Scegliendo una buona password - di nuovo

3

Qui ci sono molte domande relative alle password, ma non sono riuscito a trovare la risposta alla mia. Non sono esperto quindi forse non ho le parole chiave giuste. Ci scusiamo per qualsiasi duplicato per una possibile domanda di 100 volte.

Sono solo un utente normale che vuole avere una buona password. Da quello che ho capito, la soluzione migliore è avere un (buon) gestore di password. Il problema con il gestore delle password è che, per i pochi che conosco, non puoi accedere al tuo account su un determinato sito web da qualcun altro laptop (a meno, forse, se installi l'app di gestione password su quel portatile e la sincronizzi con il tuo account, che è ancora fastidioso).

Quindi, c'è il compromesso su fondamentalmente, l'entropia della password, il fatto che è necessario ricordarlo e il fatto che non si dovrebbe usare il doppio della stessa password.

Quindi mi chiedevo se esistesse una sicurezza aggiuntiva speciale effettuando le seguenti operazioni:

  • prendi una password facile: es: foo
  • vai al sito web website.com
  • applica ad esso una semplice funzione che trasforma foo_website.com per dire, 1634d6f7c5148738bfac403c2a59fdf1
  • usalo come password per accedere su website.com

Il vantaggio rispetto a un gestore di password è che posso generare la mia password da qualsiasi laptop se ricordo sia la password che la funzione. Qui la password è un md5 hash e md5 che è implementato su molte macchine, quindi niente da ricordare ma foo.

Le mie domande sono:

  • Esiste un gestore di password che soddisfi la necessità di accedere da un altro computer (che non è il tuo)
  • Altrimenti, è lo schema che fornisce un buon compromesso in questa situazione di trade-off, o è altrettanto brutto di riutilizzare la stessa password indipendentemente dall'entropia.
  • [NOVITÀ!] Quanto è facile decifrare una funzione, sia semplice, non sapendo nemmeno se viene utilizzata una funzione? Dì, io sono un bersaglio, come si può rompere la mia password o la mia funzione?
  • Infine, ho visto che alcuni di voi stavano usando il concetto di file password.txt a bassa tecnologia [modifica] come mezzo per gestire la password [\ edit]. Cosa significa ? È solo un semplice file di testo con tutta la tua password? Quanto è sicuro?

Inoltre, si noti che non ho uno smartphone, e che sono consapevole che non sarà migliore di un gestore di password e che la sicurezza è a scapito dell'usabilità. Mi chiedo se fare questo aggiunga un livello significativo di sicurezza, paragonato ad avere una password molto strong diversa da quella che ricordi (mettendo da parte il gestore delle password).

    
posta jrjc 09.10.2015 - 17:08
fonte

3 risposte

2

Il tuo tentativo di stabilire la teoria alla base della creazione della password presenta alcune carenze. Lasciami spiegare

  • Prendendo una password facile come foo e il tentativo di trasformare for_website.com porterà l'autore dell'attacco a creare una serie di file che gli consentiranno di entrare nella funzione semplice e quindi generare un elenco di tutti gli hash utilizzando una combinazione di attacco dizionario e un elenco della maggior parte dei siti Web utilizzati e utilizzarli come uno degli input per il password cracker. Ecco perché gli algoritmi crittografici sono alquanto complessi nel loro funzionamento.

Per rispondere alla tua altra domanda:

  • Utilizza un gestore di password sul tuo dispositivo di mobilità. Prova alcune delle app disponibili nel tuo negozio del sistema operativo.

  • Direi che è così brutto. Perché non c'è guadagno significativo nella sicurezza. Faresti meglio a usare altri metodi comprovati disponibili.

  • Dipende totalmente dal contesto. Generalmente indica un elenco di password in un file di testo che potrebbe essere utilizzato come input negli strumenti di cracking o potrebbe anche indicare un elenco di password compromesse.

risposta data 09.10.2015 - 19:01
fonte
1

Uso la versione a pagamento di LastPass come gestore di password. Cercherò di rispondere alle tue domande descrivendo la mia esperienza con LastPass.

La mia password principale è solo semi-complessa, è qualcosa per me facile da digerire perché la rinforzo con 2FA e un avviso e-mail quando ci si connette da qualsiasi nuova posizione / dispositivo / browser.

Oltre al mio nome utente / password principale, non c'è niente da ricordare. La maggior parte delle mie password LastPass genera casualmente 16 combinazioni di caratteri, con un ulteriore livello di 2FA per i servizi finanziari.

