Come memorizzare più password in stile xkcd per servizi particolari?

Naviga le tue risposte
6

Potrei usare un gestore di password, ma non mi piace fare affidamento su un'altra entità di me per archiviare le mie password, e mi rovinerebbe se mi trovassi su Internet in una nuova posizione senza il database. Quindi voglio usare il metodo corretto della batteria di cavalli per le mie password (non dirlo a nessuno) e memorizzarle tutte. Ma non sono sicuro di come posso ricordare quale password è per quale servizio. Come posso collegare in modo mnemonico ciascuna password a un particolare servizio?

    
posta Lou 16.07.2014 - 20:17
fonte

6 risposte

6

Il punto delle password in stile xkcd è questo: gli umani pensano nelle storie . Una password di questo tipo può essere ricordata perché l'utente costruisce una sorta di "storia" che coinvolge tutte le parole della password come elementi della storia.

Lungo queste linee, dovresti includere il nome del servizio come parte della storia. Se la tua password "cavallo corretto" è per Amazon, allora puoi ricordare la storia come "un libro sui famosi" cavalli intelligenti ", incluso uno che potrebbe correttamente (e notoriamente) riconoscere graffette e batterie". O qualcos'altro. La storia non ha senso quando viene scritta; è personale per l'utente.

Un altro metodo completamente diverso per ricordare le password è digitarle spesso . Questa è la memoria delle dita (cioè, nella parte del cervello che controlla le dita), e funziona bene.

Un altro punto è che se ti trovi dall'altra parte di Internet ma vuoi comunque accedere alle tue password, allora stai per digitare la tua password su qualche macchina. Quindi:

  • O questo è il tuo laptop, quindi perché non hai una copia delle tue password, crittografata con una password master strong? Questo è qualcosa che faccio (questo è sicuro se la master password è strong, e si applica un po 'di attenzione alla decodifica, ad esempio disattivando lo spazio di swap e facendo la decrittazione in un filesystem basato su RAM).

  • oppure stai per digitare la tua password in un computer di terze parti, ad es. in alcuni "Internet café", e bene, non dovresti. Veramente. Perché una macchina del genere potrebbe avere un key logger.

risposta data 16.07.2014 - 22:14
fonte
1

Come memorizzi ogni passphrase? Probabilmente è lo stesso modo mostrato sul link xkcd che hai fornito: creando un contesto in cui queste parole potrebbero essere utilizzate o creando un'immagine mentale.

Devi solo includere il servizio su di esso. Forse non letteralmente il nome del servizio , poiché potrebbe solo creare un'immagine strana. Ma puoi facilmente adattarti.

Ad esempio, se la tua password di posta elettronica è punto batteria di cavallo corretto , puoi immaginare che il cavallo stia scrivendo la "pinza della batteria" su una busta.

    
risposta data 16.07.2014 - 20:51
fonte
1

Suppongo che tu stia affrontando entrambi i problemi:

  • Come ricordare una diversa credenziale per ogni sito
  • Come riutilizzare le credenziali in modi che non compromettano troppo la sicurezza e come sapere quali credenziali usare dove

Per essere onesti, io come specialista della sicurezza usabilità riutilizzare le password. Nessuno può farcela. È normale e non c'è nulla di cui vergognarsi. Ci sono un paio di trucchi che possono essere utili per evitare di perdere l'accesso ai tuoi account importanti.

In primo luogo, dovresti identificare le tue risorse più preziose. Disponi sempre di una password univoca per account email e di pagamento. I tuoi account di pagamento (PayPal, bancario ..) sono ovviamente preziosi perché possono renderti più povero. Tuttavia, i tuoi account e-mail sono i più critici che hai. Se rubo il tuo account e-mail principale posso sapere su quali altri servizi hai account e posso reimpostare la tua password ovunque (attraverso la forma della password persa )! C'è un esempio di un ragazzo che ha perso un nome Twitter molto prezioso per aver compromesso il suo account email .

