Questo modello di password cross-site è sicuro?

10

Sto cercando un modo per avere password sicure per pagine diverse. Dì che ho generato questa password:

ild23rfsfdfg%*#fArg34t34657%537@asd7oak2094^*q2k2k@Kk3j4tn453Q5#

Quindi, per ogni sito, cambio un singolo carattere. È una singola posizione casuale con uno spostamento casuale dei caratteri. Non è quasi sicuro come avere una stringa metà della lunghezza generata in modo casuale, non pubblicata e non riutilizzata? Quindi dovrei solo ricordare la posizione dei caratteri da 1 a 64 + un altro numero nella mia memoria, invece dell'intera password.

Quali insidie ha questo modello? Non so come misurare la forza di questo. Non ho ancora usato questo modello [ancora], ma penso che potrebbe essere molto utile per molte persone e situazioni, come nel caso di un viaggio. Il problema principale che posso vedere è che una ricerca binaria può produrre, in media, 1/2 della forza dell'intera faccenda (ancora strong nel calcio).

Per rispondere, per favore, considera che la posizione e il turno sono veramente casuali. Quanto è più sicuro se la password originale non è pubblicata da nessuna parte? Dato che non sono specificamente in cerca di sicurezza attraverso l'oscurità, mi piacerebbe saperlo.

Nota. Conosco circa correct horse battery staple e utilizzo di un gestore di password, vorrei solo sapere se questo è effettivamente strong dal momento che non ho le competenze per giudicare me stesso.

    
posta Francisco Presencia 22.07.2013 - 01:43
fonte

1 risposta

13

È stato vagamente strong fino a quando non hai pubblicato il tuo meccanismo. Ora, se qualcuno riesce a impossessarsi della tua password di base e di un hash, devono solo provare circa 6500 password per craccarlo - cioè ~ 100 caratteri stampabili per posizione, con ~ 65 posizioni.

Non solo, ma è chiaro che tu "martelli con la tastiera" per generare la password di base, il che significa che ci saranno correlazioni statistiche che facilitano la scoperta della base.

Se stai memorizzando la password di base in modo sicuro, non c'è motivo per cui non puoi semplicemente archiviare un set completo di password uniche in modo sicuro. Investi in un gestore di password come KeePass e la tua vita sarà molto più facile. Diamine, è molto più facile ricordare una singola password strong che ricordare un intero punteggio di offset e modifiche!

    
risposta data 22.07.2013 - 01:50
fonte

Leggi altre domande sui tag