Supponiamo che invece di usare, ad esempio, Google, let me in! come password Google, ho usato alcune trasformazioni coerenti di questa stringa, diciamo ZWE1NjMyNm ?
Quali parole chiave di ricerca potrebbero essere utili per cercare informazioni sull'idea generale di utilizzare "trasformazioni pre-password" come password?
Non ho mai sentito un nome specifico per questi tipi di trasformazioni della password. Tuttavia, spesso comportano l'uso di una "password principale" e "password del sito". È possibile eseguire alcune ricerche in base a tali termini e filtrare i risultati irrilevanti.
Ecco alcuni esempi di schemi simili implementati tramite software:
Quello che descrivi è una password spiritosa : una password che si basa sull'utente che conosce un metodo di generazione specifico.
Questo è male. Le password spiritose non sono password sicure; loro sono più esattamente l'opposto. Quando usi una "password arguta", fai affidamento sul fatto che l'aggressore sia meno intelligente di te. Nonostante la fiducia in se stessi, questo fallisce sempre. Gli attaccanti conoscono questi metodi di generazione della password; in effetti, hanno accesso a Internet in modo che possano leggerli proprio qui . Ad aggravare l'effetto è la propagazione cross-site: se la tua password su un sito viene rubata (ad esempio tramite il dirottamento ostile del server), l'utente malintenzionato può osservare la tua password per quel sito e dedurre la tua "regola segreta", deducendo in tal modo le password hai usato su molti altri siti.
La parola importante è "coerente". Tu non vuoi quello. Sebbene la coerenza sia generalmente buona per tutti gli sforzi intellettuali, per le password è davvero pessimo. Tu non vuoi la coerenza; hai bisogno di casualità . Solo la casualità produce sicurezza. La casualità è ciò che l'attaccante non può indovinare, proprio perché è casuale, non spiritoso.
Idealmente, useresti password casuali, con almeno (diciamo) 30 bit di entropia per password e (in modo cruciale) una password diversa per ogni sito. Questa è la parte più importante: non dovrebbe essere possibile dedurre la tua password su un sito dalla conoscenza della tua password su qualsiasi altro sito. Se hai difficoltà a ricordare tutte queste password, ti suggerisco di utilizzare un gestore di password come 1Password o KeePass . In alternativa, annota le tue password in un posto sicuro (questo può essere un pezzo di carta nel tuo portafoglio, i wallet hanno una buona sicurezza fisica, perché ci si cura di loro).
Si sta parlando di una password spiritosa (o intelligente) o di un algoritmo di derivazione della chiave (che viene calzato per produrre una password "nascosta"). Né fornisce alcuna sicurezza aggiuntiva oltre la complessità della password originale. O il sistema non è sicuro perché è troppo semplice e può essere decodificato, con conseguenti fallimenti catastrofici di più account, oppure è così complesso che richiede un computer per eseguire l'elaborazione per te, a quel punto c'è esattamente zero motivo non utilizzare una password generata in modo casuale che è crittografata e archiviata in un gestore di password. Per questo motivo, non esistono sistemi esistenti che utilizzano questo approccio in quanto sarebbero intrinsecamente insicuri.
Non c'è assolutamente alcun caso in cui questa sia un'idea utile che fornisce un vantaggio significativo in termini di sicurezza. Un sistema processabile umano potrebbe essere leggermente migliore rispetto a quello di avere la stessa password per ogni account, ma non si ottiene una sicurezza significativa se esiste una relazione tra le password di diversi account, che questa crea esplicitamente.
Sembra che si stia mescolando l'hashing della password sicura per l'archiviazione della password del server (progettata per proteggere un singolo sito) rispetto alla sicurezza delle password per un utente su più siti.
Leggi altre domande sui tag terminology passwords password-management hash