2

Мы с женой используем одни и те же учетные записи на многих веб-страницах, таких как музыка, видео и утилиты. Мы стремимся улучшить нашу систему, чтобы мы оба могли войти в одни и те же аккаунты. Наши цели:

  1. Повсеместный доступ к определению и добавлению паролей.
    • Мы используем много компьютеров, и нам нужен доступ из разных мест.
  2. Нет инструмента управления программным обеспечением или услуг. (например, RoboForm).
    • Мы не собираемся складывать все яйца в одну корзину, уязвимую для взлома.
    • Мы хотим получить доступ без установки программного обеспечения, если мы гость на другом компьютере.
  3. Довольно прост в использовании без запоминания большого количества секретов.
    • Мы можем справиться с запоминанием нескольких чисел или списка из 10 слов или около того.

Примеры, которые мы хотим побить:

  1. Простой текстовый файл, размещенный на веб-сервере.
    • Очевидно, слишком большой риск для безопасности.
  2. Простой текстовый файл, размещенный за сайтом совместной работы на основе входа, например, частная вики.
    • Становясь лучше, частная вики позволяет легко ее обновить. Но все еще слишком уязвимы, так как все пароли являются открытым текстом.
  3. Обфусцированный текстовый файл, размещенный на сайте совместной работы.
    • Хорошо, теперь мы говорим, но как это запутать?
      1. Запомните трехсимвольный префикс пароля, после этого запишите только уникальные биты.
        - Если кто-то знает один пароль и находит список, остальные очевидны.
      2. Вы лучше идея здесь.

2 ответа2

1

Выберите имя учетной записи, которое вы всегда будете использовать. Вы оба согласны с этим.

Пароль построен так:

Выберите "корневой" пароль для первых 8 символов. Три символа являются строчными буквами. Два символа являются заглавными буквами. Остальные символы - это цифры и символы на клавиатуре.

Эти 8 символов всегда используются в пароле. Далее вы решаете, куда вы собираетесь поместить трех дополнительных символов. Либо в начале, либо в конце восьмерки, которую вы изначально придумали. Как только вы узнаете, будут ли они префиксом или постфиксом, вы должны решить, что это такое.

Это зависит от веб-сайта или службы, к которой вы подключаетесь. Если бы вы подключались к веб-сайту AT & T, вы бы добавили att или ATT к своему первоначальному 8-символьному паролю.

Таким образом, вы оба знаете пароль пользователя root. Вы знаете, какие три символа будут добавлены в зависимости от того, что вы защищаете паролем. Вы знаете, куда они пойдут. И каждый пароль, который вы используете, отличается, но его легко запомнить.

Вы также никогда не должны говорить ничего больше, чем «Эй, я создал учетную запись LinkedIn сегодня». Вам никогда не придется записывать пароль, делиться паролем (потому что у вас есть система, которая определяет пароль), и вы можете хранить список местоположений учетной записи в открытом тексте.

Я занимаюсь этим уже 15 лет, и НИКОГДА из-за этого не было проблем с безопасностью. Вы можете проверить мой профиль для моих учетных данных, если вы беспокоитесь.

Вы можете изменить систему по мере необходимости. Всегда используйте 3 вместо E (простая замена). Всегда делайте основанную на местоположении часть (трехбуквенный префикс / постфикс) в обратном порядке или с различной капитализацией.

У меня есть более 200 учетных записей, никаких паролей, написанных или хранящихся где-либо, и я никогда не забывал ни одного.

1

Я не знаю, удастся ли вам избежать установки программного обеспечения, если вы хотите быть в безопасности.

Лично я использую Dropbox + keepass. Keepass шифрует мои комбинации имени пользователя и пароля, а dropbox синхронизирует эти изменения на всех моих компьютерах. Я даже могу получить к нему доступ на своем (Android) телефоне, когда я в пути. Я действительно считаю, что это лучшая сделка из всех миров - потому что даже если кто-то и получит копию этого файла, - я верю, что хранитель достаточно того места, где плохой парень не сможет в него попасть (по крайней мере, легко).

Если вы ДЕЙСТВИТЕЛЬНО параноик, вы можете использовать encFS, чтобы добавить слой шифрования на ваш облачный диск (Windows - http://members.ferrara.linux.it/freddy77/encfs.html ). Однако это может стать сложным, если вы хотите получить доступ к своим учетным данным, находясь в пути.

Я был бы против "подсказок к паролю" просто потому, что лично я генерировал свои пароли случайным образом (обычно [некоторое количество] символов, содержащих некоторую комбинацию, которую я нахожу легко запомнить). Для некоторых вещей я использовал один и тот же пароль годами. Но эти службы обычно предоставляют поддержку паролей OTP (например, gmail). Что иногда является болью, но вы были бы дураком, если не воспользовались бы безопасностью, которую он обеспечивает.

Если вы действительно против использования программного обеспечения, я бы порекомендовал сам хост с сайтом с базовой аутентификацией SSL. Предполагая, что файл в виде простого текста - я бы никому не доверял свои учетные данные в общедоступной системе. (Я даже не поверил бы себе в этом текстовом файле.) В то время как ваш базовый аутентификатор может быть грубым - я уверен, что вы могли бы использовать некоторые интересные методы противодействия взлому. А SSL помешает кому-то посередине прочитать ваши данные. Самоподписанного сертификата может быть достаточно, но вам лучше убедиться, что вы доверяете подключению к Интернету, к которому подключены.

Теперь, когда я думаю об этом - вы могли бы сделать что-то еще более интересное (и мне было бы интересно собрать прототип вместе). Эта система в бэкэнде будет хранить зашифрованный текстовый файл. Когда вы заходите через веб-браузер, он запрашивает у вас окно с сообщением для "пароля" (или, проще говоря, ключа). После предоставления этого ключа он запросит через AJAX файл и попытается расшифровать его, используя указанный ключ. Таким образом, пока он послан "в открытом виде", парень посередине получит только зашифрованный файл, и он будет расшифрован на лету. Это должно работать в любом браузере (включая мобильный).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .