Sono interessato a sapere se / quali "soluzioni" esistono per la gestione delle password nei casi in cui le persone non vogliono utilizzare un gestore di password (per qualsiasi motivo possano offrire ...)
Supponiamo che
- La persona può ricordare una password completa.
- La persona non può scrivere / memorizzare alcuna password effettiva (ovviamente!) - sebbene i "trigger" possano essere scritti e memorizzati.
- La persona deve ricordare 10-100 password (scelto questo intervallo perché copre la maggior parte dei casi).
Il nostro obiettivo è garantire la sicurezza massimizzando al contempo la convenienza per l'utente.
Per fare un esempio, si potrebbe suggerire di avere una "password principale" (facile da ricordare, difficile da decifrare, il post di xkcd è un buon punto di partenza) e poi un codice caesar memorizzato in più posizioni (unità online, nota telefonica, pezzo di carta a casa) per ogni accesso.
Questo va bene, ma non è fantastico per almeno quattro ragioni:
- Il compito di ruotare non è particolarmente naturale / semplice per gli umani. Con la pratica / frequenza alcuni sarebbero facili, ma i login non giornalieri sarebbero probabilmente ingombranti.
- Le password sono intrinsecamente collegate, quindi se una delle password è incrinata le altre prendono solo 36 (supponiamo che non vogliamo chiedere all'utente di ruotare più di lettere minuscole [26] e numeri [10]) al massimo per crack (questo presuppone anche che l'hacker possa riconoscere che le password sono costruite usando una tecnica di cifratura che è improbabile, quindi questo non è un problema enorme, ma anche non del tutto irragionevole).
- Le password diventano non univoche dalla 37a password in poi.
- Le nostre informazioni sulle chiavi dei codici hanno un brutto compromesso. Dobbiamo memorizzarlo in più posizioni perché la sua perdita implica un inconveniente incredibile, ma più posti memorizziamo maggiore è la possibilità che venga scoperto (non fondamentale perché la password principale è ancora necessaria per renderla utile, ma comunque una caratteristica negativa) .
Qualcuno sa di alternative migliori / standard?
P.S. Quando dico 'non-software' intendo specificamente il gestore delle password - potresti ovviamente scrivere le informazioni in un editor di testo o usare un linguaggio di programmazione per ruotare la tua password principale, ecc. Se questo fa parte del tuo metodo.