un processo batch, sarebbe tornato più tardi per terminarlo e scoprire che qualcun altro aveva ottenuto e riconfigurato tutto per il loro processo batch. Non era molto efficiente. Gli account sono stati impostati e sono stati consegnati login e password. E, naturalmente, le password sono state scritte.

Negli anni '80 era tempo di mettere i computer sui banchi della gente. Erano tutti collegati tramite una rete al mainframe. In questo modo non dovevi allontanarti dalla tua scrivania per ottenere i risultati del lavoro svolto dal mainframe. Ha anche dato alle persone abbastanza potenza ai loro banchi per fare alcuni dei compiti che hanno fatto il mainframe. Molti sistemi richiedevano password di otto caratteri per aiutare a impedire che quelli semplici e popolari venissero indovinati. Dato che le password erano ora più complesse (oh, guarda, la password ha 8 caratteri, e nessuno lo indovina), le persone le hanno scritte.

Negli anni '90 c'era questa nuova moda che tutti si entusiasmavano. Si chiamava interwebs, no, intertoobz, no, aspetta ... Internet. E i sistemi si stavano connettendo. Potremmo inviare una email istantaneamente invece di doverne scrivere una e inviarla per posta. Quindi, abbiamo iniziato a utilizzare lettere, numeri e caratteri nelle nostre password di 8 caratteri ad alta sicurezza ... che stavamo ancora scrivendo.

Nel ... ought's (?) abbiamo iniziato a fare acquisti bancari, acquisti e scuola online. Abbiamo creato account e utilizzato la stessa password per proteggerli tutti. E per assicurarci di non aver dimenticato questa password, l'abbiamo annotata.

Siamo nel 2015. La persona media ha 30 diversi accessi e password che devono ricordare. Dovrebbero essere lunghi 15 caratteri, parole non linguistiche che includono simboli, numeri e caratteri maiuscoli e minuscoli. C'è anche un elenco di cose che assolutamente non dovrebbero essere.

Ora, ho capito che abbiamo trascorso 5 decenni ad addestrare persone a violare la regola numero uno. Ho anche capito che le persone odiano il cambiamento e la tecnologia.

Non mi interessa quale sia la scusa. Sì il malware è una considerazione. Tuttavia, quando si esegue un'analisi del rischio reale, il malware non rappresenta un rischio altrettanto grave quanto la scrittura della password. Potresti pensare di essere davvero furbo con un sistema per nascondere la tua password.

Tutto ciò di cui ho bisogno è di scattare una foto di una pagina, e ho tutto il tempo necessario per craccare la tua password. Una volta capito il tuo sistema, posso entrare in qualsiasi cosa nel libro. Ecco perché questa è una risposta inaccettabile. Un computer è una soluzione migliore di te. Se così non fosse, i governi non utilizzerebbero i computer per creare e controllare le password.

Solo per completezza, per i commenti alla domanda:

Utilizza un testo o un libro esistente e ricava password da lì

Stampa un articolo o fai un libro con te, preferibilmente uno che non possa destare sospetti nell'ambiente (i) in cui prevedi di utilizzare il "taccuino".

Decidi su un algoritmo come ricavare le password dal testo nel libro. Qualcosa come "dalle prime dieci parole di un paragrafo specifico, prendi la prima lettera e mettili insieme per formare la password" è probabilmente un po 'troppo semplice, ma troverai sicuramente un algoritmo personale che è un po' più difficile da indovinare.

Per mappare le password (ad esempio parti del testo) per gli account, in pratica hai due opzioni, ma possono anche essere combinate:

• Per un account, scegli un passaggio di testo che in qualche modo si riferisce al tema dell'account. Ciò richiede un po 'di creatività. Ad esempio, la parte di un racconto in cui il protagonista invia una lettera alla sua amica potrebbe indicare che la password del tuo account di posta elettronica è nascosta lì.
• Aggiungi note adesive o simili nel libro. Contrassegna parti del testo e scrivi note accanto a loro. È perfettamente normale per chiunque stia studiando un testo per cospargerlo con tutti i tipi di annotazioni. Soprattutto se stai portando questo libro con te tutto il tempo, questo è il più plausibile. Fai attenzione che i tuoi appunti non rendano troppo ovvio che un passaggio può contenere una password. Forse anche contrassegnare alcune parti del testo che non contengono password, per attirare l'attenzione.

Potrebbe sembrare un po 'strano se hai intenzione di correre con lo stesso libro per i prossimi dieci anni. Tuttavia, le password devono essere modificate di volta in volta in ogni caso. Quindi, dopo un po 'di tempo, prendi un nuovo libro, preparalo come suggerito sopra e cambia le tue password.

Come bonus, potresti voler scegliere un libro che contiene elenchi di codice sorgente o parti tecniche in altro modo. L'idea alla base di questo è che sono composti da molti caratteri speciali (non alfanumerici). In questo modo, puoi facilmente ricavare una password con caratteri speciali dal testo.

Scrivi / stampa un pezzo di carta pieno di caratteri o usa un libro già scritto o un vecchio saggio di scuola, memorizza qualche posizione, schema e azione.

5000 caratteri inseriti in una pagina, ci sono 5000 diversi modelli che potresti potenzialmente prendere, quindi con 0 informazioni, la carta è più difficile da decifrare di un semplice attacco di forza bruta sulla password stessa.

Se il numero di tentativi di password non è limitato, sarà necessario stampare caratteri speciali e lettere maiuscole minuscole sulla carta o avere una password lunga in alternativa.

Puoi anche fare alcuni segni falsi / enigmi falsi / parole false sul foglio per sedurre un aggressore nel tentativo di accedere e allarmare / informarti potenzialmente.