Diciamo che dovresti aggiungere un paio di caratteri in più alla tua password, unici per ogni sito che visiti. La password sarebbe in gran parte simile ad eccezione di alcuni caratteri di sale, probabilmente presi dall'URL del sito, dal nome, ecc.
Questo migliorerebbe la sicurezza? E se sì, è un'alternativa valida ai gestori di password?
Ciò di cui stai parlando non è un sale , è solo uno schema e uno che è altamente prevedibile. Supponi, ad esempio, che la tua password su Amazon sia p @ ssw0rd123amazon e che la tua password su Google sia p @ ssw0rd123google e che la tua password su qualche piccolo sito di e-commerce sia p @ ssw0rd123 * sitename *.
Se qualcuno ha hackerato il sito di e-commerce e pubblica tutte le password su Internet, sono là fuori che chiunque può vederle. Non ci vorrà un genio per riconoscere il tuo modello e capire la password che stai usando per Amazon e Google.
I pattern di password non funzionano mai bene e non sono sicuri come penseresti. È meglio ottenere un gestore di password per generare password sicure e salvarle per te, quindi non devi nemmeno pensare alle tue password.
È una buona idea dato che fornisce una password diversa per ogni sito. Non renderei la parte unica troppo ovvia. Nel caso in cui una password viene fatta trapelare, qualcuno potrebbe indovinare gli altri. Quindi non fare "passwordSITEname" per esempio. Se viene fatta trapelare, un utente malintenzionato proverà "passwordNEWSITEname".
Sono un fan dei gestori di password e penso che dovrebbero essere usati da tutti.
Per analizzarlo dobbiamo riflettere attentamente sui vari scenari che stabiliscono quali sono le conoscenze dell'attaccante , quindi ragionare su quali altre informazioni possono dedurre.
La risposta di Mark Burnett ci fornisce già uno di questi scenari: se l'attaccante acquisisce la tua password da uno dei siti, allora conoscono tutti tranne due caratteri della tua password negli altri (prendendo il tuo suggerimento di usare "un paio" di sale caratteri letteralmente), e quindi può facilmente indovinare gli altri. Dal momento che l'utilizzo di password diverse in siti diversi è quello di proteggerti da un utente malintenzionato che impara la tua password in un sito, questo praticamente spara la tua proposta già, direi.
Ecco un secondo scenario: l'autore dell'attacco non conosce nessuna delle tue password, ma sa che potrebbe costruirle in base alla regola che hai descritto, che ti spiegherò come in questo modo:
Se l'attaccante sa che crei le tue password in questo modo, le strategie per indovinare # 1 si adattano molto facilmente per indovinare # 2, perché il sale a due caratteri aggiunge a malapena qualsiasi entropia alla password principale.
Terzo scenario: un utente malintenzionato che non conosce nessuna delle tue password, né sa o indovina che le costruisci secondo questa procedura. Quindi direi che se è efficace dipende da quale strategia usano per indovinare le password. Dovresti conoscere o indovinare la loro strategia di indovinare la password, cosa che non fai. Ma poi non hai motivo di credere che il tuo schema di password sarà più o meno sicuro di un'alternativa.
L'unica virtù che posso vedere su questo, quindi, è che rende le tue password più facili da ricordare. Ma penso che il primo scenario spari l'intero approccio verso il basso, punto. E il fatto triste è che le cose che rendono le password più facili da ricordare in genere le rendono anche più facili da indovinare.