Metodi per ricordare le password sul Web [duplicate]

4

Qual è il modo meno doloroso per gestire le password per gli account utente che hai su vari siti?

Vedo solo 3 opzioni:

  • Gestore password. Le password possono essere diverse e forti, ma il lato negativo è che hai ancora bisogno di una password principale, che dovrebbe essere debole per poterla ricordare, come JohnDoe45. Se qualcuno vi accede, tutte le password sono compromesse. Inoltre, se il file di dati della password viene perso, sei fregato.

  • Una singola password per ogni sito che puoi facilmente ricordare. Il rovescio della medaglia è che se qualcuno lo trova, tutti i tuoi account da altri siti sono compromessi.

  • Password diverse che utilizzano un algoritmo personale. Come i primi due personaggi del sito + i primi due personaggi del tuo nome + l'ultimo carattere del sito + qualunque.

L'ultima opzione sembra la scelta migliore per me. Cosa pensi? Ci sono metodi migliori che mi mancano?

    
posta Anna 16.01.2013 - 20:09
fonte

6 risposte

1

Se si desidera ricordare le password, è necessario lavorare sulla memoria muscolare o scegliere alcune password facili da ricordare. Tuttavia, Facile da ricordare è anche facile da indovinare. E la "tensione mentale" di ricordare 3-4-5 password di una lunghezza ragionevole con caratteri di tutte le classi diverse (superiore, inferiore, numeri, simboli, anche combinazioni UTF-8 (oh sì, prova ad avere ALT + 4099 nel tuo password)), non vale la pena per l'utente medio.

Quindi, quello che facciamo di solito è riutilizzare o scrivere le nostre password. Il riutilizzo delle password (il n. 2), come dici tu, potrebbe compromettere tutti gli account ad esso associati. Le persone in realtà sembrano capirlo e solitamente riutilizzano le password solo su account che proteggono dati di basso valore.

Annotare le password, tuttavia: sostengo che scrivere le password non è un problema se fatto in modo sicuro. La differenza qui è scrivere la tua password di banca sul retro del generatore OTP o su una nota post-it sul tuo monitor, o se nascondi le password nel tuo portafoglio. Ovviamente, non puoi utilizzare GæμRA ♣ $ 6 (◘F0z03 * ╬ come password Facebook e tenerlo in una cassastrong. È una cattiva usabilità.

Non mi piace neanche l'algoritmo. C'è un po 'di percentuale di "sicurezza per oscurità" lì dentro, quindi comunque improbabile, se qualcuno trova il tuo modello sei fregato. Supponiamo che tu sia un obiettivo di alto valore (lo so, potresti non esserlo, ma potresti avere un po 'di quei soldi gloriosi) e usare il modello su somedisposablemessageboard.com e somepaywallnewspaper.co.uk, due pagine che potrebbero aver appena avuto un perdita di password. Se il tuo aggressore è un po '"cognitivamente capace", potrebbe solo trovare il tuo pattern e provare BaAnk $ taticPa $$ word (composto da "Bank", "Anna" e "$ taticPa $$ word"), che è la tua password bancaria .

I gestori di password sono una funzione di archiviazione di cui ti fidi a mantenere le tue password per te. Ad esempio, LastPass funziona con un plugin per una facile autenticazione. In questo modo, inserisci la password principale (che dovrebbe essere difficile da indovinare, ma sarà la tua unica password, puoi sopportarla) una volta per sessione browser (IIRC) e continua a scaricare le password da LastPass al tuo servizio. C'è un altro problema qui, per il particolare paranoico. Immetti la tua password principale sulla tua tastiera nel browser, nel senso che è una memoria memorizzata e può (teoricamente almeno) essere letta da un trojan. Inoltre, i keylogger potrebbero accendersi al tuo arrivo su LastPass.com, raccogliendo la tua password. Entrambi hanno la chiave del castello.

(fatto divertente: le password LastPass sono crittografate con una chiave generata dalla tua password principale utilizzando 500 iterazioni di PBKDF2, una funzione di derivazione della chiave. 500 iterazioni sono la metà del minimo assoluto per tale uso specificato nel documentazione PBKDF , e potrebbe non sopportare la forza bruta se la memoria criptata le password sono trapelate.)

Quindi, cosa diavolo dovresti fare se non riesci nemmeno a inserire la tua password sulla tastiera? Smetti di preoccuparti, annota le tue password e mettile nel tuo portafoglio. Non scrivere Facebook: ¤ # V & W # V & amp ;, Bank: AybyB% ¤YB¤, Porn: &% HB & 4syby, ecc. Puoi ricordare quale è quale ..

