So che non dovresti usare la stessa password su ogni sito. Ma quando accedi a diverse decine di siti, tenere traccia di tutte le password può essere piuttosto difficile.
Quale sistema consiglieresti di non compromettere tutti i miei account quando un sito viene violato (supponiamo il caso peggiore: il sito che memorizza le password in chiaro)?
Sto cercando un sistema che mi aiuti a ricordare le password, non un modo per memorizzarle.
Per ricordare le password, digitarle spesso. Puoi ricordare dozzine di password se le digiti quotidianamente - è memoria muscolare , lo stesso tipo utilizzato dalle arti marziali i praticanti, quindi ricordare molte password è come essere un maestro di Kung Fu (anche se in un modo leggermente meno fantastico).
Bruce Schneier, noto imitatore di Chuck Norris, raccomanda annotare le tue password e tenerli nel tuo portafoglio. Questo ha senso perché sei sia addestrato e altamente motivato a mantenere un alto livello di sicurezza fisica sul tuo portafoglio. Vorrei raddoppiarlo con una copia dello stesso foglio di password da qualche parte nella tua cassastrong, in modo da poterti recuperare da un furto del portafoglio (cioè registrarti nuovamente in tutti i siti e cambiare la tua password). Inoltre, un pezzo di carta non ha batteria che necessita di ricarica.
(Attenzione: il tuo smartphone non è un buon portafogli. La sicurezza fisica del tuo telefono è molto inferiore a quella che applichi sul tuo portafoglio. A meno che tu non abbia l'abitudine di prosperare il portafoglio a braccio lunghezza mentre si cammina per strada.)
Un modo per risolvere questo problema che ho usato con molta gioia ultimamente è il sistema PWDHash del laboratorio di Stanford Security .
Fondamentalmente ciò che viene fatto è calcolare un hash crittografico della tua 'password principale' insieme al dominio della pagina stai registrando, lo ritaglia e poi riempie il risultato come password. In questo modo, ogni sito su cui ti iscrivi ha una password non reversibile che non compromette nessun altro accesso, anche se a qualcuno capita di imbattervi in testo in chiaro.
Esistono componenti aggiuntivi PWDHash per i principali browser e puoi utilizzare l'interfaccia se sei in movimento.
Oltre al fatto che si tratta di un'applicazione di teoria meravigliosa e facilmente comprensibile, un importante vantaggio è che non devi fidarti di terzi con le tue password. Tutto è fatto localmente e open source: funziona senza una connessione Internet o binari incomprensibilmente crittografati.
È possibile utilizzare un vault della password. Ad esempio, hai un txt o un excel con tutte le tue password e lo tieni in un contenitore crittografato (per esempio TrueCrypt) e decrittalo quando ne hai bisogno.
Tuttavia, è davvero difficile da usare se lo si desidera prontamente disponibile in qualsiasi momento. Se ti fidi delle altre società con i tuoi dati, puoi optare per siti come link per memorizzare le tue password. Non sono un vero fan di questo perché non sei mai al 100% come sono archiviate le cose nel back-end.
Questo può essere fatto, ma richiede lavoro, da qui la popolarità del software di database delle password!
Avrai voglia di studiare la mnemonica, l'arte / scienza dei sistemi di ricordare le cose. Gli artisti mnemonici fanno cose come memorizzare l'ordine di un mazzo di carte mescolato; quei metodi su scala ridotta dovrebbero essere sufficienti per richiamare alcune password.
I "trucchi della mente" di Derren Brown hanno un buon tutorial per principianti, ma ecco un esempio di una tecnica semplice, il collegamento delle immagini, che dovrebbe funzionare bene per le frasi di passaggio.
Supponiamo che la tua password di posta elettronica sia " punto fermaglio batteria cavallo corretto ". Immagina, a loro volta, queste immagini stupide:
Queste sono immagini deliberatamente stupide, più vivida è l'immagine che puoi creare nella tua mente, meglio è. Immagina questa sequenza ripetutamente e scoprirai che la sequenza si attacca alla tua memoria; quando avvii il tuo programma di posta elettronica, penserai a una busta di posta, che ti porta a correggere, a cavallo, poi a graffare.
Suggerimenti bonus:
Scegli parole facili da visualizzare; hai visto che ho avuto un piccolo problema con "corretto" sopra!
Se non ti piace digitare qualcosa a lungo, usa un inizialismo della passphrase, ad es. trasforma "abicjinh" in "casa dei quaderni con i ghiaccioli di pollo bicicletta idolo di apple" e crea i link delle immagini per quelle parole.
Potresti avere regole di complessità della password per alcune app, dove devi usare lettere maiuscole / minuscole o numeri. Questi hanno bisogno di un po 'più di lavoro.
Ricorda quali lettere sono in maiuscolo selezionando un punto di riferimento da una città capitale e impostando l'immagine lì. per esempio. per "aB" visualizzi una mela che guida una bicicletta oltre la torre Eiffel.
