Questa idea per una password sarebbe sicura? [duplicare]

5

stavo pensando alla sicurezza delle password questa mattina. Soprattutto, riguardo al recente hacking adobe che ha rilasciato migliaia di password.

Il problema attuale con le password esistenti è che hai tre opzioni:

  • Utilizza la stessa password su tutti i siti
  • Utilizza alcune password per siti diversi (conti bancari, siti web / account di giochi, e-mail, ecc. tutti ne ricevono uno
  • Ottieni un programma come lastpass che deve essere installato su tutti i computer che vuoi utilizzare per accedere a un sito web.

I primi due sono molto insicuri ma facili da ricordare. Quest'ultimo è molto sicuro, tuttavia scomodo perché non è possibile utilizzarlo su, diciamo, un computer pubblico. Questo in pratica ti blocca da qualsiasi computer su cui non hai permessi di installazione.

Quindi ho pensato a questa idea:

  • Inizia con una base sicura, come fWi3$aLj che verrà utilizzata su ogni sito web
  • Aggiungi le prime tre lettere dell'URL alla fine, in modo che ogni sito web abbia la sua password
  • Aggiungi un 1 per .com, 2 per .net, 3 per .org e un 4 per qualsiasi altra cosa fino alla fine
  • Ad esempio, la password di questo sito Web (con la precedente base sicura) sarebbe fWi3$aLjsec1 .

Pro:

  • Ogni sito Web ottiene la propria password (tranne in rari casi, ma la password sarà applicabile a pochissimi altri siti Web)
  • È una password molto sicura in quanto devi solo preoccuparti di ricordarne una, quindi puoi renderla molto complessa (perché non dovrai ricordarne una nuova per ogni sito web)
  • Se un database è trapelato o la tua password viene trovata in un altro modo, devi solo preoccuparti di cambiare la password per quel sito web
  • Non devi ricordare più password
  • A meno che tu non lo dica a qualcuno, non c'è modo per nessuno di capire che lo stai facendo
  • Non hai bisogno di alcun software speciale o altro

Quindi mi chiedevo se ci fossero degli aspetti negativi in questo. L'ho appena inventato oggi, tuttavia penso che potrei andare a cambiare le mie password se ora ci sono degli aspetti negativi.

    
posta user34311 17.11.2013 - 07:38
fonte

5 risposte

5

Una password è strong. Ma dove fallirebbe in modo spettacolare è se l'hacker incrocia il tuo ID utente tra due diversi siti compromessi.

Site           UserID               Password
-------------  -------------------  ------------
Adobe          [email protected]  fWi3$aLjado1
Sony           [email protected]  fWi3$aLjson1

Le somiglianze suggeriscono un semplice test. Usa google per trovare un utente34311 da qualche parte sul web:

stackexchange  [email protected]  fWi3$aLjsta1

E il successo porta a mirare a un pagamento:

Citibank       [email protected]  fWi3$aLjcit1
Chase          [email protected]  fWi3$aLjcha1
Wells Fargo    [email protected]  fWi3$aLjwel1
    
risposta data 18.11.2013 - 03:42
fonte
4

No . Questo non è significativamente più sicuro rispetto all'utilizzo della stessa password ovunque.

Il punto di utilizzo di password diverse su siti Web diversi è che se una password viene compromessa, non possono accedere agli altri siti Web. Con il tuo approccio, mentre è vero che sono password diverse, se un utente malintenzionato conosce una password, è probabile che capisca le altre.

    
risposta data 17.11.2013 - 14:55
fonte
0

Penso che la tua idea sia buona (ho il mio algoritmo), ma ho trovato uno svantaggio:

  • La modifica della password potrebbe essere difficile. Voglio dire, è una buona pratica cambiare periodicamente le password, ma ci specifica anche di cambiare l'algoritmo di creare una password.

Il problema parte da qui: come puoi dirti se è una seconda, terza ... generazione di password, quale algoritmo deve essere usato?

Questo tipo di gestione delle password non è più sicuro di altri, ma ti aiuterà a ricordare le tue password senza memorizzarle ovunque, che è - possiamo dire - non protette.

    
risposta data 17.11.2013 - 12:52
fonte
0

Ho pensato a un sistema di password simile per un po '. Ho appena scelto alcune variabili più complesse come la somma delle cifre del codice postale ecc., Ma non è questo il punto.

Come altri hanno notato, è ancora possibile scoprire il tuo modello. Penso che se qualcuno ha almeno due delle tue password, questo non dovrebbe essere molto difficile. Ma penso che ci sia una soluzione semplice a questo problema: basta cancellare la tua password del sito e magari mescolare l'hash con alcuni caratteri speciali per renderla più strong.

È anche possibile aggiungere un contatore (o, ad esempio, l'anno di generazione della password) a ogni singola password. In questo modo è possibile cambiare facilmente le password. Forse hai mantenuto l'anno o il contatore in un file o database, ma per i tuoi siti più visitati non dovrebbe essere difficile ricordare il contatore.

L'unico problema che vedo con questo sistema è il calcolo degli hash senza lasciare tracce (specialmente su computer pubblici). Ciò potrebbe essere possibile con una piccola applicazione Web in esecuzione sul proprio spazio web o server su una connessione protetta.

    
risposta data 18.11.2013 - 00:48
fonte
0

Punto di vista del pirata informatico.

Hipotesis : sono un pericoloso hacker. Gestisco alcuni siti Web per scopi non importanti, ma con la gestione standard degli account. Poiché il mio obiettivo è quello di rubare le password, il mio database delle password non è hash o criptato (solo nascosto) ... O forse, ho semplicemente preso il database delle password da alcuni adobe , hotmail e alcuni altri ...

Quindi la tua password è costruita in due parti distinte. Ma come hai creato un account su due diversi dei miei siti compromessi:

  • La prima parte potrebbe essere identificata molto rapidamente.
  • Anche la seconda parte è distinguibile e poiché non esiste una parte casuale, c'è solo da capire come . Ma niente altro da fare.

Sì, da lì, ho solo bisogno di conoscere due della tua password per poter indovinare tutti gli altri .

Grazie per aver condiviso la tua password!

    
risposta data 18.11.2013 - 08:13
fonte

Leggi altre domande sui tag