Se sei una spia della CIA, ti suggerisco di utilizzare un dispositivo esterno con uno schermo per mantenere le tue password. Non dovrebbe essere un altro telefono cellulare, ma un dispositivo dumbed-down. Tuttavia, non dovrebbe mostrare a nessuno le password e non trasferirle mai in chiaro. Funzionerebbe qualcosa del genere:

Facebook: Gimme your password, Anna's PC.

Anna's PC: Hang on, I've got that cool external device!

Facebook: Yo, Anna. Authenticate by making your device calculate this challenge using our shared secret (the password) and a hash function (or KDF)!

Anna's auth device: HASH = KDF(Salt, (secret + challenge), Iterations (10000000)

Anna's PC: Hey FB. Response to challenge is boogaboogawhatever89646y7547645

Facebook: Wow, I got HASH = boogaboogawhatever89646y7547645 too! Why, you must be Anna!

(Facebook gate opens)

Se sei veramente pazzo, compra un Lettore di codice a barre USB e crea la tua password bancaria con un paio di codici a barre. Suppongo che potresti aver bisogno di diversi codici per password, tuttavia, poiché questi dispositivi (IIRC) leggono solo numeri. 7025943875928759843758924759834759843725098347527465243785942365674382568347567345454735276567543356728578535 è una buona password, eh? Scansiona i codici a barre della tua banca e ti trovi.

    
risposta data 17.01.2013 - 08:08
fonte
1

Per gestire password, vedi questa risposta : il trucco non è quello di < em> ricorda loro, ma per memorizzare le password in qualche area di archiviazione "abbastanza sicura".

Se vuoi davvero ricordare le password, con il tuo cervello, allora il mio consiglio sarebbe di costringerti a digitarle spesso, almeno ogni giorno. Le dita sono meglio delle cellule cerebrali in questo tipo di lavoro (si chiama memoria muscolare ). Naturalmente, questo non è pratico per le password Web "in generale". Quello che puoi fare è dividere le tue password in due categorie:

  • le password che utilizzi molto spesso e memorizzate nel tuo cervello;
  • le password che utilizzi raramente e memorizzate in un file.

(Esistono vari sistemi di archiviazione, ma un semplice file può essere abbastanza sicuro, se lo fai correttamente, di nuovo, guarda la precedente risposta a cui mi collego.)

    
risposta data 16.01.2013 - 22:47
fonte
0

Compagni, ah il mondo delle password! Così affascinante, a seconda di quale lato li stai guardando! Personalmente, penso che l'uso di un algoritmo personale sofisticato insieme ad alcuni salettamenti algoritmici personali, sembra essere il più sicuro.

Il problema con le password algoritmiche semplici è che se gli amministratori di un sito web potevano vedere la tua password in chiaro, potrebbero capire il tuo algoritmo personale e usarlo su altri siti web.

Nella mia esperienza, ho scoperto che una delle più grandi minacce alle password è la possibilità di resettarle, sia dall'esterno (dal web), sia dall'interno (cioè dagli ambienti aziendali).

Quindi un algoritmo personale sofisticato + un sale algoritmico personale è quello che userei.

La mia password ofcourse è MyPwd * StackEx7 (o come dici in America, NON! ...; -))

    
risposta data 17.01.2013 - 03:20
fonte
0

Normalmente vado con questo:

Se hai poca esperienza di programmazione (o desideri imparare), crea un piccolo script (php / perl / java / bash / qualunque) per generare password basate su una stringa. Ad esempio:

$ ./genpass facebook.com

All'interno dello script "genpass" (meglio chiamarlo qualsiasi altra cosa), puoi usare quanti algoritmi di cifratura / hash vuoi. Puoi anche chiedere una password (tipo di master) e usarla come sale. Quindi, si taglia la stringa risultante, da 14 a 20 caratteri, che è possibile utilizzare per la password.

I vantaggi sono che non vengono memorizzate password e solo tu sai come generarle. Puoi aggiungere sempre più siti a quella lista senza dover fare nulla. Poiché è il tuo metodo personale (personalizzato), solo il tuo bisogno di fare attenzione a non mostrarlo davanti a nessun altro.

