È sufficientemente sicuro, purché si utilizzino targhe generate casualmente, non targhe che hanno importanza per te, ma crea un lavoro extra per te che è completamente inutile. La debolezza è che le password sono riutilizzo e archiviazione, non generazione.
Best practice:
-
Supponi che il tuo avversario sappia come hai generato la tua password.
-
Utilizza un gestore di password per evitare il riutilizzo delle password.
-
Scegli una password con un tempo di forza bruta maggiore di due volte il suo periodo di ripristino.
Quindi guardali in ordine -
-
Ti troverai di fronte agli avversari che cercano di usare la forza bruta 1000 * 10000 * 1000 * 10000 combinazioni. Sono 100 trilioni di combinazioni. Una GPU moderata con Hashcat può passare miliardi di hash al secondo, per algoritmi hash più veloci. Se un avversario conosce il tuo algoritmo, sarà rotto in una frazione di secondo. Posso discutere sul motivo per cui dovresti dare per scontato che un hacker conosca il tuo algoritmo, ma si riduce a "Non sai che NON CONOSCONO il tuo algoritmo". Tieni presente che esiste una grande differenza tra "una password generata casualmente che assomiglia a un numero di targa" e "una password generata da una raccolta casuale delle tue licenze precedenti"
-
Se si riutilizza una password, ci si fida che ciascun fornitore non acquisisca la password in testo normale e la utilizzi per compromettere gli altri account. Confiderai anche che non verranno mai violati. Ti stai fidando che se vengono violati, noteranno. Ti stai fidando che se lo noteranno, te lo diranno. Ti stai fidando del fatto che ricorderai tutti i luoghi in cui hai riutilizzato quella password e li hai modificati tutti. Questa è una grande fiducia - forse non ti importa di alcuni siti web (io personalmente riutilizzo una password debole ma memorabile per account che non mi interessano veramente - forum Subaru, nexusmods, ecc.) Ma per banche, e-mail e altri servizi, sicuramente non vuoi che qualcosa venga compromesso a causa di malizia o negligenza. Quindi, userete password diverse per servizio.
-
Ora dovrai verificare che la tua password sia abbastanza strong da durare il doppio del periodo di reimpostazione della password - Se non resetti mai una password, supponi che vivrai fino a 100 e vai per più di 2 secoli. Il tuo schema password passa questo a condizione che le "targhe" che scegli siano generate casualmente. Se non lo sono ... non dureranno a lungo se qualcuno vuole entrare nel tuo account.
Quindi, ora abbiamo password lunghe e sicure che non sono condivise tra i siti. Se sei come me, hai almeno 10 diversi account online importanti che potrebbero causare un profondo dolore finanziario, o almeno un investimento di grandi dimensioni, se compromesso. So che non riesco a mantenere 10 password nella mia testa - finirò solo ricordando la mia password di posta elettronica, e quindi reimpostando la mia password ogni volta che vado ad accedere ad altri servizi. Non molto comodo, eh?
Quindi, come tutti gli esperti di sicurezza, useremo un gestore di password. Sono parziale con KeePass. Quindi, ho messo tutte le mie password generate in modo intelligente in KeePass, giusto? E quando creo un nuovo account, genero una nuova password usando il tuo generatore di targhe online, o faccio ancora più fatica a scavare nel mio elenco di targhe di proprietà precedente e faccio una password a mano. Ora sono tutto pronto. MA ASPETTA, CHE COSA È? KeePass ha un generatore di password! Posso semplicemente fare clic su questo piccolo pulsante e ottenere una password che so per essere sicuro automaticamente! Perché non lo faccio?!
** Quindi - Mentre la password è protetta da sola, è necessario utilizzare un gestore di password per evitare di riutilizzare le password. Poiché utilizzi un gestore di password, utilizza semplicemente il generatore di password integrato. È più semplice.
Ora, per la password per proteggere il tuo database KeePass, usa lo schema di generazione della password, se lo desideri. **