Quale tipo di modello dovrei usare per le mie password?

44

Ho molti account e fino a qualche tempo fa ho usato una password universale per tutti loro. In questo momento ho una password diversa per ogni account, a seconda del nome del sito web che sto registrando. Uso un pattern e la differenza tra i pattern è il nome del dominio del sito web.

Non voglio memorizzare la mia password in qualche tipo di gestore di password. Voglio solo avere uno schema in mente e comporre la password a seconda di esso (e un pezzo di carta nascosto da qualche parte in sicurezza in casa nel caso fossi davvero stupido e dimentico il modello).

  1. Potresti suggerirmi dei buoni schemi? Così posso ottenere uno o un mix di essi per creare uno schema migliore per le mie password.

  2. Esiste un modo migliore per archiviare le password ma accedervi ancora se è necessario effettuare il log da un altro computer / dispositivo? (Non mi fido davvero dei gestori di password)

posta Chris Rock 29.10.2015 - 14:20
fonte

10 risposte

88

Nessuno . Utilizzare un'applicazione di gestione password per generare una password lunga e casuale per ciascun sito.

Assicurati di non utilizzare la tua password principale (o una derivazione della tua password principale) altrove.

Se non ti fidi dei gestori di password online o commerciali, utilizza uno che è open source e funziona con i file locali.

Modifica : per riferimento, Bruce Schneier ha pubblicato nel 2014 un testo piuttosto completo (e molto leggibile) post di blog sul motivo per cui utilizzare qualsiasi tipo di pattern per generare password è una cattiva idea.

    
risposta data 29.10.2015 - 14:32
fonte
41

Se non ti fidi dei gestori di password, non devi memorizzare l'intera password in Gestione password.

Puoi dividere la tua password in una parte facile da ricordare che ricordi (potrebbe essere la stessa per tutti i siti web se lo desideri) e una password lunga e casuale unica nel gestore delle password.

Se in qualche modo qualcuno fosse in grado di accedere al tuo gestore di password, non avrà ancora la parte della password che ricordi nella tua testa.

    
risposta data 29.10.2015 - 17:04
fonte
9

La generazione casuale è l'unico modello che desideri: puoi anche usare i dadi (Wikipedia), o per stringhe casuali di lettere maiuscole (di nuovo Wikipedia).

Se non vuoi dimenticarli e non fidarti di un gestore di password < em> scrivili ! (Schneier.com). Prenderò in considerazione una qualche forma di offuscamento qui in modo che un ladro casuale che ruba il tuo portafoglio non può semplicemente accedere al tuo account paypal (per esempio), anche se questo è difficile da fare bene.

    
risposta data 29.10.2015 - 16:04
fonte
7

1) Se non ti fidi dei gestori di password online, puoi usare i gestori offline come keepass2, ma dovrai rendere accessibile il tuo file e la violazione sarà lì. Se davvero non vuoi fidarti dei gestori di password ... impara le tue password.

2) Esistono diversi tipi di pattern che possono essere utilizzati per generare password. Non sono sempre sicuri, quindi uno è migliore. Un articolo è stato pubblicato su questo argomento su NakedSecurity qui , presentano diversi pattern possibili.

    
risposta data 29.10.2015 - 15:28
fonte
7

Vorrei fare riferimento a questo XKCD :

Seaggiungi,ades.unnomedisitoallafinediunapasswordcomequella(eperfavorenonusare"correcthorsebatterystaple" ora), sarebbe molto sicuro.

Ciò che conta davvero è la lunghezza. Quindi, se è lungo e facile da ricordare, è perfetto.

Un suggerimento se hai problemi con i gestori di password: archivia il file di gestione password su qualcosa come Dropbox. In questo modo puoi accedervi da qualsiasi luogo, ed è ancora sicuro.

    
risposta data 29.10.2015 - 20:13
fonte
6

È possibile utilizzare una strategia di generazione password basata su hash. Combinate una password principale con il nome del sito (e i suoi requisiti di complessità) per generare una password unica al sito.

Ha alcuni vantaggi e svantaggi rispetto a un gestore di password:

  • Non esiste un database crittografato che tu possa perdere / essere rubato e attaccato
  • Devi ricordare le impostazioni utilizzate per far funzionare l'approccio per siti con diversi requisiti di complessità
  • Una cattiva implementazione, come prendere 8 caratteri da un hash md5, può ridurre significativamente lo spazio delle chiavi.
  • I casi in cui sei costretto a cambiare la password sono difficili da gestire

Ci sono alcuni strumenti che possono essere usati:

  • funzioni di hashing normali (dovresti evitare questo) ad es. esempio presentato qui (Quel post ha anche i punti di forza e punti deboli dell'approccio)
  • Strumenti per automatizzare il processo, come supergenpass (MD5 basato per impostazione predefinita che non è l'ideale, un hash più lento rende il recupero della password principale più complicato se una password generata + il sitename è noto a un utente malintenzionato) (Anche se probabilmente dovresti avere una password principale lunga e abbastanza casuale da rendere difficile la forza bruta) (Esistono altri, come Master Password, vedi sotto)

(Via Matty: Password principale sembra utilizzare un modo molto migliore per generare password rispetto a qualsiasi altra menzione precedente)

    
risposta data 29.10.2015 - 16:47
fonte
6

Utilizza una Scheda password .
Ecco un esempio:

Conunapasswordcard,scegliunpuntodipartenzaeunpercorsoperdoveandaredalì(su,giù,sinistra,destra,diagonalioqualchecombinazione)ericordalo.(Oppure,piùpuntidipartenzaepercorsiperpassword.)Nondevifidartideigestoridipasswordsoftwareperchélacartaèiltuogestoredipassword,el'hashinfondoèla"password principale". Devi comunque tenere traccia di alcune informazioni (punto di partenza e percorso) separate dal gestore, quindi anche se perdi il tuo portafoglio, le password non vengono utilizzate.

    
risposta data 02.11.2015 - 05:13
fonte
3

Penso che "Off The Grid" ( link ) possa soddisfare le tue esigenze. Si basa su una griglia generata casualmente e un metodo basato sul nome di dominio per generare la password da quella. Le pagine di quel sito descrivono il modo "standard" di usare la griglia, ma ci sono anche suggerimenti su come potreste modificarlo, quindi anche se qualcuno si impossessasse della vostra rete e conoscesse il metodo "standard", non lo farebbero essere in grado di elaborare le tue password.

    
risposta data 31.10.2015 - 23:48
fonte
0

Mi piace usare le citazioni popolari dei film. Prendo la prima lettera di ogni parola e trasformo ciascuna in una lettera maiuscola, una minuscola, un simbolo o un numero diverso e provo a usarne 4 e a tenerle diverse.

'What' ain't no country I ever heard of, do they speak English in 'what'?

diventa "W @ 4c! 3% 7D ^ S9Iw?". Mi piace taggare su una piccola serie di simboli e lettere che posso ricordare se è troppo breve. come 456 con turno tenuto a vicenda. "W @ 4 quater! 3% 7D ^ S9Iw? $ 5 ^"

    
risposta data 30.10.2015 - 15:17
fonte
0

Quello che vorrei fare è usare una stringa di base complessa per la password come AdasfbkSDUn7657AJDadadsag e poi per il sito Web, di cui sto creando la password, aggiungerei il suo nome all'inizio. Se ricordare la password sembra scoraggiante (che dovrebbe essere, usa un gestore di password offline ).

Esempio di password per - www.website.com

web_AdasfbkSDUn7657AJDadadsag
    
risposta data 01.11.2015 - 04:46
fonte

Leggi altre domande sui tag