Schema di creazione password di gruppo

Naviga le tue risposte
1

RICERCA PRECEDENTE: Ho cercato regole / schemi password e condivisione password, ma gli articoli che ho trovato riguardano le password di un utente, non le password di un gruppo o di un team.

SCENARIO: Faccio parte di un piccolo gruppo di lavoro di circa 3 o 4 persone. Abbiamo materiale sensibile che occasionalmente deve essere inviato via email come allegato (in genere documenti Word o PDF).

Vorrei creare una serie / schema di regole per la password per il nostro team da applicare ai documenti che inviamo. Questo set di regole dovrebbe:

  • Capito facilmente (non troppo complicato / difficile da creare la password)
  • La password non è facilmente indovinata
  • La password è distinta per ogni documento che inviamo
  • Facile da individuare per ciascun membro del team (ad esempio, un membro del team può indovinare la password di un altro membro del team)

L'ultimo punto merita qualche spiegazione in più. Sarebbe molto vantaggioso se il set di regole / schema consentisse a ciascun membro del team di essere in grado di capire quale fosse la password del documento, anche se non ha creato la password. La mia idea era di creare una password combinando il nome del mittente, il cognome del destinatario e la data.

Esempio:  Se un membro del team, Bob, deve inviare un documento a Jim il 7 dicembre 2017, la password per il file sarà "JimBob1272017". Allo stesso modo, se il membro del team Jack ha bisogno di inviare un documento a Jill il 23 febbraio 2018, la password sarà "JackJill2232018". Finché gli altri membri del team conoscono il mittente, il destinatario e la data, dovrebbero essere in grado di capire la password. Pertanto, se un membro del team si ammala o si dimette, i documenti sono ancora accessibili.

DOMANDE: Qualcuno ha suggerimenti per la creazione di un set di regole / schema password che soddisfi i quattro criteri citati in precedenza? Oppure qualcuno può fornire suggerimenti per migliorare il processo che ho descritto?

Note: Teniamo traccia delle nostre password, ma stavo pensando che questo potrebbe essere utile se qualcuno dimentica di tenere traccia di una password o se un client ha dimenticato la password del documento (e il creatore della password non era disponibile e la password non è stata registrata correttamente ).

Non penso che sarebbe saggio fare in modo che la squadra usi ripetutamente una password per ogni documento (ad esempio, il team usa "password" per la password di ogni documento), né sarebbe saggio per ogni membro del team usare il suo / la sua password personale ripetutamente (es. Bob usa "password" per tutti i suoi documenti, ma Jack usa "Acme" per tutti i suoi documenti).

Grazie!

    
posta returnofthemac 07.12.2017 - 19:28
fonte

2 risposte

1

Rendere diverse password facilmente immaginabili non aggiunge alcuna sicurezza reale, ma protegge contro la lettura accidentale di un documento destinato a qualcun altro. Se è tutto ciò che serve, fantastico! Basta concatenare il nome del destinatario con una password sicura conosciuta dal team.

Ma se vuoi rendere molto difficile per i compagni di squadra spiare in documenti non destinati a loro, ti suggerisco di utilizzare la crittografia asimmetrica insieme a condivisione segreta :

Cifra ogni documento in modo che possa essere decifrato da una delle due chiavi. La prima chiave è la chiave privata del destinatario e l'altra è un segreto che richiede due (o più) membri del team per scoprire utilizzando la suddetta condivisione segreta.

In questo modo, solo il destinatario può leggere il documento, a meno che due o più membri del team decidano insieme di averne bisogno.

    
risposta data 08.12.2017 - 01:20
fonte
0

Il tuo schema è intrinsecamente insicuro. C'è zero entropia presente nella password, che è ciò che determina la forza di una password. Dovresti ampliare i casi e i requisiti per l'utilizzo della tua azienda - se non hai davvero bisogno di documenti sicuri, va bene, ma è banale compromettere questo tipo di sicurezza. Dalle tue esigenze - 

Easily understood (not too complicated/difficult to create the password) - Good
Password is not easily guessed - Failed, also very important.
Password is distinct for each document we send - Passes.
Easy for each of the team members to figure out (i.e. a team member can guess another team member's document's password) - Not applicable to passwords. If you only need knowledge of how a password is generated to guess it, you have an insecure password. This isn't an appropriate use case for passwords.

Una soluzione migliore sarebbe quella di implementare un sistema sicuro come un server SFTP a cui possono accedere clienti, clienti e dipendenti. Utilizzare la sicurezza basata sui ruoli per determinare chi può accedere a cosa. Questa è una soluzione molto migliore di questo schema di password.

    
risposta data 08.12.2017 - 16:08
fonte

Leggi altre domande sui tag

Con chiavi private e chiavi pubbliche utilizzate per le quali: crittografare, firmare, verificare e decrittografare? Unix - Verifica automatica del checksum MD5