Qualsiasi motivo per non utilizzare informazioni protette che utilizzano le informazioni personali ma nessun altro conosce una password?

18

Accetto che nulla può essere migliore di una password veramente casuale.

So anche che è una brutta cosa usare le informazioni personali in una password.

Tuttavia , dal momento che è difficile convincere le persone a utilizzare le pratiche di password corrette e, dal momento che le persone ricordano le informazioni personali, anche le più oscure, è (< strong> praticamente , non in teoria) accettabile per usare una password che combina informazioni personali oscure che possono essere ragionevolmente certe sconosciute / non indefinibili da altri?

Per sottolineare, non penso che sia necessario discutere la teoria delle password complesse.

Se qualcuno ha più di una certa età, ha un enorme archivio di ricordi della vita e può scegliere tra oggetti oscuri.

Posso ricordare:

  • il numero di telefono di una zia anziana che è morta decenni fa. Noi, molti di noi, abbiamo dozzine di parenti, amici, vicini di casa, da tempi lontani.
  • la targa di un'automobile che mio padre guidava quando avevo 8 anni o giù di lì (e che lui, lui stesso, non ricordava quando l'avevo menzionato di recente). Quante auto hanno avuto io, la famiglia, gli amici, i vicini, nel corso degli anni?
  • il nome di un professore universitario
  • una lunga libreria defunta
  • un pub non sono stato nel giro di centinaia di miglia in decenni, e non frequentavo molto, ma ero vicino a un luogo di significato per me
  • una stazione ferroviaria, in un paese straniero, dove una volta ho fatto una deliziosa merenda
  • il codice postale / postale di un luogo in cui ho scritto lettere effettive, nel giorno

Potrei andare avanti all'infinito.

Per qualcuno che non può / non utilizzerà un generatore di password (e ne conosciamo tutti abbastanza), è meglio di correct horse battery staple .

È "abbastanza buono"? Se qualcuno si rifiuta di usare un generatore di password, dovrei esortarli a provare a pensare a informazioni personali e non correlate, che sono certe che nessun'altra persona potrebbe conoscere e nessuno ricorderebbe.

    
posta Mawg 04.02.2017 - 12:20
fonte

3 risposte

21

Questi elementi non sono abbastanza da soli , perché i numeri di telefono, le targhe, i nomi, i codici postali ecc. sono conosciuti ed enumerabili ed è facile aggiungerli a un elenco di parole di un indovino della password . Non importa che tua zia sia morta da tempo; il suo numero di telefono è ancora solo un numero e non molto grande.

Il pub e il nome di un lungo e defunto negozio di libri sono un po 'meglio perché il pub potrebbe essere chiamato "il cesto di agnello e vimini" e il negozio di libri potrebbe essere "eggertson e cibo per la mente del figlio", che probabilmente non si trovano su qualsiasi elenco facilmente disponibile su Internet.

Non sono sicuro di dove mettere la stazione ferroviaria. Questo è fondamentalmente un nome di luogo, che posso ottenere lanciando un ragno su wikipedia o eventualmente scaricato in una lista già pronta da qualche tipo di sito Web GIS, quindi non penso che sarebbe una buona idea usare solo uno dei questi frammenti.

Tuttavia, come suggerisci, combinare questi frammenti personali renderebbe una password molto strong. Per esempio. il numero di telefono della tua zia da tempo scomparsa, combinato con il luogo in cui hai trascorso la tua prima vacanza, combinato con la targa di tuo nonno, combinato con il pub dove hai incontrato tua moglie, probabilmente sarebbe stata una buona password. / p>

La batteria di punti metallici viene dalla lista di parole diceware, che consiste di circa 7000 parole. Ci sono più codici postali, molti più numeri di telefono, molte più targhe, molto più nomi di posti, quindi la combinazione risultante sarebbe molto più strong di una password diceware, assumendo che il tuo aggressore non ti conoscesse molto bene. p>

Se volevi insegnare questo metodo alle persone, dovresti assicurarti che capiscano che la forza della password risultante dipende dal numero di possibilità per ciascuno dei frammenti personali. "Il numero di targa della tua nonna" apre milioni di possibilità, mentre "il cibo preferito di tuo fratello" o "il colore preferito del tuo migliore amico" offre solo alcune possibilità facilmente individuabili e quindi non dovrebbe essere incluso come parte della password. / p>     

risposta data 04.02.2017 - 12:52
fonte
14

For someone who can't/won't use a password generator (and we all know enough of them), this is better than correct horse battery staple.

Is it "good enough"? If someone refuses to use a password generator, should I urge them to try thinking of personal and unrelated info, which they are sure that no one other person would know and no one would remember.

Il vero vantaggio in termini di sicurezza nell'utilizzo di un gestore di password non è quello di avere password lunghe e pseudo-casuali. Piuttosto, è che hai diverse password per sito.

Sfortunatamente è ancora comune trovare siti web (e applicazioni mobili, ecc.) che memorizzino le loro password in modo facilmente reversibile. Se la password del tuo amico viene rivelata in questo modo, non conta più quanto sia difficile indovinare: l'attaccante non ha bisogno di indovinare, perché ha una password da provare su ogni altro sito.

A meno che non memorizzino password diverse per sito, direi che insegnare a qualcuno a utilizzare un complicato schema di password come questo è irresponsabile : dà loro un'indebita sensazione di sicurezza.

    
risposta data 04.02.2017 - 16:44
fonte
3

La tua idea è completamente a posto. Se la tua password è sufficientemente lunga, l'unico modo in cui un utente malintenzionato potrebbe capire i tuoi dettagli personali è se ti bersagliano in modo specifico e cerchi la tua vita. A meno che tu non sia famoso, o estremamente ricco, o abbia accesso a informazioni segrete che potrebbero influenzare la vita di altre persone, probabilmente è il caso che nessuno ti indirizza in modo specifico online. Se non sei preso di mira, l'unico modo in cui qualcuno può indovinare la tua password è da attacchi intelligenti non specifici per te o da parte della forza bruta. In altre parole, anche combinando il numero di targa attuale e il numero di telefono corrente con il nome del tuo cane e il cibo preferito per creare una password di 30 cifre sarà più che sufficiente protezione contro attacchi intelligenti e forza bruta non mirati. Ciò che hai descritto sembra più o meno lo stesso, ma nell'ordine di 1000 volte migliore.

Gridare alla risposta di XiongChiamiov. Questa idea funziona solo per ogni singola password. Se vuoi ricordare 50 derivazioni di esso per ogni sito diverso che usi e uno è compromesso, anche gli altri potrebbero essere a rischio se il modello viene scoperto.

    
risposta data 04.02.2017 - 21:23
fonte

Leggi altre domande sui tag