Si desea recordar sus contraseñas, tiene que trabajar su memoria muscular o tendrá que elegir algunas contraseñas fáciles de recordar. Sin embargo, fácil de recordar también es fácil de adivinar. Y la "tensión mental" de recordar 3-4-5 contraseñas de una longitud razonable con caracteres de todas las clases diferentes (superior; inferior; números; símbolos; incluso combinaciones UTF-8 (oh sí, intente tener ALT + 4099 en su contraseña)), no vale la pena el esfuerzo para el usuario promedio.
Entonces, lo que solemos hacer es reutilizar o escribir nuestras contraseñas. La reutilización de contraseñas (su # 2), como usted dice, posiblemente comprometerá todas las cuentas asociadas con ella. La gente realmente entiende esto y generalmente reutiliza las contraseñas solo sobre cuentas que protegen datos de bajo valor.
Sin embargo, anotar contraseñas: afirmo que anotar contraseñas no es un problema si se hace de forma segura. La diferencia aquí es escribir su contraseña bancaria en la parte posterior del generador de OTP o en una nota post-it en su monitor, o si oculta las contraseñas en su billetera. Por supuesto, no puedes usar GæµRA ♣ $ 6 (◘F0z03 * como tu contraseña de Facebook y guardarlo en una caja fuerte. Eso es mala usabilidad.
Tampoco me gusta el algoritmo. Hay algún porcentaje de "seguridad por oscuridad" allí, por lo que, aunque sea poco probable, si alguien encuentra tu patrón, estás jodido. Digamos que es un objetivo de alto valor (lo sé, puede que no lo sea, pero podría tener algo de ese dinero glorioso) y use el patrón en somedisposablemessageboard.com y somepaywallnewspaper.co.uk, dos páginas que podrían haber tenido un pérdida de contraseña. Si su atacante es "capaz cognitivamente", puede encontrar su patrón y probar la palabra BaAnk $ taticPa $$ (compuesta por "Bank", "Anna" y "$ taticPa $$ word"), que es su contraseña bancaria .
Los administradores de contraseñas son una instalación de almacenamiento en la que confía para guardar sus contraseñas. Como ejemplo, LastPass trabaja con un complemento para una autenticación sencilla. De esta manera, ingresa la contraseña maestra (lo que debería ser difícil de adivinar, pero será su única contraseña, puede soportarlo) una vez por sesión del navegador (IIRC) y continúe descargando las contraseñas de LastPass a su servicio. Hay otro problema aquí, para los particularmente paranoicos. Usted ingresa su contraseña maestra en su teclado en su navegador, lo que significa que está almacenada en la memoria y puede (en teoría al menos) ser leída por un troyano. Además, los keyloggers pueden encenderse a su llegada a LastPass.com, recolectando su contraseña. Ambos obtienen la llave del castillo.
(Dato curioso técnico: las contraseñas de LastPass se cifran con una clave generada a partir de su contraseña maestra usando 500 iteraciones de PBKDF2, una función de derivación de claves. 500 iteraciones son la mitad del mínimo absoluto para dicho uso especificado en Documentación PBKDF , y puede no soportar la fuerza bruta si el archivo está encriptado las contraseñas están filtradas.)
Entonces, ¿qué diablos debes hacer si ni siquiera puedes ingresar tu contraseña en el teclado? Deje de preocuparse, escriba sus contraseñas y guárdelas en su billetera. No escriba Facebook: ¤ # V & W # V & amp ;, Banco: AybyB% ¤YB¤, Pornografía: &% HB & 4syby, etc. Puede recordar cuál es cuál ..
Si eres un espía para la CIA, sugiero un dispositivo externo con una pantalla para guardar tus contraseñas. No debería ser otro teléfono móvil, sino un dispositivo estúpido. Sin embargo, no debe mostrar a nadie las contraseñas y nunca transferirlas de forma clara. Funcionaría algo como esto:
Facebook: Dame tu contraseña, la PC de Anna.
La PC de Anna: Espera, ¡tengo un dispositivo externo genial!
Facebook: Yo, Anna. ¡Autentíquese haciendo que su dispositivo calcule este desafío utilizando nuestro secreto compartido (la contraseña) y una función hash (o KDF)!
Dispositivo de autenticación de Anna: HASH = KDF (Salt, (secreto + desafío), Iteraciones (10000000)
PC de Anna: Hola FB. La respuesta al desafío es boogaboogawhatever89646y7547645
Facebook: Wow, también tengo HASH = boogaboogawhatever89646y7547645! ¡Pues debes ser Anna!
(se abre la puerta de Facebook)
Si estás realmente loco, compra un Lector de código de barras USB y haga de su contraseña bancaria un par de números de código de barras. Sin embargo, creo que podría necesitar varios códigos por contraseña, ya que estos dispositivos (IIRC) solo leen números. 70259438759287598437589247598347598437250983475274652437859423656743825687567345454735276567543356728578535 es una contraseña correcta, ¿no? Escanee los códigos de barras de su banco y ya está.