Qual è un buon modo pratico (e sano) per gestire tutte le password per i siti online?

Quello che faccio è il seguente:

• Scrivo le password in basso.

Molte persone rabbrividire e urlare e maledire me e dire che questo è sbagliato e non dovrebbe mai essere fatto, ma questa è un'asserzione troppo semplicistica. I dettagli contano. Ecco i dettagli:

• Conservo le password in un file di testo.

• Quando esco di casa e devo accedere alle mie password, porto con me un netbook. Quel computer ha alcune caratteristiche specifiche:

  1. Esegue Ubuntu (una distribuzione Linux).
  2. Nessuno spazio di swap è configurato. Ciò che è "in RAM" è in realtà "nella RAM fisica" e non viene mai memorizzato in modo permanente.
  3. La directory /tmp è una tmpfs , cioè i file in quella directory sono solo nella RAM (e questa è la RAM fisica, vedi sopra).
  4. Ho sempre spento la macchina; Non l'ho mai messo in "modalità sospensione".

  In queste condizioni, ho una ragionevole garanzia che se scrivo un file in /tmp , leggo, poi spegni il computer, quindi il contenuto del file non sarà accessibile a nessun malfattore che ruberebbe la macchina.

• Il mio file pieno di password è simmetricamente crittografato con GnuPG , con una passphrase grande, grassa e strong ( quella passphrase , tengo nel mio cervello).

• Quando devo usare una password, decrypt il file nella directory /tmp e lo cancello immediatamente dopo; e quando non ho più bisogno di usare il computer, lo spengo, come è mia abitudine.

In queste condizioni, le mie password sono ragionevolmente sicure. Questo non è perfetto: se il mio computer viene hackerato in silenzio e l'attaccante può osservare tutto ciò che faccio per un lungo periodo, otterrà le mie password, ma le otterrebbe comunque in queste condizioni, anche solo inserendo del codice malvagio in il browser Web stesso (indipendentemente da come gestisci le tue password, il codice del browser Web le ottiene a un certo punto, poiché deve inviarle ai server che le chiedono). Sostengo che il mio metodo è molto più sicuro rispetto all'alternativa comune, che sta riutilizzando le password su diversi siti. Non riutilizzare le password!

(In pratica, raramente devo accedere al mio file di password, perché ricordo le password che digito spesso - e quelle che non digito spesso, beh, le digito raramente, per definizione).

Utilizza un gestore di password come KeePass .

Genera automaticamente una password diversa per ogni account che possiedi. Ciò garantisce che le tue password siano molto più complesse e molto più diverse di quanto un cervello umano possa gestire. Ha anche il vantaggio di non conoscerti nemmeno le password, proteggendoti da molti attacchi di social engineering.

E se avessi più dispositivi? Qualsiasi gestore di password sensato richiederà una password principale per l'intero database delle password e lo crittograferà con una chiave derivata da esso. Ciò significa che il file della password viene salvato per la pubblicazione purché la password principale sia sufficientemente potente. Ciò significa che potresti persino utilizzare i server the cloud di proprietà di qualcun altro (come dropbox.com) per sincronizzare il tuo file di password tra i tuoi dispositivi.

Lastpass combina la gestione delle password con la sincronizzazione online, ma a causa di alcuni problemi di sicurezza che avevano in passato sono un po 'riluttante a raccomandarli (anche se nessuno di loro era molto probabile che avessero perso le password in chiaro degli utenti).

Se stai cercando una soluzione offline, puoi utilizzare Off The Grid di Steve Gibson. Si tratta di una crittografia basata su carta che consente di hash un nome di dominio in una password. Questo ti dà un sacco di sicurezza in quanto non richiede la fiducia di qualsiasi fonte di terze parti. So che hai detto che potresti dimenticarlo, ma è facile da memorizzare in un portafoglio.

Di base, prendi una tabella di caratteri 26x26. Questa tabella segue regole simili a Sudoku (solo uno di ciascun carattere in ogni riga e colonna). Questo inizia con un sacco di entropia (minimo 1400 bit). Le basi su come usarlo sono abbastanza semplici (non mi preoccuperò di riscriverle di nuovo tutte). Il rischio maggiore è se qualcuno ruba fisicamente la tua rete. Anche allora ci sono pochi passaggi che puoi prendere lentamente (dovrebbe essere abbastanza lungo per capire che qualcuno l'ha rubato). Questi metodi includono,

1. Scelta di una diversa località di partenza
2. Salatura (puoi farlo anticipando / aggiungendo qualcosa durante l'esecuzione della crittografia)
3. Quando si esegue la crittografia (leggere la pagina appropriata) anziché scegliere i due caratteri successivi. Scegli invece i prossimi tre caratteri, uno su uno, due in basso a sinistra, ecc.

