È sicuro utilizzare password simili su diversi account?

Questa è una domanda interessante. Una regola generale nella crittografia è che la creazione di qualsiasi schema in chiavi o password è una cattiva idea, perché i modelli indeboliscono il sistema. Ad esempio, nel tuo caso diciamo di accedere a 10 siti Web utilizzando una password di base di myb @ s5PW e aggiungi un suffisso della password alla fine. Forse per lo scambio di stack si usa myb @ s5PWstEX, per il sito di blog si usa mhb @ s5PWblSI, ecc. O forse si usano invece aamyb @ s5PW e bbmyb @ s5PW. O c'è uno schema discernibile, anche se è nota una sola password.

Supponiamo che Stack Exchange sia stato violato (vulnerabilità sconosciuta zero day, nulla che potessero fare al riguardo) e che siano state acquisite tutte le password degli utenti, compresa la tua. Sono sicuro che da qualche parte qualcuno sta mettendo queste informazioni in un database, così che il DB avrà quindi il tuo nome utente con una password accanto. Diciamo che il sito del blog è stato violato allo stesso modo, quindi ci sarebbero due password collegate al tuo nome utente con uno schema facilmente comprensibile. Se qualcuno volesse hackerare uno dei tuoi altri account, tutto ciò che dovrebbero fare è fare ipotesi plausibili basate sul modello. Potresti renderlo più difficile rendendo i tuoi pattern più complessi, ma è così facile da forzare brute-force tutte le combinazioni di myb @ s5PW che nessuna quantità di complessità non lo renderà così strong. Se fosse vero, non sarebbe un tentativo per un attaccante di capire il tuo modello anche con un solo esempio, se lo cercassero, ma è improbabile che uno provasse a meno che non lo bersaglia specificamente.

Quindi, da una prospettiva di rottura del codice, è una cattiva idea, ma come tante altre cose in sicurezza non è l'unico fattore. Il fatto è che la maggior parte delle persone usa la stessa password per più siti senza alcuna variazione, quindi un hacker che ottiene la password per un sito in molti casi avrà accesso a molti altri siti. Perché un hacker dovrebbe passare alla ricerca di schemi quando potenzialmente ha milioni di account utente da toccare senza alcun tipo di lavoro? Solo se ti prendono di mira specificamente dovresti preoccuparti di questo.

Aggiungi a questo il problema di ricordare password multiple e complesse. A meno che tu non sia Rain Man, non sarai mai in grado di memorizzare 40 password complesse, quindi avere un sistema di password di base che abbia senso per te, ma prenderebbe un po 'di lavoro per capire è una soluzione praticabile per i problemi di autenticazione di oggi.

Come per tenerli tutti ben dritti scrivili e conservali in una scrivania chiusa al lavoro o in un cassetto chiuso a chiave nella tua casa. Seriamente, la stragrande maggioranza delle persone che stanno cercando di ottenere la tua password sono probabilmente a metà strada da te, che sta per irrompere nella tua casa o lavora per ottenere le password nel tuo account di scambio stack!

Questo è un approccio basato su qualcuno con un livello medio di rischio. Se fai conosci qualcuno che potrebbe entrare nella tua casa per ottenere le tue password, allora usare una sorta di modello nelle tue password è una cattiva idea.

SE un abile attaccante concentra i suoi sforzi solo su di te, SE riesce a compromettere la password di uno dei tuoi account, sì potrebbe potenzialmente compromettere tutti gli altri account che possiedi provando una variazione della password che ha compromesso.

Tuttavia, quanto è probabile che a meno che le tue password non sbloccino milioni di dollari o preziosi documenti top secret?

Con le attuali tecniche di cracking delle password - database dump, crack 80% delle password nel database usando gli attacchi di dizionario - direi che è sicuro.

Se la password è sufficientemente lunga e complessa, anche l'hash della password compromessa potrebbe non essere facilmente risolto.

Se un utente malintenzionato accede alla tua password in testo semplice, ad es. tramite a sito web archiviazione password come plain testo , o rompendo gli hash (piuttosto facile su una GPU), potrebbe probabilmente dedurre qualsiasi schema che coinvolge il nome del sito, ad esempio "stackRealPassword", "gmailRealPassword", "bankRealPassword".

Penso che tu abbia frainteso il modello di sicurezza dei gestori di password. Se scegli una singola password unica e valida e la memorizzi, sei al sicuro finché il gestore della password è sicuro e la password che hai scelto è segreta e unica. La funzione di derivazione chiave utilizzata in essi è abbastanza lenta da impedire completamente la bruteforcing. Personalmente suggerisco KeePass , dal momento che la funzione di derivazione della chiave può essere modificata (vale a dire il conteggio dell'iterazione modificato) per adattarsi ai propri requisiti di sicurezza personali.

Indipendentemente dalla forza della tua password, suggerisco che non è sicuro conservare la stessa password per tutti i tuoi account, perché anche se la tua password potrebbe essere strong, se si verifica una violazione nel sito per il quale sei iscritto, allora non è sicuro a tutti un problema con la forza della tua password. Quindi mantieni piccole differenze per le tue password che nessuno a parte te può indovinare. Allo stesso modo, le frasi che hai citato, sono abbastanza sicure e belle da ricordare.