I numeri sono più difficili, il solito modo è un sistema "peg" dove si assegna una parola riservata a ciascun numero, si memorizzano quelli e poi si usa la parola associata nell'immagine. per esempio. memorizza 1-gun, 2-zoo, 3-tree, quindi ricorda "a2" come una mela selvatica esposta in gabbia nello zoo.
Se è qualcosa che davvero non puoi permetterti di perdere, la cassastrong di cui sopra potrebbe essere il modo migliore. Ma se vuoi veramente ricordarli, dovresti provare a farne una frase.
Quando devo creare una nuova password, questo è quello che faccio:
Facciamo un esempio: "Maria aveva un piccolo agnello il cui vello era bianco come la neve" → mhallwfwwas → m-411w = ww45 (il - è la barra orizzontale della H; lo stesso con = per F, * per P (da | *), ...)
Ho scelto alcune lettere dal nome del sito. Forse quelle lettere sono l'acronimo del nome della società. Unisco (prefisso, aggiungi, incorpora) quello con una sequenza di caratteri (per creare una password complessa) che sono gli stessi per tutte le mie password. Ad esempio:
google = goog15#*xfg27%
yahoo = yaho15#*xfg27%
Wall Street Journal = wall15#*xfg27%
Usa umorismo, rima, ripetizione, offensività, sciocchezza, schemi comuni, fatti imbarazzanti e altre tecniche simili per ricordare le tue password.
Esempi:
Uso un piccolo dispositivo USB di mia creazione che mi consente di portare con me una "password" strong per la mia catena di chiavi. Ogni password che inserisco è almeno di 15 caratteri casuali.
Per i siti web, aggiungo solo i primi tre caratteri del dominio del sito web alla fine, prima di aumentare il seed a 15+ caratteri. Ora, SE tutte le password di hash dei siti Web, questo approccio è sicuro. La password finale con i tre caratteri in più alla fine della password casuale di 15 caratteri è almeno altrettanto strong della password di 15 caratteri. L'HASH, tuttavia, è completamente diverso per ogni sito (purché i primi 3 caratteri siano diversi). Quindi, dal momento che ciascuno degli hash del sito è individualmente infrangibile dall'attacco a forza bruta, e ogni sito ha un hash completamente diverso, i siti sono isolati dall'attacco cross site.
Tuttavia, dal momento che non tutte le password hash dei siti oggi utilizzano anche PwdHash sul client per garantire che non vi sia alcun modo in cui una password di testo non crittografata (o crittografata) rubata su un sito debole comprometterà tutti gli altri siti.
Un modo in cui cerco di capire questo è immaginare un enorme pagliaio e la necessità di nascondere un ago. Se l'ago è essenzialmente impossibile da trovare, quindi spostare l'ago a pochi centimetri di distanza lo rende ancora impossibile da trovare.
Quindi, se puoi assicurarti di inserire una password di 15+ caratteri molto strong con solo pochi caratteri diversi per ogni sito, e assicurarti che la password sia sottoposta a hashing dal sito o localmente sul client, hai una buona soluzione come portare in giro un grande database di password. IMHO.
Il riutilizzo della password è probabilmente la migliore strategia per farti ricordare tutte le tue password senza spazio di archiviazione. Memorizzare password casuali e forti è probabilmente ancora una cosa migliore da fare, ma assicurati di poter accedere a questo spazio di archiviazione se il tuo dispositivo principale scompare o viene rubato.
Se vuoi seguire il percorso di riutilizzo della password, puoi farlo saggiamente per ridurre al minimo i rischi. Ciò che conta è che tu identifichi gli account che non devono essere compromessi e dare loro una password univoca. Di solito ce ne sono pochi: account di pagamento, account e-mail (e-mail con password reimpostate) e account social-reputation-critical (LinkedIn, forse Facebook).
Per il resto, riutilizzare le password su tutti i siti web di un tema simile riduce notevolmente il numero di credenziali, soprattutto se è necessario registrarsi a un nuovo sito che non si è sicuri di riutilizzare (ad esempio, ordinare un biglietto aereo da una nuova compagnia aerea). Finché la connessione a un sito Web non consente perdite monetarie o abusi di identità, tale sito Web è idoneo per il riutilizzo.
Vedi le domande e le risposte qui:
Steve Gibson ha un certo numero di strumenti che possono essere efficaci - vedi haystacks delle password che ha l'effetto di creare la password molto più memorabile ma più difficile da rompere. In alternativa, Perfect Paper Passwords può rendere le cose più facili da ricordare. Esistono anche diverse varianti della tecnica raccomandate da @les
Inserisci un biglietto da visita nel tuo portafoglio con una matrice di segni di forme, cifre e segni di punteggiatura. Quindi memorizza le piccole forme e usa le icone corrispondenti come password.
Se preferisci memorizzarli, usa il metodo del palato, ricorda 10 serie di numeri e parole, usa 3 per creare una password e ottieni istantaneamente 1000 password univoche.
Leggi altre domande sui tag passwords password-policy