Se si desidera ricordare le password, è necessario lavorare sulla memoria muscolare o scegliere alcune password facili da ricordare. Tuttavia, Facile da ricordare è anche facile da indovinare. E la "tensione mentale" di ricordare 3-4-5 password di una lunghezza ragionevole con caratteri di tutte le classi diverse (superiore, inferiore, numeri, simboli, anche combinazioni UTF-8 (oh sì, prova ad avere ALT + 4099 nel tuo password)), non vale la pena per l'utente medio.
Quindi, quello che facciamo di solito è riutilizzare o scrivere le nostre password. Il riutilizzo delle password (il n. 2), come dici tu, potrebbe compromettere tutti gli account ad esso associati. Le persone in realtà sembrano capirlo e solitamente riutilizzano le password solo su account che proteggono dati di basso valore.
Annotare le password, tuttavia: sostengo che scrivere le password non è un problema se fatto in modo sicuro. La differenza qui è scrivere la tua password di banca sul retro del generatore OTP o su una nota post-it sul tuo monitor, o se nascondi le password nel tuo portafoglio. Ovviamente, non puoi utilizzare GæμRA ♣ $ 6 (◘F0z03 * ╬ come password Facebook e tenerlo in una cassastrong. È una cattiva usabilità.
Non mi piace neanche l'algoritmo. C'è un po 'di percentuale di "sicurezza per oscurità" lì dentro, quindi comunque improbabile, se qualcuno trova il tuo modello sei fregato. Supponiamo che tu sia un obiettivo di alto valore (lo so, potresti non esserlo, ma potresti avere un po 'di quei soldi gloriosi) e usare il modello su somedisposablemessageboard.com e somepaywallnewspaper.co.uk, due pagine che potrebbero aver appena avuto un perdita di password. Se il tuo aggressore è un po '"cognitivamente capace", potrebbe solo trovare il tuo pattern e provare BaAnk $ taticPa $$ word (composto da "Bank", "Anna" e "$ taticPa $$ word"), che è la tua password bancaria .
I gestori di password sono una funzione di archiviazione di cui ti fidi a mantenere le tue password per te. Ad esempio, LastPass funziona con un plugin per una facile autenticazione. In questo modo, inserisci la password principale (che dovrebbe essere difficile da indovinare, ma sarà la tua unica password, puoi sopportarla) una volta per sessione browser (IIRC) e continua a scaricare le password da LastPass al tuo servizio. C'è un altro problema qui, per il particolare paranoico. Immetti la tua password principale sulla tua tastiera nel browser, nel senso che è una memoria memorizzata e può (teoricamente almeno) essere letta da un trojan. Inoltre, i keylogger potrebbero accendersi al tuo arrivo su LastPass.com, raccogliendo la tua password. Entrambi hanno la chiave del castello.
(fatto divertente: le password LastPass sono crittografate con una chiave generata dalla tua password principale utilizzando 500 iterazioni di PBKDF2, una funzione di derivazione della chiave. 500 iterazioni sono la metà del minimo assoluto per tale uso specificato nel documentazione PBKDF , e potrebbe non sopportare la forza bruta se la memoria criptata le password sono trapelate.)
Quindi, cosa diavolo dovresti fare se non riesci nemmeno a inserire la tua password sulla tastiera? Smetti di preoccuparti, annota le tue password e mettile nel tuo portafoglio. Non scrivere Facebook: ¤ # V & W # V & amp ;, Bank: AybyB% ¤YB¤, Porn: &% HB & 4syby, ecc. Puoi ricordare quale è quale ..
Se sei una spia della CIA, ti suggerisco di utilizzare un dispositivo esterno con uno schermo per mantenere le tue password. Non dovrebbe essere un altro telefono cellulare, ma un dispositivo dumbed-down. Tuttavia, non dovrebbe mostrare a nessuno le password e non trasferirle mai in chiaro. Funzionerebbe qualcosa del genere:
Facebook: Gimme your password, Anna's PC.
Anna's PC: Hang on, I've got that cool external device!
Facebook: Yo, Anna. Authenticate by making your device calculate this challenge using our shared secret (the password) and a hash function (or KDF)!
Anna's auth device: HASH = KDF(Salt, (secret + challenge), Iterations (10000000)
Anna's PC: Hey FB. Response to challenge is boogaboogawhatever89646y7547645
Facebook: Wow, I got HASH = boogaboogawhatever89646y7547645 too! Why, you must be Anna!
(Facebook gate opens)
Se sei veramente pazzo, compra un Lettore di codice a barre USB e crea la tua password bancaria con un paio di codici a barre. Suppongo che potresti aver bisogno di diversi codici per password, tuttavia, poiché questi dispositivi (IIRC) leggono solo numeri. 7025943875928759843758924759834759843725098347527465243785942365674382568347567345454735276567543356728578535 è una buona password, eh? Scansiona i codici a barre della tua banca e ti trovi.