È brutto usare la stessa sequenza di caratteri in ogni password?

Naviga le tue risposte
3

Un mio amico ha proposto un metodo per creare password in cui ognuno ha la stessa base e aggiunto ad esso è qualcosa indirettamente correlato al sito o al prodotto in cui è stato effettuato l'accesso. Ad esempio, tutte le password inizieranno con "AXxY2" e quindi quella per hotmail.com sarà aggiunta a "eventuali lettere?" quindi l'intera password per accedere a hotmail.com sarebbe "lettere AXxY2any?". È un buon sistema?

Personalmente non trovo mai promemoria o suggerimenti utili con le password, quindi sarebbe meglio usare una parte unica non correlata per ogni sito? Ad esempio invece di avere "qualche lettera?" sarebbe qualcosa come "correre skip bike climb".

    
posta Celeritas 16.02.2014 - 00:17
fonte

2 risposte

1

Tutto dipende da quanta sicurezza hai bisogno. Il caso più sicuro è usare password molto lunghe e completamente casuali per ogni utente, ma in pratica è anche il meno utilizzabile a meno che non si utilizzi un gestore di password. Se vuoi mantenere la massima sicurezza possibile, allora è quello che dovresti fare, ma per molte persone quel livello di sicurezza semplicemente non è necessario.

Sul lato opposto da quello, si usa la stessa password, breve, facile da ricordare ovunque. Questo è super facile da usare, ma non è molto sicuro perché può a) essere indovinato, b) se un account utente è compromesso in un posto, anche con la password correttamente protetta, sarà abbastanza facile per l'attaccante capire qual è la password ec) se viene utilizzata in più posti, ci sono buone probabilità che l'hacker possa accedere anche ad altri account che hai.

Ci sono molti modi ibridi con cui puoi lavorare tra questi due estremi. È possibile avere più password per diversi livelli di sicurezza (separando gli utenti di base del forum e i siti di notizie da siti di dati personali da siti bancari e finanziari). Ci può anche essere un sistema di creazione di password derivate che puoi facilmente ricordare su alcuni sistemi, ma si spera che il sistema non sia a conoscenza di un utente malintenzionato che potrebbe trovare una o due delle tue password, e quindi un singolo compromesso non avrà alcun impatto sul tuo altri account.

Se c'è la possibilità che tu possa essere preso di mira, probabilmente questa non è una buona idea dato che la maggior parte dei sistemi che potresti inventare non regge molto bene contro un attaccante determinato ed esperto, ma se sei solo contro le persone che cercano di trovare account da una lista gigante, le probabilità sono abbastanza buone anche se un semplice sistema di differenziazione delle password sarà probabilmente sufficiente per proteggerti.

In definitiva, spetta a te decidere quale livello di sicurezza hai bisogno e quanta fatica sei disposto a raggiungere per raggiungere quel livello di sicurezza.

    
risposta data 16.02.2014 - 07:18
fonte
0

Il riutilizzo della password, che è quello a cui credo si riferisce, è generalmente considerato una cattiva idea.
Io uso il metodo BASE + Differenziatore e forse una spiegazione del mio ragionamento mi aiuterà.

Crittograficamente, c'è un vantaggio alcuni nell'usare un BASE + Differenziatore .

Alcune implementazioni (vale a dire alcune applicazioni, siti Web, ecc.) useranno un salt generato in modo casuale che verrà poi aggiunto alla password / passphrase. L'algoritmo di crittografia produce quindi un hash unidirezionale della tua password. Quel sale viene quindi memorizzato, nel loro database, con la tua password crittografata (il valore hash) per poter confrontare la tua password ogni volta che tenti di accedere. (Il salt viene nuovamente aggiunto a la passphrase, viene eseguito l'algoritmo di crittografia e il risultato dell'hash viene confrontato con quello che hanno memorizzato nel campo della password). Pertanto, se qualcuno dovesse recuperare la tua password con hash, quel valore di hash sarebbe probabilmente diverso da sito a sito, da applicazione a applicazione.

Esempio potrebbe essere: 

Algorithm: DES3
    Salt: 123
    Passphrase: password
    Resultant Hash: hPh7gd6nmpg=  <-This is stored as your password

Utilizzando la stessa passphrase, lo stesso algoritmo (DES3) con un diverso valore di sale: 

Algorithm: DES3
    Salt: 456  <-Different Salt
    Passphrase: password  <-Same passphrase
    Resultant Hash: PLhThYNi2FE=  <-Different result

Le sono implementazioni di hashing che non usano un salt e produrranno lo stesso valore di hash per la stessa sequenza di caratteri.

È importante notare che questi sono algoritmi di hashing a senso unico , quindi la tua password non può essere recuperata (facilmente) dal valore di hash. L'unico scopo che serve è confrontare l'hash con un hash generato dalla sequenza di caratteri che hai digitato nel campo della password. Pertanto, se un sito modifica gli algoritmi, non sarà possibile accedere, poiché la passphrase genererà un valore Hash diverso utilizzando un algoritmo diverso, nel qual caso sarà necessario reimpostare la password nel proprio sistema.

Detto ciò, il mio ragionamento per usare un BASE + differenziatore è semplice. Se qualcuno dovesse ottenere la mia password in chiaro per il sito A (diciamo Hotmail), e dovrei sapere che ho anche un account GMail, o account Twitter, o un numero qualsiasi di altri account (peggio ... un account E-Trade, ecc.), la prima cosa che faranno prima di tentare di eseguire un attacco a forza bruta computazionale, sarebbe usare la password che già sanno che io uso, poiché è una supposizione ragionevole che, nel tentativo di rendere la vita più semplice , Ri-utilizzo le password.

il metodo BASE + Differentiator aggiunge un livello di sicurezza per il seguente motivo: Se non sanno che io uso questo metodo, ci sono buone probabilità che, nel migliore dei casi, blocchino qualsiasi altro account su cui tentano di usare quella password. Essere infruttuoso con una password conosciuta è abbastanza deterrente, di solito, per farli ricorrere ad un vettore di attacco più lungo e / o costoso dal punto di vista computazionale, come l'ingegneria sociale o la bruta - forzandolo ... o meglio ancora, abbandonarlo del tutto.

Di solito, uno sforzo maggiore per ottenere l'accesso ad altri account è motivato da qualcosa che la maggior parte di noi (normali) ha meno di quanto pensiamo (denaro, informazioni segrete, ecc.). In tal caso (supponiamo che tu sia quello con la formula di Coca-Cola), allora questo ulteriore livello di sicurezza è sufficiente a rallentarli, forse abbastanza a lungo da farti capire che qualcuno sta tentando di accedere alle tue informazioni .

Per riassumere, è SEMPRE una cattiva idea riutilizzare le password e sapere che è difficile ricordare una dozzina di password (a meno che non si usi qualcosa come 1Password ), BASE + Differenziatore è un buon metodo di buon senso.

Per semplificare le cose, Differentiator può essere un semplice algoritmo come: 

1. The 2nd letter from the beginning and 2nd letter from the end of the site name
  Eg., Hotmail would be BASE+oi
2. The Stock Ticker of the site you are logging into
  Eg., Hotmail would be BASE+MSFT (Microsoft)

Spero che questo sia utile.

    
risposta data 16.02.2014 - 02:26
fonte

Leggi altre domande sui tag

Controllo accessi su una LAN principalmente windows [chiusa] La pagina Web mi ha inviato la mia password in testo chiaro per sicurezza? [duplicare]