1

У меня есть список паролей для некоторых сайтов, которые я использую в электронной таблице Excel (без макросов или чего-либо еще). Я читал много мест (онлайн и офлайн), чтобы "запомнить свой пароль или записать его в безопасном месте", но другие говорят «никогда не записывайте пароль!». Есть ли консенсус в области безопасности, если это приемлемо?

В качестве примера консенсуса я знаю, что совет «не использовать учетную запись администратора для неадминистративных задач» почти повсеместно дан / принят. Есть ли подобный уровень согласия по этому вопросу?

Редактировать:

Чтобы уточнить, я специально искал "лучшую практику", согласованную на местах - если таковая имеется - потому что советы, данные различными сайтами и источниками, использующими пароли, противоречат друг другу.

2 ответа2

1

Основная идея паролей нарушена. (Я знаю, что это немного не по теме, но потерпите меня.) Когда они были разработаны, аналитические машины не стали идеей, и неправильный пароль означал, что вас пнули как минимум. Ко времени разработки unix уже было известно, что у паролей есть некоторые слабые стороны, но поскольку были физические средства контроля доступа (дверные замки), большинство людей не было обеспокоено. Сети изменили все, потребовалось время, чтобы понять это. Больше не были эффективными физические средства контроля доступа, и потребность в контроле доступа росла. Инженерное дело какое-то время сдерживалось, глядя на то, как быстро компьютеры могут угадывать пароли и сколько мы можем запомнить. Эти вычисления были растянуты и сломаны достижениями в скорости вычислений. В наши дни минимальный, возможно, безопасный пароль длиннее, чем мы можем вспомнить. И каждый человек, с которым вы делитесь паролем, ослабляет свою безопасность. Как минимум, чтобы пароль работал, вы должны поделиться им со службой, требующей аутентификации, поэтому использование одного и того же пароля с несколькими службами еще больше ослабляет его, а использование разных паролей с разными службами снижает нагрузку на вашу память.

Так что же с этим делать? Пока проверка подлинности без пароля становится опцией, вот текущая лучшая политика (которая имеет известные недостатки):

  1. Используйте разные пароли для каждой сгенерированной службы без попыток создать пароли, которые вы можете запомнить.

  2. Запишите каждый пароль в каком-нибудь месте, которое можно защитить.

В этом поможет инструмент управления паролями, и я бы рекомендовал использовать его для паролей с низким и средним уровнем безопасности. Для паролей с высокой степенью безопасности и для пароля к вашему инструменту управления паролями я бы написал пароль на одном листе бумаги (не на блокноте) на твердой поверхности, которая не будет захватывать впечатления от записи, и помещать их в сейф или сейф.

Это не идеальное решение.

0

Думайте об этом со здравым смыслом.

  1. Если вы записывайте свой пароль - то его можно найти и прочитать другие , если не находится в очень безопасной среде;
  2. Если вы не запишите свой пароль - у вас не будет возможности его найти и прочитать из газеты.

Также пароли для разных учетных записей должны обрабатываться по-разному. Пароль для вашей банковской учетной записи должен быть защищен более тщательно (или не менее), чем пароль для чего-то, что не является критичным (например, онлайн-игра).

Сам пароль бесполезен. Данные и учетная запись защищены паролем - это то, что должно служить критерием того, сколько усилий следует приложить, чтобы никто не узнал пароль.

Как пример - я не возражаю написать свой пароль от точки доступа WI-Fi в моей квартире - потому что мне хорошо, если кто-то, кто живет со мной, узнает этот пароль.

Но я не буду делать это с паролем для моей электронной почты - потому что мне не хорошо, если кто-то, кроме меня, получит к нему доступ.

Редактировать:

В дополнение к этому общее правило, которое может быть применено здесь:

Каждый раз, когда вы вводите или пишете свой пароль (будь то процедура входа в систему или записываете ваш пароль), вы снижаете его безопасность только потому, что он покинул вашу голову и теперь существует как записанная вещь, которую можно прочитать или получить, прослушивая сетевой трафик. У хакеров будет больше шансов узнать ваш пароль, если вы входите в сеть 70 раз в день. Если вы заходите один раз в месяц, у них меньше шансов получить его.

То же самое с записанными паролями. Каждый раз, когда вы записываете его, его безопасность уменьшается, потому что теперь он также существует за пределами вашей головы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .