Quanto è sicuro questo processo per la creazione di password?

Su una base pratica, dovrò dire che questo tipo di sistema è estremamente debole una volta che una delle tue password è trapelata; non importa quale.

Ad esempio, se hai usato} P _- ^ cWi_OD ~ w {qjjA4f (generato casualmente) come password "principale", allora avresti

o} P _- ^ cWi_OD ~ w {qjjA4fN per NotSecureSite.

e un} P _- ^ cWi_OD ~ w {qjjA4fB per BankSite.

Supponendo

1. La tua password NotSecureSite viene rilevata da un utente malintenzionato in qualche modo, forse perché è un Plain Text Offender e subisce una violazione

   a. E poi quelle password in chiaro escono come gli elenchi di RockYou e Facebook

2. Poi un altro sito su cui stai subisce una violazione; diremo che era BankSite, che usava l'hashing MD5 (per semplicità, in realtà, potevano usare qualsiasi cosa, anche algoritmi abbastanza ragionevoli)

3. Un utente malintenzionato con entrambe le serie di dati che utilizza la seguente semplice regola troverà la sua password Paypal usando John the Ripper o < a href="https://hashcat.net/oclhashcat/"> oclHashcat e la seguente semplice regola:

   a. Riga di comando:

   1. ./ oclHashcat64.bin --hash-type = 0 --attack-mode = 0 --rules-file = random.rule random.word.md5 random.dict

   a. Una riga in letture random.rule

   1. [] ^ a $ B

      a. [- cancella il primo carattere un. ] - cancella l'ultimo carattere un. ^ - antepone il prossimo carattere un. $ - aggiungi il prossimo carattere un. Nota che ci sono solo 3.844 regole per cercare esaurientemente lo spazio per ogni password di partenza se l'attaccante passa attraverso a-zA-Z0-9 per entrambi; il tuo schema attuale può essere trovato in 130 regole (5 * 26) per ogni password.

      1. Peggio, questo è piuttosto piccolo. I set di regole distribuiti con oclHashcat includono per impostazione predefinita le 12 mila regole di T0XlCv1.rule, le 35 mila regole di d3ad0ne.rule e le 123 mila regole di dive.rule, quindi meno di 4 mila massimo è una goccia nel secchio.

Prova a utilizzare password univoche crittografiche casuali e password e un gestore di password come KeePass per generarle e memorizzarle; ha porte per Apple, iPhone, Android, Linux, Windows, ecc.

Assicurati di andare in Impostazioni Database, Sicurezza e imposta il numero di round per almeno un secondo, preferibilmente diversi (c'è un pulsante / collegamento per 1 secondo di ritardo, quindi ingrandisci) in particolare sui dispositivi più lenti.

In alternativa, suggerirei qualcosa di molto diverso. Può essere fatto in molti modi, ma utilizzando una qualsiasi varietà di implementazioni PBKDF2 su mio sito github , diversi di che includono eseguibili di Windows, alcuni dei quali sono in Python o in altre lingue comuni.

Quindi, usa la tua password "principale" come password, il nome del sito web come il sale, un sacco di iterazioni, dal momento che non hai o quasi nessun carattere speciale, avrai bisogno di password anche più lunghe del normale, ma tu " Sarò in grado di tagliare e incollare. In questo momento mi scuso, poiché l'output Base64 non è ancora implementato molto, anche se ci sto lavorando. l'output esadecimale va bene, tuttavia, se si utilizza tutto e -o il parametro, la lunghezza dell'output è sufficientemente lunga, basta sapere che hex è il doppio del tempo.

