Quindi mi chiedo quante password siano sufficienti per proteggere i miei dati perché adesso ho 1 password difficile per bank & posta (> 10 caratteri + numeri ecc.) e 1 password media per i giochi e 1 per i siti ombreggiati. Li tengo tutti memorizzati e non su carta / in un documento. È abbastanza?
No, non è abbastanza. Usare la stessa password sia per la tua email che per la tua banca è una cattiva idea. Se il tuo provider di posta elettronica è compromesso, significa che l'attaccante avrà accesso al tuo conto bancario e viceversa. Non vuoi quello.
Utilizza una password complessa per sito. Non sarai in grado di memorizzare tutti quelli, ma non preoccuparti. Ecco a cosa servono i gestori di password .
Se vuoi che ciò venga spiegato in un video con un octupus animato, la Electronic Frontier Foundation ti ha coperto .
One password for bank and mail.
One medium password for games.
One for shady sites.
Questa è una pessima pratica: se qualcuno trova una delle tue password, ha accesso a molti altri tuoi account. Ciò è particolarmente grave quando si riutilizzano le password tra e-mail e conti bancari, come mostra il commento di @ Jeutnarg.
Meno di 10 caratteri è troppo basso. Vai per qualcosa di più alto, almeno > 15.
Utilizza una password unica e sicura per ogni account e utilizza un gestore di password come Dashlane o LastPass per non dimenticare mai le tue password. La tua password principale per questi gestori di password dovrebbe essere molto strong; se viene rilevata la password principale, tutte le password sono conosciute.
Zero è il giusto numero di password. Idealmente il sistema di autenticazione semplicemente conosce la tua identità senza alcuna prova attiva da parte tua per ottenere un token di accesso . (Nella teoria del calcolo questo tipo di sistema ipotetico è chiamato oracolo .)
Purtroppo nessuno ha ancora trovato un metodo di autenticazione simile, quindi prendiamo il prossimo numero migliore di password: one . Si utilizza una singola password per sbloccare tutti i token di accesso che sono spesso ma non necessariamente password (si pensi ai file chiave, ad esempio). Ora, in generale, non si desidera utilizzare lo stesso token di accesso per tutti i sistemi di autenticazione nel caso in cui uno di essi venga rubato e abusato per impersonare te negli occhi di altri sistemi. Ecco perché generi un diverso token di accesso (ad esempio una password) per ogni sistema di autenticazione indipendente .
Il sistema che gestisce e sblocca altri token di accesso basati sulla tua una singola password è chiamato una catena chiave con il famoso caso speciale di un archivio password che è una catena chiave per un singolo tipo di accesso token, password. Esistono alcune buone applicazioni per l'archiviazione di password che è possibile impostare e utilizzare. Vedi le altre risposte per alcuni esempi.
Come hanno sottolineato altre risposte, il riutilizzo delle password è sbagliato, poiché qualsiasi account che utilizza una password riutilizzata potrebbe essere compromesso.
Detto questo, potrebbe essere accettabile riutilizzare le password per determinati servizi. In particolare, potrebbe essere utile riutilizzare le password per siti ombreggiati o account a perdere che non ti interessano affatto, purché tu sappia che saranno compromessi.
Per una configurazione sicura, è necessario ricordare almeno le seguenti password:
Idealmente, questo è tutto ciò di cui hai bisogno. In pratica, potresti voler accedere ai servizi su altri computer e potresti non volerti fidare di quei computer per gestire un'unità USB contenente i dati del tuo gestore password o con la password per il tuo gestore password basato sul web.
È qui che devi valutare personalmente l'usabilità e la sicurezza.
Hai bisogno di accedere alla tua email da computer non attendibili? E se sì, la tua email è collegata a account importanti (in tal caso l'accesso al tuo account di posta elettronica è probabilmente equivalente all'accesso a quegli account importanti)? In tal caso, potresti aver bisogno di una password aggiuntiva da ricordare per il tuo account e-mail (e potresti voler creare un secondo account e-mail per separare i dubbi).
Se hai bisogno di accedere ai giochi da computer non fidati, potresti anche volere una password separata per quello. A seconda dell'importanza di questi account, la password deve essere più o meno complessa.
Lo stesso vale per qualsiasi altra password che potrebbe essere necessario immettere in un computer non affidabile in cui non si ha la possibilità di utilizzare un gestore di password in modo sicuro. Puoi provare a classificare questi account in base alla criticità e, se necessario, riutilizzare le password per gli account in cui non ti interessa troppo un compromesso dell'account.
La condivisione delle password funziona finché un sito non viene compromesso o fino a quando non viene effettuato un phishing. A quel punto, sei nei guai.
L'utente malintenzionato ora conosce il tuo nome utente che probabilmente utilizzerai su un altro sito e e (un hash salato di "si spera !?) la tua password. Con un po 'di fortuna, riescono a capire la vera password dall'hash, ora sei veramente nei guai, poiché quella stessa password funziona su molti siti. In ogni caso, anche se non riescono a trovare un altro sito dove l'hai usato, la password andrà nel loro dizionario delle password conosciute. Se non altro, la prossima volta la forza bruta cercherà un po 'meno forza bruta.
In caso di phishing, non hai messo in palio un account, ma molti.
Scrivere password su carta è sbagliato (anche se ammetto di averlo fatto per alcuni decenni), memorizzarle è più sicuro ma non funziona così bene. Diamine, dimentico anche il PIN a 4 cifre sulla mia carta di credito perché ne ho bisogno solo una volta all'anno. Scopri come riesci a ricordare una stringa di 12 caratteri ragionevolmente casuale.
Finché è coinvolto un computer, non ti costa nulla fare le cose correttamente. Ad esempio KeePass insieme all'estensione web Kee (funziona su diversi browser di alto profilo) genererà - e ricorderà - password sufficientemente forti per ogni sito individuale. E, all'interno di un browser, questa combinazione è una configurazione "funziona". Non preoccuparti mai più, non sprecare mai più un pensiero su quel problema. Funziona anche con altri programmi (senza browser), solo leggermente meno constrongvoli (copia-incolla, nessun riempimento automatico).
Le password generate sono di qualità molto migliore rispetto a qualsiasi password che potresti generare da te o che potresti ricordare con successo. Quindi, non solo questo risolve il problema della condivisione, ma rende anche la bruta forzatura della password non fattibile. A meno che, naturalmente, il CIO di un particolare sito sia un idiota completo, come nel caso ad es. il mio portale di assicurazione sanitaria (Axa). Mentre insistono sull'identificazione postale per una sicurezza super extra, rifiutano una password casuale a 256 bit, insistono su regole stupide e hanno un parser che rifiuta ancora alcune password conformi alle loro stupide regole. Quindi, alla fine, hai indovinato, il 50% degli utenti sceglie Fuckyou!1 . Che, hai indovinato, rispetta le loro stupide regole.
Ma ahimè, ci sono cose che non puoi cambiare. Dovresti, comunque, indirizzare l'isseus che puoi cambiare.
Non si tratta del numero di password. Ho una password di base, qualcosa di molto difficile da decifrare come "Y3DYFR34" che semplicemente memorizzo e un suffisso che aggiungo alla base. Quindi la mia password per stackoverflow sarebbe "Y3DYFR34_stackoverflow" e la mia password per l'email sarebbe "Y3DYFR34_email".
Se stai utilizzando la stessa password per tutti i tuoi siti, potrebbe essere compromessa. Dovresti usare anche caps small, Alphanumeric and special characters , e deve essere maggiore di 15 cifre.
È possibile creare qualsiasi tipo di combinazione per la password.
Leggi altre domande sui tag passwords