Mi piace utilizzare il portale di identità personale di VeriSign . Funziona automaticamente con molti siti Web importanti e puoi aggiungere anche i tuoi siti personalizzati. Ha anche qualche supporto per OpenID. La caratteristica migliore è l'accesso a 1 clic che ti offre uno snippet di JavaScript che ti consente di accedere automaticamente alla pagina corrente.

Penso che il modo migliore per gestire un gran numero di password sia archiviare una lista crittografata dietro una password che hai memorizzato.

@Tom Leek sembra fare questo nel modo più difficile, il modo più semplice sarebbe utilizzare uno dei programmi menzionati da @Matt. Il modo semplice potrebbe essere un po 'meno sicuro, ma mi aspetto che il modo più semplice sia abbastanza sicuro per la maggior parte degli utenti. A seconda del programma scelto, potresti essere in grado di utilizzare lo stesso file di elenco su piattaforme diverse, inclusi i dispositivi mobili.

Il modo in cui gestisci le password è in realtà una questione separata dal modo in cui generi le password, ma se sei disposto a fare affidamento su un elenco puoi avere una password casuale unica per ogni sito. Non è necessario seguire uno schema di generazione di password non casuali, non è necessario riutilizzare mai una password e non è necessario modificare alcuna password in qualsiasi momento. (Ma, per generare password, mi raccomando di non utilizzare alcuna password generata da nessun sito Web. Se vuoi che venga eseguita a livello di programmazione, esegui qualcosa di locale.)

Se la crittografia della lista stessa è sicura e la password per decrittografare la lista è sicura, non è necessario preoccuparsi dell'accesso non autorizzato alla lista crittografata (ad es. memorizzandola su Dropbox, perdendo il telefono o avendo il tuo computer rubato). Lo svantaggio è che se la password del tuo elenco è compromessa, anche ogni password nell'elenco viene compromessa, insieme a qualsiasi altra informazione memorizzata nel file. Questo è veramente cattivo se succede, ma, considerando che la password dell'elenco non deve mai essere archiviata da nessuna parte e non deve mai essere utilizzata al di fuori di un'app locale, e che altre opzioni hanno difficoltà a gestire il problema da decine a centinaia di account che molte persone hanno, utilizzando una lista crittografata è almeno la pena considerare.

Uso un gestore di password, che replica i miei dati tramite Dropbox e che si integra con la maggior parte dei browser e delle app che uso. A parte poche password master lunghe, come quella per il mio account di posta elettronica, il computer e il gestore di password, semplicemente non conosco le mie password. Sono tutti molto lunghi casuali "garbage", unici per ogni sito, e se mai andrebbero persi, per qualsiasi motivo, userei la funzione di recupero del sito per impostarne uno nuovo.

C'era una volta, ho usato schemi diversi per elaborare schemi di password "intelligenti", che potevo facilmente dedurre ogni volta. Dall'URL o da altre informazioni chiave specifiche del sito, ma alla fine è stato semplicemente troppo da ricordare. Quando avevo bisogno della stessa password in diversi contesti (come quando più siti correlati condividono un singolo utente db), o avevo bisogno di sostituirlo, il pattern è diventato pieno di eccezioni. Ho trovato semplicemente non vale la pena, per essere intelligente.

Questo è quello che faccio:

Ricorda solo una lunga passphrase master.

Genera password generate casualmente per tutti i siti a cui ti sei registrato.

E crittografali tutti con quella frase principale su qualsiasi software tu voglia che supporti la crittografia. Assicurati che si tratti di un software con crittografia avanzata come OneNote con AES-256 in modalità CBC ( link ).

Copia / incolla la password generata a caso nel sito / app di cui hai bisogno per accedere quando necessario.

In questo modo:

• Un servizio compromesso non espone gli altri servizi (yahoo, adobe, snapchat, sono stati tutti compromessi in passato)
• Zero correlazione tra le password tra i servizi, poiché tendiamo a memorizzare una password di "modello" e ne facciamo più varianti per i siti.

Nel 2016, dobbiamo mantenere le password per oltre 30, oltre 40 siti. L'esposizione è troppo alta, c'è quasi il 100% di possibilità che uno dei siti a cui ti sei registrato sia stato compromesso, e qualcun altro ha la tua password da qualche parte nel mondo ( link ).

L'unica persona che dovrebbe conoscere la tua frase principale è la persona che gestisce la tua volontà.