• NotSecureSite:

  • ./ pbkdf2 -p a} P _- ^ cWi_OD ~ w {qjjA4fB -s NotSecureSite.com -a SHA-512 -i 1024000 -o 20

    • 104d58f4c9fac5063ed9ed9303ccadc740053963

  • ./ pbkdf2 -p a} P _- ^ cWi_OD ~ w {qjjA4fB -s NotSecureSite.com -a SHA-512 -i 1024000 -o 20 -O base64

    • EE1Y9Mn6xQY + 2e2TA8ytx0AFOWM

• BankSite:

  • ./ pbkdf2 -p a} P _- ^ cWi_OD ~ w {qjjA4fB -s BankSite.com -a SHA-512 -i 1024000 -o 20

    • acaafd556c984e1c225369a5b95e37a38e34e48f

  • ./ pbkdf2 -p a} P _- ^ cWi_OD ~ w {qjjA4fB -s BankSite.com -a SHA-512 -i 1024000 -o 20 -O base64

    • rKr9VWyYThwiU2mluV43o4405I8

• L'esadecimale più lungo e il Base64 più corto sono esattamente altrettanto sicuri, poiché provengono dagli stessi 20 bit binari.

• sia la password di base che il numero di iterazioni devono essere le stesse

• si noti che le password NotSecureSite e BankSite non assomigliano affatto e non hanno pattern distinguibili oltre ad essere chiaramente esadecimali o dati codificati Base64.

• nota che ho usato più di un milione di iterazioni E una password di base casuale di 20 caratteri; questo dovrebbe aiutare a proteggere da coloro che hanno determinato il tuo algoritmo (dal momento che dobbiamo supporre che gli attaccanti l'abbiano capito / imparato in qualche modo) dando uno spazio per le chiavi grande e rallentandoli.

Regola n. 1 della sicurezza: supponi che gli aggressori siano più intelligenti di te.

Immagina se un utente malintenzionato volesse davvero accedere a un account che possiedi.

Eseguono ricerche sul Web e Pastebin per violazioni passate e trovano che l'account [email protected] sia stato coinvolto in due violazioni.

• Nella prima violazione la password era incrinata ed era oI^l@t(h$Y1G2G .
• Nella seconda violazione la password incrinata era AI^l@t(h$Y1G2s .

Sarebbe piuttosto ovvio per l'attaccante che ci sia uno schema di password in uso, specialmente perché il nome di ciascun sito web violato è già noto. Per qualsiasi variazione su questo, vedere la regola n. 1.

La risposta è, dipende!

Fondamentalmente la sicurezza di questo concetto equivale a riutilizzare la stessa password su più siti Web, ma aggiungendo alcuni caratteri alla fine.

Se la password di base di per sé è complessa e abbastanza lunga, ciò comporta password più difficili da forzare, assumendo una sicurezza adeguata sul back-end del sito web.

Il problema con questa tecnica è che, se un sito web memorizza la tua password in chiaro e un utente malintenzionato potrebbe accedere al suo database, potrebbe testare il tuo sistema di password su altri siti web. Avrebbe la tua password di base e quindi la complessità è ridotta a due caratteri, che francamente non è molto.

Se tutti i siti Web memorizzano correttamente la password, sarebbe abbastanza sicura. Ma non sai mai se è così e non sai mai se qualcuno potrebbe indirizzare il tuo account in modo specifico.

Sei sulla strada giusta: la singola cosa più importante che puoi fare è avere una password diversa per ogni sito in cui accedi. Il vantaggio principale è che se un sito viene violato (lo sono, tutti i giorni), i siti che utilizzano metodi deboli per offuscare la tua password rendono più facile la violazione della tua password. Avere la stessa password ovunque significa che se conoscono la tua password una volta, sanno anche molti altri posti.

La complessità è importante perché aiuta a sconfiggere i metodi di cracking. Ma gli schemi menzionati possono essere un po 'complicati, dal momento che ci sono altri modi in cui gli hacker ottengono la tua password che non ha bisogno di crack.

Quindi raccomando vivamente i gestori di password, e di tutti là fuori, 1Password è quello di cui mi fido di più poiché la loro strategia è quella di non memorizzare mai la password principale sui loro server. Anche altri gestori di password possono farlo, quindi ne vale la pena. Un gestore di password rende fattibile e conveniente avere una password lunga, complessa, casuale e unica per ogni sito. Anche i migliori fanno molto di più.

E per i siti più importanti, usa la loro autenticazione a più fattori (MFA o 2FA). È un dolore totale perché devi avere qualcosa, in genere un telefono, che fornirà un codice secondario. Ma per l'account e-mail che sarà quello utilizzato per confermare le password dimenticate, usalo.

