Métodos para recordar contraseñas en la web

Si desea recordar sus contraseñas, tiene que trabajar su memoria muscular o tendrá que elegir algunas contraseñas fáciles de recordar. Sin embargo, fácil de recordar también es fácil de adivinar. Y la "tensión mental" de recordar 3-4-5 contraseñas de una longitud razonable con caracteres de todas las clases diferentes (superior; inferior; números; símbolos; incluso combinaciones UTF-8 (oh sí, intente tener ALT + 4099 en su contraseña)), no vale la pena el esfuerzo para el usuario promedio.

Entonces, lo que solemos hacer es reutilizar o escribir nuestras contraseñas. La reutilización de contraseñas (su # 2), como usted dice, posiblemente comprometerá todas las cuentas asociadas con ella. La gente realmente entiende esto y generalmente reutiliza las contraseñas solo sobre cuentas que protegen datos de bajo valor.

Sin embargo, anotar contraseñas: afirmo que anotar contraseñas no es un problema si se hace de forma segura. La diferencia aquí es escribir su contraseña bancaria en la parte posterior del generador de OTP o en una nota post-it en su monitor, o si oculta las contraseñas en su billetera. Por supuesto, no puedes usar GæµRA ♣ $ 6 (◘F0z03 * como tu contraseña de Facebook y guardarlo en una caja fuerte. Eso es mala usabilidad.

Tampoco me gusta el algoritmo. Hay algún porcentaje de "seguridad por oscuridad" allí, por lo que, aunque sea poco probable, si alguien encuentra tu patrón, estás jodido. Digamos que es un objetivo de alto valor (lo sé, puede que no lo sea, pero podría tener algo de ese dinero glorioso) y use el patrón en somedisposablemessageboard.com y somepaywallnewspaper.co.uk, dos páginas que podrían haber tenido un pérdida de contraseña. Si su atacante es "capaz cognitivamente", puede encontrar su patrón y probar la palabra BaAnk $ taticPa $$ (compuesta por "Bank", "Anna" y "$ taticPa $$ word"), que es su contraseña bancaria .

Los administradores de contraseñas son una instalación de almacenamiento en la que confía para guardar sus contraseñas. Como ejemplo, LastPass trabaja con un complemento para una autenticación sencilla. De esta manera, ingresa la contraseña maestra (lo que debería ser difícil de adivinar, pero será su única contraseña, puede soportarlo) una vez por sesión del navegador (IIRC) y continúe descargando las contraseñas de LastPass a su servicio. Hay otro problema aquí, para los particularmente paranoicos. Usted ingresa su contraseña maestra en su teclado en su navegador, lo que significa que está almacenada en la memoria y puede (en teoría al menos) ser leída por un troyano. Además, los keyloggers pueden encenderse a su llegada a LastPass.com, recolectando su contraseña. Ambos obtienen la llave del castillo.

(Dato curioso técnico: las contraseñas de LastPass se cifran con una clave generada a partir de su contraseña maestra usando 500 iteraciones de PBKDF2, una función de derivación de claves. 500 iteraciones son la mitad del mínimo absoluto para dicho uso especificado en Documentación PBKDF , y puede no soportar la fuerza bruta si el archivo está encriptado las contraseñas están filtradas.)

Entonces, ¿qué diablos debes hacer si ni siquiera puedes ingresar tu contraseña en el teclado? Deje de preocuparse, escriba sus contraseñas y guárdelas en su billetera. No escriba Facebook: ¤ # V & W # V & amp ;, Banco: AybyB% ¤YB¤, Pornografía: &% HB & 4syby, etc. Puede recordar cuál es cuál ..

Si eres un espía para la CIA, sugiero un dispositivo externo con una pantalla para guardar tus contraseñas. No debería ser otro teléfono móvil, sino un dispositivo estúpido. Sin embargo, no debe mostrar a nadie las contraseñas y nunca transferirlas de forma clara. Funcionaría algo como esto:

  

Facebook: Dame tu contraseña, la PC de Anna.

     

La PC de Anna: Espera, ¡tengo un dispositivo externo genial!

