I consigli per le password dovrebbero essere diversi per dispositivi, reti e Internet?

5

Ho iniziato a utilizzare un gestore di password l'anno scorso e ho aggiornato quasi tutti i miei account Internet su password straordinarie e univoche, e questo non è un problema, perché accedo solo ai browser Web o al mio telefono, che ha affermato gestore password installato.

Ma l'accesso a livello di dispositivo è una storia diversa. Avere password super-forti e uniche è davvero fastidioso e incline a dover estrarre il telefono per ricordarlo. (utilizzando note protette per ricordare la password)

Ho provato la password complessa per l'accesso a Windows e alla fine ho cambiato la password di stringa dopo una giornata.

Dato che l'accesso alla rete di directory attivo è legato all'accesso al dispositivo, anche l'accesso alla rete è debole. Per fortuna la maggior parte pratica MFA per l'accesso alla rete remota, quindi è buono.

Un'altra password che ho dovuto impostare per essere una stringa debole è il mio account itunes a causa della necessità di inserirla così spesso nell'app store.

Con l'accesso al dispositivo Windows 8 collegato a un account Outlook e l'accesso all'appstore collegato a un account iTunes, non so davvero come avvicinarlo.

Idealmente mi piacerebbe sia raccomandare che PRATICARE password per account internet super-potenti, ma ricordare facilmente le password di accesso ai dispositivi.

Quindi immagino che la mia domanda sia, se le password variano a seconda di cosa si sta accedendo, e in tal caso, qual è la migliore pratica per i diversi tipi di accesso?

    
posta Andrew Hoffman 17.06.2014 - 17:01
fonte

2 risposte

5

Una buona password è un compromesso tra diversi parametri:

  • Valore di ciò che è protetto (questo dovrebbe condizionare lo sforzo investito da potenziali aggressori).
  • Costo della forza bruta (dipende molto dal bersaglio, ad esempio alcuni permetteranno attacchi offline su un valore hash, mentre altri limitano gli attaccanti solo agli attacchi online , con una percentuale massima applicata dal server ).
  • Facilità di memoria.
  • Facilità di accesso (ad esempio, è difficile scrivere in modo efficiente password di maiuscole / minuscole su uno smartphone).
  • Vincoli esterni (dimensioni minime, dimensioni massime, regole rigorose e spesso errate applicate da un amministratore troppo zelante ...).
  • Estensione della potenza della password (ad esempio SSO rende le password applicabili a molti sistemi, anche il riutilizzo della password).

Poiché è un trade-off , una password non sarà mai generalmente perfetta.

Ogni quanto digiti la password è un parametro importante: più spesso lo scrivi, più facile sarà ricordarlo. Per una password che viene inserita quotidianamente, scegli una sequenza di lettere casuali (scelte uniformemente e indipendentemente l'una dall'altra): questo velocizzerà l'ingresso perché puoi raggiungere un livello di entropia molto decente in relativamente pochi caratteri (con solo lettere minuscole lettere, 10 caratteri ti portano già a 47 bit di entropia).

    
risposta data 17.06.2014 - 17:20
fonte
3

I controlli di accesso devono essere proporzionati ai rischi coinvolti. Le migliori pratiche non si applicano.

Le password per i siti dei forum dei prodotti non devono essere complesse come le password dei conti bancari, per ovvi motivi: il compromesso presenta rischi limitati sul sito del forum dei prodotti.

La domanda che devi chiedere a te stesso è, quale livello di rischio sei pronto a sopportare? Se semplicemente non ti interessa, usa la stessa password di 4 caratteri per ogni account, ma presumo che tu ti interessi o che non avresti chiesto.

Un tempo, le persone raramente chiudevano la porta principale perché i rischi di intrusione erano così bassi e l'inconveniente di dover portare una chiave era considerato troppo alto. Ora, non pensiamo nemmeno al disagio di portare le chiavi. È lo stesso con qualsiasi nuovo controllo di accesso. Dopo un po 'ci si abitua, se ne riconosce la necessità.

Per il mio telefono, ho il passcode più complesso che posso generare, perché il rischio per me è alto. Il passcode per il mio iPod è semplice, perché il rischio per me è basso.

I controlli sono scelti in base al rischio. Lascia che il rischio sia la tua guida.

    
risposta data 17.06.2014 - 17:17
fonte

Leggi altre domande sui tag