Ci sono molti modi in cui le persone cattive ottengono le password. Li indovinano da usi comuni come P @ ssw0rd !, password debolmente criptate vengono rubate dai siti violati e poi crackate usando parole del dizionario. Il tuo metodo risolve questi.

Ma ce n'è un terzo: siti scarsamente protetti o hackerati, o phishing / social engineering truffe che ti permettono di digitare una password - gli hacker ora lo sanno con pochissimo sforzo. I siti dedicati alla sicurezza proteggono da questo e monitorano gli schemi che suggeriscono le violazioni. Ma la maggior parte non lo fa. (Oggi, questi metodi sono il modo più comune per ottenere efficacemente le password).

Se supponiamo che un hacker conosca la tua password per un sito specifico, quanto è sicuro il metodo adesso?

Diciamo che la parte comune della password è una stringa lunga e complessa - userò XXXX per rappresentarla. Ma se crei un suffisso o un prefisso basato su qualcosa sul sito, che non è complesso o è ipotetico, come un SXXXX, usando la prima lettera di "stackexchange", ora sei a rischio. Rendilo più lungo, come sTaXXXX? In realtà più indovinabile. Rendilo complicato, come sT @ XXXX o atsXXXX ... diventando più caldo. Incorporare dentro, come XsXtXaX, meglio ancora, probabilmente.

Ma questa tecnica generale è una strategia ampiamente promossa perché è l'unica che gli umani possano effettivamente ricordare, quindi le persone che cercano di hackerarlo sanno cosa cercare.

Quindi, una volta che il tuo pattern è indovinato, hanno il tuo indirizzo email, quindi prova ad accedere lì - se Google, quindi XgXoXoX, giusto? E ora, cambiano la password di Google e iniziano a reimpostare tutte le altre password. Ora sei davvero affondato. Come lo so? Mi è quasi successo nel 2007, tranne che sono stato fortunato. E da allora: 1Password.

Le password sono un terribile, terribile mezzo di sicurezza. Una chiave fisica per la tua casa è migliore: hai bisogno della chiave o di una copia, e devi essere a casa! Le password casuali generate da software come 1Password, in particolare combinato con l'autenticazione a più fattori per i siti critici sono la strada da percorrere. Non esistono due siti in cui ho account su cui condividere una password e non ne conosco uno solo. Quelli di cui la mia famiglia ha bisogno sono memorizzati in un "vault" separato con una password separata, e io sono la persona solo che conosce il master, e lo cambio spesso.

Spero che questo aiuti!

Mettiamo da parte la sicurezza per un momento e ci concentriamo sull'usabilità.

Supponiamo che almeno un sito web che usi venga violato ad un certo punto. Che cosa allora?

Ovviamente è necessario cambiare la password. Fortunatamente, hai pensato in anticipo e non hai usato la stessa password su tutti i siti che utilizzi, quindi solo quel sito è stato compromesso.

Se utilizzi un gestore di password , vai a quel sito Web, fai clic sul pulsante "Genera password" nel gestore password e copia-incolla nel campo della nuova password nel sito web. Fatto.

Con lo schema di riutilizzo con modifiche , non puoi semplicemente modificare il prefisso, perché non è molto meglio di un contatore scorrevole come password1, password2, password3, ecc. Quindi devi cambia la password di base.

Ora che hai cambiato la password di base, devi ricordare un'eccezione per sito alla regola generale, oppure devi cambiare ogni singola password per utilizzare la nuova password di base. Cambiare la base in realtà è probabilmente un'idea migliore, poiché, come hanno sottolineato altre risposte, il tuo schema è fondamentalmente noto a questo punto.

