Importa davvero la stessa password per tutti i miei siti più importanti, incluso il banking? [duplicare]

Question

Importa davvero la stessa password per tutti i miei siti più importanti, incluso il banking? [duplicare]

#1 da (3 voti)
#2 da (1 voti)
#3 da (1 voti)

0

Ho solo bisogno di memorizzare le password per uso personale, nessuna informazione classificata qui. Ho una scarsa memoria e preferisco non registrare numerose password in quanto ciò crea un rischio per la sicurezza. Non voglio utilizzare alcun tipo di sistema di protezione / archiviazione basato sull'IT. Se necessario, potrei inventare 4 password, assegnarne una a ciascuno dei miei numerosi accessi e creare un documento (in Evernote così l'ho sempre con me) elencando gli accessi e fornendo un indizio (decifrabile solo da me ) per quale password si applica a ciascuno. Qualcosa non va nel farlo? Mi rendo conto che Evernote probabilmente non è sicuro, ma nessuno sarà in grado di decifrare i miei indizi.

passwords password-management password-policy

posta PADJ 04.06.2017 - 05:46

fonte

3 risposte

Leggi altre domande sui tag passwords password-management password-policy

Come identificare se un campo è crittografato? Qual è il miglior programma di sicurezza per applicazioni Web per imparare XSS? [chiuso]

score 3 · Answer 1

Se, come dici tu, la memorizzazione della password è decifrabile solo da te, direi che è una crittografia abbastanza buona per te, nel senso che serve allo scopo.

Tuttavia, l'uso di password univoche, complesse e lunghe non solo ha lo scopo di rubarle a qualcuno. La tua strategia funziona solo se ti concilia con rischi come questi:

Uno dei siti Web che utilizzi è compromesso e danneggia la tua password a causa di una debolezza del loro schema di archiviazione delle password (o di una debolezza della tua password).
Gli hacker tentano quindi di riutilizzare questa password su altri siti e ci riescono.

Non so perché sei riluttante a utilizzare i gestori di password. Come dice Troy Hunt " I gestori di password non devono essere perfetti, devono solo essere migliori di quelli che non ne hanno uno ".

In qualità di Infosec pro, sono paranoico e scettico (non fidarti facilmente di fornitori di fama). Io uso un gestore di password open source KeePassX. Cerco di essere consapevole dei rischi residui, di compensare con la "vigilanza costante" (grazie, Alastor Moody) dove possibile e di accettare i rischi in cui non è.

Ovviamente, le tue esigenze potrebbero essere diverse.

score 1 · Answer 2

Perdite importanti di password o dati di accesso, destinati o non previsti, come " Cloudbleed " all'inizio di quest'anno può e si ripeterà in qualsiasi momento. Non dovresti riutilizzare le tue password. Periodo. Puoi memorizzarli in una cartella crittografata sullo smartphone e / o sul PC, se non ti piace usare i gestori di password (non mi fido nemmeno di loro, poiché sono anche vulnerabili a incidenti come "Cloudbleed") .

Non importa se la tua password è estremamente sicura o meno. Le password dei principali siti o servizi continueranno a essere trapelate, rubate o vendute. Succede sempre.

score 1 · Answer 3

Se sei davvero preoccupato di usare i gestori di password, o non vuoi per altri motivi, anche se sembra andare contro tutti i consigli dati dalla comunità di infosec, direi che usi una password diversa per ogni sito, ma scrivili su un pezzo di carta e mantieni la carta al sicuro da qualche parte.

Per alcuni privati questo è l'approccio ragionevole ...

Anche io sono un paranoico professionista infosec, ma qui dobbiamo capire il rischio reale. Se si tiene un elenco di password su un foglio di carta nella propria casa, ad esempio, si rischia di essere derubato (che, a seconda della posizione geografica potrebbe essere molto basso) e che il ladro sa cosa hanno trovato e poi continuano a sfruttarlo prima che tu abbia la possibilità di cambiare le tue password.

Se usi la stessa password ovunque, perché non puoi ricordare quelli diversi e non vuoi usare un gestore di password, il rischio, come altri hanno sottolineato, è che qualcuno possa compromettere una di quelle password online usando exploit tecnici remoti e quindi tenta di riutilizzarli su molti altri siti.

Il rischio di compromissione della password online è, di solito, considerevolmente più alto di un ladro o di un altro aggressore presente fisicamente usando il pezzo di carta con password scritte.

Per essere più sicuro, prenderei in considerazione la possibilità di bloccare il tuo foglio di carta in modo sicuro o almeno di non tenerlo da qualche parte sul display!

Se puoi utilizzare l'autenticazione a due fattori insieme a questo approccio, ad esempio Google Authenticator sul tuo telefono cellulare per ridurre ulteriormente il rischio, allora tanto meglio. La maggior parte dei siti di grandi dimensioni ora offre questa opzione e dovresti utilizzare qualsiasi approccio alla tua password.

Quindi so che questo potrebbe far cadere i voti di alcune persone, ma credo fermamente che sia una questione di comprensione e di gestione del rischio reale. Consiglio a mio padre di farlo perché altrimenti io so userà la stessa semplice password ovunque e non è abbastanza esperto dal punto di vista tecnico per usare un gestore di password. Per i clienti e le persone con formazione IT e per i dipendenti di un'organizzazione in cui è possibile applicare le norme, è assolutamente necessario un gestore password e 2fa.