     

Facebook: Yo, Anna. ¡Autentíquese haciendo que su dispositivo calcule este desafío utilizando nuestro secreto compartido (la contraseña) y una función hash (o KDF)!

     

Dispositivo de autenticación de Anna: HASH = KDF (Salt, (secreto + desafío), Iteraciones (10000000)

     

PC de Anna: Hola FB. La respuesta al desafío es boogaboogawhatever89646y7547645

     

Facebook: Wow, también tengo HASH = boogaboogawhatever89646y7547645! ¡Pues debes ser Anna!

     

(se abre la puerta de Facebook)

Si estás realmente loco, compra un Lector de código de barras USB y haga de su contraseña bancaria un par de números de código de barras. Sin embargo, creo que podría necesitar varios códigos por contraseña, ya que estos dispositivos (IIRC) solo leen números. 70259438759287598437589247598347598437250983475274652437859423656743825687567345454735276567543356728578535 es una contraseña correcta, ¿no? Escanee los códigos de barras de su banco y ya está.

Para administrar las contraseñas, consulte esta respuesta : el truco no es < em> recuérdelos , pero para almacenar las contraseñas en un área de almacenamiento "razonablemente segura".

Si realmente quieres recordar las contraseñas con tu cerebro, mi consejo sería que te obligues a escribirlas a menudo, al menos diariamente. Los dedos son mejores que las células cerebrales en este tipo de trabajo (se llama memoria muscular ). Por supuesto, esto no es práctico para las contraseñas web "en general". Lo que puede hacer es dividir sus contraseñas en dos categorías:

• las contraseñas que usa con mucha frecuencia, y las almacena en su cerebro;
• las contraseñas que usa rara vez y las almacena en un archivo.

(Existen varios sistemas de almacenamiento, pero un archivo simple puede ser lo suficientemente seguro, si lo haces correctamente; de nuevo, consulta la respuesta anterior a la que estoy vinculado).

¡Camaradas, ah el mundo de las contraseñas! ¡Tan fascinante, dependiendo de qué lado los estés viendo! Personalmente, creo que usar un algoritmo personal sofisticado junto con un poco de salado algorítmico personal, parece ser el más seguro.

El problema con las contraseñas algorítmicas simples es que si los administradores de un sitio web pueden ver su contraseña en texto sin cifrar, podrían descubrir su algoritmo personal y utilizarlo en otros sitios web.

En mi experiencia, he descubierto que una de las mayores amenazas a las contraseñas es la capacidad de restablecerlas, ya sea desde el exterior (desde la web) o desde el interior (es decir, desde entornos corporativos). p>

Así que un algoritmo personal sofisticado + una sal algorítmica personal es lo que usaría.

Mi contraseña de curso es MyPwd * StackEx7 (o, como usted dice en Estados Unidos, NO! ... ;-))

Normalmente voy con esto:

Si tiene poca experiencia en programación (o está dispuesto a aprender), cree un pequeño script (php / perl / java / bash / whatever) para generar contraseñas basadas en una cadena. Por ejemplo:

$ ./genpass facebook.com

Dentro de la secuencia de comandos "genpass" (es mejor que le pongas un nombre), puedes usar tantos algoritmos de cifrado / hash como quieras. Incluso puedes pedir una contraseña (tipo de master) y usarla como salt. Luego, corta la cadena resultante, de aproximadamente 14 a 20 caracteres, que puede usar para su contraseña.

Las ventajas son que no se almacenan contraseñas y que solo usted sabe cómo generarlas. Puedes agregar más y más sitios a esa lista sin tener que hacer nada. Como es su propio método personal (personalizado), solo debe tener cuidado de no mostrarlo delante de nadie más.

Basándome en esa idea, creé un script (en JS) que usa la entropía de cualquier archivo (JPG, DOC, MP3, etc.) y genera una contraseña que puede usar. Como es Javascript, puede usarlo sin conexión y solo necesita recordar qué archivo es para qué sitio (por ejemplo, puede crear un directorio y almacenar algunos logotipos del sitio). Se llama " file2pass " (puede ver algunas demostraciones).