Basandomi su questa idea, ho creato uno script (in JS) che utilizza l'entropia di qualsiasi file (JPG, DOC, MP3, ecc.) e genera una password che puoi usare. Poiché è Javascript, puoi utilizzarlo offline e devi solo ricordare quale file è per quale sito (puoi creare una directory e memorizzare lì alcuni loghi del sito, per esempio). Si chiama " file2pass " (puoi vedere alcuni demo).

Utilizzo questi metodi da 2 anni e non conosco le mie password (ad eccezione di quelle che uso tutti i giorni). Li genera al volo.

    
risposta data 20.02.2014 - 11:08
fonte
0

The last option seems the best choice for me (Different passwords using a personal algorithm). What do you think? Are there better methods which I'm missing?

Penso che un gestore di password sia il migliore.

Tuttavia, se desideri consigli sull'utilizzo di un algoritmo personale, farò il possibile per aiutarti!

Dovresti considerare di impedire ai proprietari dei siti web di vedere qualsiasi pattern tu usi. Questo è un problema simile ai proprietari di siti Web che vogliono impedire agli hacker che rubano il loro elenco di password di vedere tutte le password, quindi possiamo applicare riduzioni simili.

NOTA: è necessario anche un modo per modificare le password dopo le violazioni. Nel mio esempio qui sotto, ho preso l'approccio semplicistico di avere l'anno e il mese in the salt, assumendo che tu cambi le tue password cambiate mensilmente.

Il modo migliore per farlo sarebbe utilizzare PBKDF2, Bcrypt o Scrypt te stesso per generare la tua password. Ad esempio, è possibile utilizzare l'implementazione di Python PBKDF2 di Mitsuhiko con patch warner's (cambia la riga" rv = starmap (xor, izip (rv, u)) "in" rv = list (starmap (xor, izip (rv, u) )) "), o una chiamata openssl, ecc. per utilizzare sia una password che una salt e avere un numero elevato di iterazioni. Utilizzare idealmente SHA-512 invece del predefinito SHA-1, e meno idealmente usare solo l'uscita Base64.

Il comando potrebbe essere simile a:

pbkdf2 MyPw*forsites salt201402YnU7StackExchange 131072 20

Come minimo *, potresti usare un HMAC, ad esempio qualcosa come i primi 20 caratteri di:

echo "MyPw*forsites" | openssl dgst -sha512 -binary -hmac salt201402YnU7StackExchange | openssl enc -base64

* Questo minimo è considerato insufficiente per memorizzare le password di altre persone; considera attentamente se stai bene usandolo per te.

    
risposta data 21.02.2014 - 06:36
fonte
0

Penso che sia possibile ricordare una singola password complessa per una password sicura come LastPass o Password Safe.

Iniziamo con alcune parole casuali che sono strane ma posso ricordarle:

My wag halter was about to be hanged, so he said, to be or not to be that is the question I like big butts and I cannot lie

Quindi usa la prima lettera di ogni parola, mantieni solo una parola come wag halter:

Mwaghalterwatbhshstbontbtitqilbbaicl

Ora capitalizza "capezzale" in modo strano

mwAGhALTERwatbhshstbontbtitqilbbaicl

Ora invece di dire che ti piace il coraggio, diciamo che ti piacciono le grandi placente:

mwAGhALTERwatbhshstbontbtitqilbplacenTASaicl

Genera una password casuale usando uno strumento:

/%kJ:#Goh[5l

Inserisci quattro (o comunque molti che puoi ricordare) di questi personaggi in determinate località che ricordi o in un luogo casuale:

mwAGJhA:LT#ERGwatbhshstbontbtitqilbplacenTASaicl

Questa è solo un'idea, ma penso che molte persone possano memorizzare qualcosa di simile.

Se lo desideri, puoi anche aggiungere 20 caratteri in più da aggiungere alla tua password e metterla nel tuo portafoglio. In questo modo, se qualcuno trova il tuo portafoglio probabilmente non può ancora infrangere la password sopra.

Un articolo pertinente sull'argomento: link

A volte uso passphrase meno potente per cose come email o Netflix dove voglio una password abbastanza strong, ma qualcosa che posso ricordare la maggior parte delle volte se non ho la mia password sicura. Per altri siti ho appena generato una password sicura solo perché posso. Inoltre, se ritieni che i passaggi precedenti siano troppo difficili, puoi utilizzare una password come questa che è almeno più strong di "JohnDoe45":

AgitPROP5%arrogantCANcer

    
risposta data 21.02.2014 - 21:45
fonte

Leggi altre domande sui tag