Secondo, se trovi un gestore di password che puoi usare, prendine uno. Se non ti fidi delle grandi aziende commerciali con i tuoi dati, considera i gestori di password open-source.

In terzo luogo, hai bisogno di per ricordare le password ai siti a cui ti colleghi a malapena e che assegni poco valore? Finché un sito (usato raramente) ti consente di reimpostare facilmente la tua password, puoi metterla a tuo vantaggio per ridurre il numero di password che devi ricordare. Esistono siti per i quali utilizzo solo la password di reimpostazione e la dimentico immediatamente.

Infine, puoi iniziare a raggruppare gli account in base alla semantica che hanno, in modo da ridurre drasticamente il numero di password. Un paio di criteri potrebbero essere:

  • Questi account hanno lo stesso scopo per te? E, g, conti in cui è possibile prenotare / ordinare cose dello stesso tipo (senza avere la carta di credito allegata)?
  • Sono collegati allo stesso stakeholder / asset? Pensa a account diversi nella stessa azienda (spesso ti richiedono di gestire 2 o 3 account perché non possono gestire correttamente Single-Sign-On ...)
  • Il compromesso di uno porta al compromesso dell'altro? Ad esempio, se posso impersonare te su un servizio specifico è sufficiente per danneggiare le tue risorse su un altro servizio, ad es. Account OSN con collegamenti reciproci?

Spero che ti aiuti.

    
risposta data 16.07.2014 - 23:32
fonte
0

Recentemente ho letto un post sul blog da Sophos Security dove si collegano a uno studio su come ricordare passphrase complesse che non sono parole del dizionario, usando ripetizione distanziata - Penso che lo stesso si possa applicare alle password basate sulle parole del dizionario.

L'idea è di imparare una passphrase per un periodo di tempo in cui diventa più complessa, piuttosto che cercare di ricordarla dalla prima volta.

Il mio suggerimento, usa quello e le parole in diverse lingue:).

    
risposta data 16.07.2014 - 23:06
fonte
0

Non sono sicuro dell'opinione generale percepita di questo metodo, ma ecco quello che faccio. Nell'esempio correct horse battery staple , il mio metodo consiste nell'aggiungere il sito web su cui sto navigando. Supponiamo che stia usando un account stackexchange al posto del mio account google, la mia password sarebbe qualcosa del tipo:

correct horse battery staple stackexchange

Più in particolare, aggiungo una frase piuttosto grande (non solo parole casuali) come prima parte, quindi nel classico modo Portal, potrei fare questi:

the cake is a lie stackexchange

The cake is a lie stackexchang3

The C4K3 is @ lie stackexchange

La chiave per ricordarli è che ho sempre la stessa prima frase dove possibile (ti sto guardando, microsoft), ma la fine cambia in qualcosa di adatto al sito web che sto navigando.

Ovviamente, se preferisci non farlo, come altri hanno detto: ottieni un gestore di password.

    
risposta data 17.07.2014 - 05:32
fonte
-1

Ecco un altro modo per memorizzare password non prevedibili, indipendentemente da quanto qualcuno sa di te:

Da questo articolo:

PASSWRASES CHE PUOI MEMORIZZARE - MA ANCHE L'NSA NON PUO ' GUESS

It turns out, coming up with a good passphrase by just thinking of one is incredibly hard, and if your adversary really is capable of one trillion guesses per second, you’ll probably do a bad job of it. If you use an entirely random sequence of characters it might be very secure, but it’s also agonizing to memorize (and honestly, a waste of brain power).

But luckily this usability/security trade-off doesn’t have to exist. There is a method for generating passphrases that are both impossible for even the most powerful attackers to guess, yet very possible for humans to memorize. The method is called Diceware, and it’s based on some simple math.

... poi continua descrivendo un metodo semplice per fare la cosa XKCD ma con una certa casualità dietro di essa.

    
risposta data 02.06.2017 - 04:36
fonte

Leggi altre domande sui tag

Attività sospette sul modulo di contatto, quali sono le loro intenzioni? L'uso di dispositivi GPS può diffondere informazioni personali identificabili?