He estado usando esos métodos desde hace 2 años y no conozco mis contraseñas (excepto las que uso todos los días). Los genero sobre la marcha.

  

La última opción me parece la mejor opción (contraseñas diferentes usando un algoritmo personal). ¿Qué piensas? ¿Hay mejores métodos que me faltan?

Creo que un administrador de contraseñas es el mejor.

Sin embargo, como usted quiere consejos sobre el uso de un algoritmo personal, ¡haré lo que pueda para ayudar!

Debería considerar evitar que los propietarios de sitios web vean cualquier patrón que use. Este es un problema similar al de los propietarios de sitios web que desean evitar que los piratas informáticos que roban su lista de contraseñas vean todas las contraseñas, por lo que podemos aplicar mitigaciones similares.

NOTA: También necesita una forma de cambiar las contraseñas después de las violaciones. En mi ejemplo a continuación, adopté el enfoque simplista de tener el año y el mes en la sal, asumiendo que usted cambia sus contraseñas cambiadas mensualmente.

La mejor manera de hacer esto sería usar PBKDF2, Bcrypt o Scrypt ti mismo para generar tu contraseña. Por ejemplo, podría usar implementación PBKDF2 de Python de Mitsuhiko con parche de warner (cambia la línea" rv = starmap (xor, izip (rv, u)) "a" rv = list (starmap (xor, izip (rv, u) ))), o una llamada a openssl, etc. para usar tanto una contraseña como un salt, y tener un gran número de iteraciones. Lo ideal es usar SHA-512 en lugar del SHA-1 predeterminado, y lo que es menos ideal, usar la salida Base64.

El comando podría tener el siguiente aspecto:

pbkdf2 MyPw*forsites salt201402YnU7StackExchange 131072 20

Como mínimo *, puede usar un HMAC, por ejemplo, algo como los primeros 20 caracteres de:

echo "MyPw*forsites" | openssl dgst -sha512 -binary -hmac salt201402YnU7StackExchange | openssl enc -base64

* Este mínimo se considera insuficiente para almacenar las contraseñas de otras personas; Considera cuidadosamente si estás bien usándolo por ti mismo.

Creo que es posible recordar una sola contraseña segura para una contraseña segura, como LastPass o Password Safe.

Empecemos con algunas palabras aleatorias que son raras, pero puedo recordarlas:

  

Mi cabestro estaba a punto de ser ahorcado, por lo que dijo, ser o no ser, esa es la pregunta que me gusta a tope y no puedo mentir

Entonces use la primera letra de cada palabra, solo mantenga wag halter como una palabra:

  

Mwaghalterwatbhshstbontbtitqilbbaicl

Ahora mayúscula "wag halter" de forma extraña

  

mwAGhALTERwatbhshstbontbtitqilbbaicl

Ahora, en lugar de decir que te gustan las agallas, digamos que te gustan las placentas grandes:

  

mwAGhALTERwatbhshstbontbtitqilbplacenTASaicl

Genere una contraseña aleatoria usando una herramienta:

  

/% kJ: #Goh [5l

Inserta cuatro (o por muchos que puedas recordar) de estos personajes en ciertos lugares que recuerdes, o en un lugar aleatorio:

  

mwAGJhA: LT # ERGwatbhshstbontbtitqilbplacenTASaicl

Esto es solo una idea, pero creo que la mayoría de las personas pueden memorizar algo como esto.

Si lo desea, también puede escribir 20 caracteres adicionales para agregar a su contraseña y ponerlos en su billetera. De esa manera, si alguien encuentra su billetera, es probable que todavía no pueda romper la contraseña anterior.

Un artículo relevante sobre el tema: enlace

A veces utilizo frases de contraseña menos poderosas para el correo electrónico o Netflix, donde deseo una contraseña bastante segura, pero algo que puedo recordar la mayoría del tiempo si no tengo mi contraseña segura. Para otros sitios, solo genero una contraseña segura solo porque puedo. Además, si crees que los pasos anteriores son demasiado difíciles, puedes usar una contraseña como esta, que es al menos más fuerte que "JohnDoe45":

  

AgitPROP5% arrogantCANcer