Qual è la pratica standard per mantenere una password per diversi siti Web? [duplicare]

0

Ho incontrato molti utenti che mantengono una password riutilizzata per ogni sito Web, ad esempio P@ssw0rd123

Il problema con questo approccio è che se qualcuno viola le protezioni di un particolare sito Web, la sicurezza dell'utente sarà vana.

Molti siti Web memorizzano ancora le password nel database in un formato non criptato. Supponiamo che io abbia accesso al database di un determinato sito web. Quindi posso rubare nome utente e password e solo immaginare il caos che posso creare con gli utenti che riutilizzano le password per ogni sito web / portale / piattaforma.

Come risolvere questo problema? Quale algoritmo deve seguire un utente per mantenere la password per diversi siti web / portali che non hanno alcuna conoscenza della sicurezza e altre informazioni tecniche?

Questa domanda è pensata per gli utenti generici che non hanno alcuna conoscenza della sicurezza, quindi strumenti come password card, password manager o strumenti hash non risolvono il problema.

Invece che dire della password come

domain_name + combination of unique keywords per website + unique special characters per website ?

    
posta Pawan Patil 12.11.2018 - 10:49
fonte

2 risposte

4

Ci sono diverse mitigazioni suggerite come ad esempio PasswordCard o alcuni hints come estendi la tua password con il nome del sito o anche strumenti di hash .

Tuttavia, l'unica best practice consiste nell'utilizzare un gestore password con una password master avanzata e generare password casuali per ogni sito.

    
risposta data 12.11.2018 - 11:22
fonte
3

Come @josef ha già menzionato, la soluzione migliore è usare un gestore di password e generare una password casuale per ogni account.

Ecco alcune best practice sull'uso di ad es. KeePass:

  1. Assicurati di scegliere una buona password principale. Questo è cruciale in quanto un compromesso del tuo gestore di password porterebbe a un compromesso di ogni account memorizzato nel database del gestore password! . Questa password non deve essere annotata, tranne - a seconda del modello di minaccia - su un singolo foglio di carta conservato in una cassetta di sicurezza (per la tua famiglia in caso di morte ecc.)
  2. Utilizza l'autenticazione a più fattori quando possibile. KeePass, ad esempio, supporta Yubikey, i file chiave ecc.
  3. Segrega i database del gestore di password. Per esempio. avere un database "ad alta sicurezza" (potrebbe contenere dettagli bancari ecc.) e un database di "media sicurezza" (potrebbe contenere accessi ai social media, ecc.). Questo può anche essere esteso per memorizzare una password molto sicura generata casualmente per il database ad alta sicurezza nel tuo database di sicurezza medio.
  4. Backup e test-ripristina i tuoi backup! Se il tuo database viene danneggiato, sarai bloccato da ogni account memorizzato nel database del gestore password!
  5. Non lasciare il database del gestore password sbloccato più a lungo del necessario. Gli script come PowerSploit contengono moduli che cercano specificamente i file KeePass sbloccati.
  6. Mantieni i tuoi sistemi al sicuro, aggiornati e puliti. Un sistema compromesso porta a un database delle password compromesso e porta a un compromesso di ogni account memorizzato nel database del gestore password!
risposta data 12.11.2018 - 11:37
fonte

Leggi altre domande sui tag