Soluzioni di gestione delle password individuali non software

Naviga le tue risposte
0

Sono interessato a sapere se / quali "soluzioni" esistono per la gestione delle password nei casi in cui le persone non vogliono utilizzare un gestore di password (per qualsiasi motivo possano offrire ...)

Supponiamo che

  1. La persona può ricordare una password completa.
  2. La persona non può scrivere / memorizzare alcuna password effettiva (ovviamente!) - sebbene i "trigger" possano essere scritti e memorizzati.
  3. La persona deve ricordare 10-100 password (scelto questo intervallo perché copre la maggior parte dei casi).

Il nostro obiettivo è garantire la sicurezza massimizzando al contempo la convenienza per l'utente.

Per fare un esempio, si potrebbe suggerire di avere una "password principale" (facile da ricordare, difficile da decifrare, il post di xkcd è un buon punto di partenza) e poi un codice caesar memorizzato in più posizioni (unità online, nota telefonica, pezzo di carta a casa) per ogni accesso.

Questo va bene, ma non è fantastico per almeno quattro ragioni:

  1. Il compito di ruotare non è particolarmente naturale / semplice per gli umani. Con la pratica / frequenza alcuni sarebbero facili, ma i login non giornalieri sarebbero probabilmente ingombranti.
  2. Le password sono intrinsecamente collegate, quindi se una delle password è incrinata le altre prendono solo 36 (supponiamo che non vogliamo chiedere all'utente di ruotare più di lettere minuscole [26] e numeri [10]) al massimo per crack (questo presuppone anche che l'hacker possa riconoscere che le password sono costruite usando una tecnica di cifratura che è improbabile, quindi questo non è un problema enorme, ma anche non del tutto irragionevole).
  3. Le password diventano non univoche dalla 37a password in poi.
  4. Le nostre informazioni sulle chiavi dei codici hanno un brutto compromesso. Dobbiamo memorizzarlo in più posizioni perché la sua perdita implica un inconveniente incredibile, ma più posti memorizziamo maggiore è la possibilità che venga scoperto (non fondamentale perché la password principale è ancora necessaria per renderla utile, ma comunque una caratteristica negativa) .

Qualcuno sa di alternative migliori / standard?

P.S. Quando dico 'non-software' intendo specificamente il gestore delle password - potresti ovviamente scrivere le informazioni in un editor di testo o usare un linguaggio di programmazione per ruotare la tua password principale, ecc. Se questo fa parte del tuo metodo.

    
posta cjjob 30.01.2017 - 01:14
fonte

1 risposta

0

Conoscere e memorizzare una coppia di credenziali per l'accesso al computer è solo un dato di fatto.

La stessa cosa vale per il "mondo reale". Immagina se tutti i proprietari di un veicolo Honda potessero semplicemente mettere le loro chiavi in una Honda e partire. Non sarebbe un ottimo sistema, vero?

Cose che potresti voler vedere:

  • Qualcosa che hai, una Smart Card / Token
  • Qualcosa che sei, la biometria
  • Da qualche parte, una postazione di lavoro assegnata dietro una porta con chiave / chiusa
  • Single Sign On (SSO), visto con grandi aziende o università

A meno che non si intenda accedere a siti Web pubblici, le smart card sono la soluzione perfetta per una rete Intranet.

Ciò richiede che gli utenti ricordino un PIN, ma potrebbero memorizzare un singolo certificato o molti per vari accessi. Un PIN numerico è molto più facile da ricordare e i certificati sono molto più potenti di una semplice password.

Condividere le credenziali è raro, ma visto in alcune aziende con lavoratori temporanei, la condivisione di una coppia credienziale da utilizzare su un singolo sistema è accettabile. Il motivo è dovuto al fatto che lavorano in giorni di lavoro alternativi, puoi tenere traccia di chi c'era in quel giorno e solo 2 utenti sono a conoscenza delle credenziali. Questo viene fatto su base sistema per sistema per semplificare la gestione.

Per quanto riguarda la scrittura di password in basso e così via, questo è perfettamente accettabile se non ti preoccupi di un aggressore locale. Molti sono probabilmente a conoscenza dei loro vecchi membri della famiglia che lo fanno. La preoccupazione è minima perché è molto più probabile che qualcuno attacchi i propri account dal Web piuttosto che localmente di persona.

Tuttavia, in una società / impresa, in base alla conformità PCI o HIPAA è probabile che ti trovi in difficoltà legali o accordi annullati al minimo .

L'altro problema sorge quando le credenziali di scrittura cambiano il gioco. Autenticazione , se un utente dimostra la sua identità, non esiste più come chiunque potrebbe salire e entrare nel credenziali. Avere una credenziale scritta trasforma le cose in autorizzazione , dimostrando il diritto a una risorsa.

Single Sign On consente all'utente di inserire le proprie credenziali una volta e accedere a molte altre risorse condividendo un token sicuro con le suddette risorse. Questo non è comune nelle piccole imprese a causa del lavoro di taglio coinvolto nella configurazione / manutenzione.

    
risposta data 30.01.2017 - 03:41
fonte

Leggi altre domande sui tag

Quali sono i limiti di un contenitore .pem e come ignorare questi limiti? Tracciare qualcuno usando il tipo / frequenza / dimensione del pacchetto?