Concetto
L'obiettivo di un gestore di password è di ridurre il numero di password che è necessario memorizzare fino a uno, e quindi di crittografare tutte le altre password con quella password principale. La mia soluzione mira a risolvere lo stesso processo senza l'uso di alcuna archiviazione di dati.
Idea
In primo luogo, genera una password sicura. Quindi, concatena il nome dell'account alla fine di esso e cancella il risultato, possibilmente nello stile di catena delineato in questa risposta . Il risultato finale sarebbe la mia password per quell'account.
Esempio
Usando una password di esempio "GreenPlanetAboutStudentCaughtGoodbye" e il mio account "StackExchange", avrei cancellato "GreenPlanetAboutStudentCaughtGoodbyeStackExchange" e utilizzare il risultato come password.
Sicurezza
Lo scopo dell'hashing è quello di garantire che anche se un sito web memorizzasse la mia password in chiaro, solo quella password sarebbe compromessa. Supponendo che gli account consentano tutti i 40 caratteri di un SHA-256, l'entropia delle password sarebbe max(256, entropy of initial password)
.
vantaggi
- Non richiede crittografia
- Non richiede memorizzazione dei dati
- Le password possono essere perse solo se la password principale è dimenticata
- Può essere utilizzato ovunque
Svantaggi
- Dipende dai siti Web che consentono una lunghezza illimitata della password (anche se è possibile tagliare l'hash per i siti Web che lo richiedono)
- Presume che tutte le richieste di carattere speciale saranno soddisfatte dalla password casuale (molto probabilmente ma è comunque una possibilità che non lo faranno)
Domanda
La mia idea è valida (ragionevolmente sicura)? C'è qualche difetto critico che mi manca?