LastPass ha un'applicazione autonoma che tengo su una pen drive. Questo mi dà accesso alla mia password vault senza installare alcun software sul computer locale. Particolarmente utile è una versione portatile di Chromium sulla pen drive, con l'estensione LastPass già installata per il riempimento automatico basato su browser. Se avrò bisogno di uno o due login mentre sono al computer locale, potrei semplicemente richiamare il vault della password sul mio telefono.

    
risposta data 09.10.2015 - 19:33
fonte
1

My questions are:

  • Is there any password manager that satisfy the need to log on from another computer
  • Otherwise, is that scheme providing a good compromise in this multiple trade-off situation, or is just as bad as re-using the same password whatever the entropy of it.
  • [NEW!] How easy is it to crack a function, be it simple, not even knowing if a function is used ?
  • Finally, I've seen that some of you were using the concept of low-tech password.txt file [edit] as a mean to manage password [\edit]. What does it mean ? Is it just a plain text file with all your password ? How safe is this ?

Oh yay una lista! In questo modo è facile tenere traccia delle domande, quindi le risolvo in ordine.

Are there any password managers that satisfy the need to log on from a different comuter?

Google Chrome consente questo. Finché accedi al tuo account google sul browser web di Chrome, conterrà le tue password con ciò che conserva al sicuro nel tuo account google. Altrimenti dai un'occhiata a Roboform dal momento che può essere eseguito su più architetture di sistema e persino da un'unità USB! / p>

Otherwise, is that scheme providing a good compromise in this multiple trade-off situation, or is just as bad as re-using the same password whatever the entropy of it.

Guarda ancora Roboform . Quella cosa genererà una password casuale per te.

Per quanto riguarda quello che stai generando, sarà sicuro finché sarai l'unica persona ad avere una copia dello script di generazione. Tuttavia ha alcune cadute. Il rumore è limitato alle cifre esadecimali. Questo è un grosso problema perché la cifra esadecimale va solo da 0-9, A-F. Questo limita la quantità di ipotesi su cui una forza bruta deve indovinare la tua password. Usa sempre il set di caratteri ASCII completo (o se Unicode è disponibile, così avanti e avanti) per generare la tua password.

  • [NEW!] How easy is it to crack a function, be it simple, not even knowing if a function is used ?

Come per un generatore di password? Dipende .

La password sarà strong solo quanto la funzione è di crearla, e se la funzione utilizza un set di caratteri limitato per generare la password, è una cosa da poco da craccare. Se usa un set completo ... beh, le cose diventano più difficili da decifrare.

La verità è che avere una password buona è solo un passo per mantenerla al sicuro. L'altra parte è che lo ruota in modo che gli attacchi di forza a lungo termine non possano romperli alla fine, non ci arriveranno mai perché la password è cambiata.

Ad esempio, quello in Roboform è fantastico in quanto genera una password che utilizza TUTTI I CARATTERI DISPONIBILI può entro limiti di ciò che dici. Questo genera password estremamente difficili da decifrare.

Finally, I've seen that some of you were using the concept of low-tech password.txt file [edit] as a mean to manage password [\edit]. What does it mean ? Is it just a plain text file with all your password ? How safe is this ?

Questo significa semplicemente che conserviamo le password, l'indirizzo del sito web e le informazioni sull'account in un file .txt. Questo è sicuro quanto il supporto di memorizzazione su cui è acceso. Se qualcuno lo trova ora ha le tue credenziali. È ... aggrottato le sopracciglia per fare questo, e questo è come leggerlo. Le credenziali non sono crittografate, protette da password o addirittura mantenute al sicuro. Si affidano semplicemente al fatto che hanno il loro computer in loro possesso. Se viene rubato, si trovano in GRANDI problemi.

Naturalmente puoi anche percorrere questa strada in sicurezza. È possibile crittografare, proteggere con password e archiviarlo in un luogo difficile da raggiungere lontano dalla chiave di crittografia. Ciò significa che se qualcuno ottiene il file .txt e non lo decodifica, è solo un inutile flusso di spazzatura. Soprattutto se lo si carica con dati inutili (come cento linee di tastiera). Ovviamente a questo punto stai facendo la gestione manuale delle password e potresti anche guardare Roboform di nuovo.

TL, DR: GUARDA ROBOFORM ! E 'stato davvero qualcosa che è arrivato ad ognuna delle tue domande e sembra che sarà quello che stai cercando. Lo uso da solo e lo adoro.

    
risposta data 09.10.2015 - 20:44
fonte

Leggi altre domande sui tag