Come riutilizzare le password in modo sicuro nella variazione?

Naviga le tue risposte
3

Ricordare molte password è difficile. Molte persone usano lo stesso o un piccolo set di password per tutto.

Naturalmente, questo è molto pericoloso. Se una tale password viene rubata una password, l'avversario potrebbe entrare in diversi o forse tutti i tuoi account.

Diciamo che ho la password di base Fo0b @ rPW che vorrei riutilizzare in ogni account che uso.

Fo0b @ rPW google ; Fo0b @ rPW facebook ; e così via

Questo è almeno un po 'più sicuro del riutilizzo della stessa password ma ancora piuttosto vulnerabile agli attacchi di dizionario.

Come posso modificare una singola password in modo sicuro, ma ricordo ancora quale è la variante per ogni sito?

Un'idea che ho è di aggiungere cifre specifiche a offset specifici come:

Fo0b @ rPWgo 2 og 4 le 6 ; Fo0b @ rPWfa 2 ce 4 bo 6 ok 8 ; e così via.

Modifica
Il problema è che qualcuno che potrebbe ottenere una sola password in formato testo, è in grado di capire le altre password. Ciò significa che anche la parte specifica del sito deve diventare parte dell'entropia.

Ora se uso una sorta di algoritmo elaborato come

Take the first digit of host name. Take the crossfoot of that digit's dec ASCII value . From the offset(crossfoot), insert a string with the length(host name) Invert that substring, if offset is round number

Qualcosa come:

fo0b@rPWfac12345678ebook
fo0b@rPWgoog654321le

    
posta Sempie 01.10.2015 - 12:49
fonte

1 risposta

7

In sicurezza assumiamo sempre che l'algoritmo sia noto, in quanto aggiungere una struttura a una password non ti aiuterà ad aumentare la sua entropia (forza). Questo come un lato informativo pensato come questo non è l'oggetto della domanda.

Supponendo che la tua "password di base" abbia abbastanza entropia (è abbastanza strong) il tuo metodo proposto è in effetti piuttosto sicuro supponendo che tutti i siti che usi questo metodo abbiano cancellato le loro password.

La sicurezza del metodo si basa sul fatto di non essere in grado di utilizzare la password ottenuta da un sito violato per accedere ad altri siti. Questo è il caso quando la tua password è hash.

Tuttavia, se un sito non ha hash la tua password, o ha una vulnerabilità nel loro hash. L'intero sistema è vulnerabile.

Ciò che il tuo sistema fa effettivamente è aggiungere "sale" al sistema. Molti siti già fanno questo per te, le migliori pratiche lo richiedono. Quindi quello che stai facendo in pratica è aggiungere il tuo sale che potrebbe aiutare con i siti che eseguono l'hash della loro password ma non aggiungono sale. Quindi, contrariamente ad usare la stessa password ovunque, aumenta la sicurezza ma non molto.

Pertanto non consiglierei tale metodo e direi che un gestore di password, anche se hanno i loro problemi, è una soluzione più sicura al problema con la password.

    
risposta data 01.10.2015 - 13:02
fonte

Leggi altre domande sui tag

Un kernel monolitico è più sicuro di un microkernel per un SO piccolo? Per la massima sicurezza è meglio collegare le librerie OpenSSL in modo statico o dinamico?