Quante password hai? In questo momento nel mio gestore di password ho salvato 112 voci (ovviamente non tutte sono uniche, o addirittura password del sito Web, forse il numero effettivo è circa 95). Vuoi visitare oltre 100 siti web e trovare una nuova password per ognuno di essi? Quanto tempo ti ci vuole per ricordare anche tutti i 100 siti web in cui hai un account? Che dire dei siti web visitati solo una volta all'anno come il software di preparazione delle tasse? Riesci a ricordare tutti i tuoi nomi utente? Cosa succede se sul sito web numero 99, vi imbattete in una draconiana limitazione della password che significa che la vostra password di base per i primi 99 siti Web non funzionerà? Cambiare nuovamente la password di base e ricominciare da capo? C'è una password di base che funzioni per tutti i siti? Ricorda, alcuni siti richiedono caratteri speciali, alcuni vietano loro. Alcuni hanno un minimo di 12 caratteri, alcuni hanno un massimo di 10.

Per un periodo ho utilizzato un set di password riutilizzate 4-5 su tutti i miei siti, con una password diversa per ogni "livello di sicurezza", ovvero avevo la mia password bancaria, la mia password social, la mia password del sito usa e getta , ecc. e un'altra password completamente unica per la mia e-mail dal momento che potrebbe essere utilizzata per reimpostare le password su una delle altre. Un giorno ho saputo di una breccia in un sito che stavo usando e ho attraversato questo processo. La seconda volta che questo è accaduto, quando ho incontrato i requisiti della password draconiana in conflitto, ho rovinato la mia password condivisa ANCORA DI NUOVO, è stato il giorno in cui ho deciso di utilizzare un gestore di password.

Penso che la regola di usabilità di AviD si applichi chiaramente qui: "la sicurezza a scapito dell'usabilità viene a scapito della sicurezza."

TL; DR: utilizza un gestore di password. Esistono molte opzioni sicure.

Ci sarebbero alcuni che potrebbero obiettare: "Non c'è entropia !!! Questo è insicuro !!!" Quindi qui è un punto di partenza. Nei domini di gestione / apprendimento della sicurezza, le password (meccanismi di autenticazione) sono suddivise in:

• Qualcosa che conosci (password)
• Qualcosa che hai (portachiavi / chiave RSA)
• Qualcosa che sei (biometria, scanner di impronte digitali)

Nelle stesse premesse come sopra puoi creare qualcosa di complesso, ma facile da memorizzare. Ci saranno gli oppositori: "Qualcuno può capirlo facilmente" e io non sarò d'accordo con loro di tutto cuore poiché ci possono essere troppe variabili da seguire. Quindi ecco il tuo esempio:

• Qualcosa che conosci: mypassword
• Qualcosa che hai: Twitter
• Qualcosa che sei: latino

SAPPIAvi che hai una parola chiave, diciamo che stai registrando su Twitter e diciamo che sei latino. Puoi concordare la sostituzione del carbone qui: a = @, e = 3, i =!, E così via. Prendiamo un separatore ora # ...

MYP @ ssw0rd # Tw! Tter # L @ t! N

Che ne dici di dire Gmail? = myp @ ssw0rd # GM @! l # L @ tin Che ne pensi della tua banca? = myp @ ssw0rd # myB @ nk # L @ tin

Ora ... Ci sarà qualcuno che risponderà con qualcosa di sdolcinato: "Sì, ma se qualcuno usa un registratore di tasti e vede la struttura ..." Se qualcuno sta monitorando le tue battiture hai problemi più grandi da temere di. Ora, ci sarà qualcuno che dirà qualcosa di sdolcinato come: "Beh, se qualcuno incrina UNA password, l'intera struttura crollerà". Questo non è il caso. Mentre si può PROVARE a infrangere altre password usando quella struttura (qualcosa che hai qualcosa che sei, e qualcosa che conosci), diventa comunque un gioco di ipotesi. "Be ', stanno andando a Citibank ... Fammi provare myp @ ssw0rd # C! T! B @ nk # L @ tin ... Non ha funzionato ..." Avrebbero ancora passato troppe iterazioni di un struttura percepita. Potresti mescolare le cose: "Conoscere, sono, avere" per la finanza, "Are, Have, Know" per gli affari, "Have, know, are" for personal. Ci sono molti metodi per rimuoverlo.

lato negativo? Buona fortuna quando si imbattono in siti che non consentono password complesse. Non c'è niente di sbagliato con i gestori di password. Io uso Lastpass e funziona bene. La mia password principale è di 34 caratteri e la accendo ogni 120 giorni e non la dimentico mai.