¿Cómo almacenar las contraseñas escritas en un cuaderno físico?

En orden aproximado de complejidad creciente ( no la seguridad y los métodos pueden combinarse), aquí hay algunas ideas que serían fáciles para cualquiera que esté acostumbrado a resolver rompecabezas / escribir códigos / matemáticas. Una idea más completa está abajo. NB: cuando digo "secreto" quiero decir que no está escrito en el libro. Todos estos son fáciles y muy útiles para disuadir al ladrón ocasional.

• Tener un elemento secreto memorizado, común a todas las contraseñas. *
• Variante menor: un elemento secreto que se deriva fácilmente del nombre / nombre de usuario del sitio web.
• Ponga demasiada información en el libro, por ejemplo, Sepa que en realidad omite los primeros 4 caracteres de cada contraseña. *
• Compensar la cuenta y la contraseña con un número constante de entradas. *
• Nunca escriba el nombre de usuario completo, solo lo suficiente como para ser una pista para usted.

* Estos elementos tienen la vulnerabilidad significativa de que una vez que se confronta la ofuscación para una entrada, se agrieta automáticamente para todas las entradas sin mayor esfuerzo.

Si se publica el algoritmo exacto , es evidente que un ladrón de cuadernos de notas que también podría escribir intentos de inicio de sesión (o un equipo, por supuesto) podría aplicar el algoritmo de forma automática - o todos los algoritmos publicados. El tipo de algoritmo podría publicarse, por ejemplo:

• Desde la contraseña como está escrita, llame al primer dígito x y al segundo y .
• Contar x caracteres desde el primer signo de puntuación (o primer carácter o primer dígito).
• Luego intercambie los casos de las siguientes letras y (o antes de y ).
• Para un PIN de 4 dígitos memorizado, incremente las primeras cuatro letras en los números del pin (por ejemplo, 1234 aplicado a a!bcd daría b!dfh ).

Por supuesto que podrías:

• Intercambia los significados de x y y
• Incremento / decremento x y y .
• contar desde la primera vocal .
• Intercambia los casos de y consonantes .
• Reemplace los dígitos con sus letras correspondientes por posición alfabética y viceversa.
• Intercambie los dígitos de la puntuación en la misma tecla (o necesita confiar en la distribución del teclado que encontrará o conocer muy bien su propio teclado).

Todas estas operaciones, por definición, pueden ser programadas. Pero el ladrón del cuaderno tendría que conseguir (o escribir) un script que los implementara (y en realidad es un espacio bastante variable incluso sin un elemento secreto. Luego tendrían que escribir las contraseñas (un proceso propenso a errores al azar). (texto generado), ejecute el script sobre la lista e intente iniciar sesión con las ahora potencialmente miles de contraseñas por sitio. Y espere que el sitio no se bloquee después de varios intentos fallidos.

Valdría la pena mantener una lista de respaldo, incluso si no es una copia de respaldo del libro, como una lista de sitios para los que se deben cambiar las contraseñas / cuentas marcadas si el libro desapareció.

Al igual que con muchas medidas de seguridad, el objetivo debe ser esforzarse demasiado para entrar. Al combinar el esfuerzo manual y con guión, estás haciendo mucho por eso y aumentando tus posibilidades de que se rindan.

He creado un lenguaje para este propósito. Ninguno de los símbolos se parece en nada al inglés (no se dice si se parece a cualquier otro idioma), no hay espacios, faltan varias letras, los patrones comunes se convierten en símbolos únicos (dis, ing, etc.) para evitar la descodificación fácil, está escrito De arriba a abajo, de derecha a izquierda, en una cuadrícula sin líneas, y usé basura para rellenar cada línea.

Dependiendo de cómo lo esté almacenando, también uso una rueda de código de desplazamiento que se ajusta en la colocación de la última letra. Si la última letra utilizada es algo como h (sistema sin caseta), agregue 7 a la siguiente rueda de código de letras. Puede incluir las ruedas de código en la página en la papelera para confundir aún más a un atacante. Ya que puedes crear múltiples ruedas de código por página y cambiar los números a tu gusto, evita un ataque fácil. Otra opción es superponer las ruedas de código. Si eres perezoso puedes usar un patrón numérico como + 5, -2, + 3,6 como un PIN.

Un método básico para minimizar el impacto de que alguien sea capaz de descubrir contraseñas al echarle un vistazo al portátil sería tener una contraseña por página: si está viendo esa, eso es todo lo que pueden ver.

Otra alternativa sería tener un Diceware o una lista similar, y anotar los números. Agrega un paso al "descifrado", en el sentido de que el propietario legítimo debe realizar una referencia cruzada con una lista de Diceware, pero probablemente ralentizaría a un atacante con acceso al cuaderno por un breve período; probablemente tendrían que fotocopiarlo. lista completa, así como cualquier número específico del sitio para estar seguro de acceso.

Esencialmente, sin embargo, si el propietario puede "descifrar" instantáneamente, un atacante puede descifrar el tiempo dado. Si tienen acceso por un tiempo, pueden tomar claramente una copia del contenido y trabajar en él sin que usted lo sepa (al hacer que encuentre el libro en un lugar que considere seguro, por ejemplo, tal vez en su casa donde normalmente guarda su bolso , donde podría haber caído naturalmente).

Podrías recordar una contraseña parcial fija y solo anotar las partes variables. Sin embargo, en ese caso, no confía en ninguno de los sitios para los que se autentica contra la violación: en cuanto lo haga, debe considerar la parte parcial comprometida y cambiar todas las contraseñas que la utilizan, como si hubiera utilizado la misma. contraseña en todas partes.

La opción más segura podría ser tener una caja de seguridad física en la que se mantenga el portátil, y que solo se abra cuando no haya nadie más cerca. Parece un poco excesivo para la mayoría de los usos, pero ese es el método utilizado para algunos datos críticos, como las claves de firma de la raíz del DNS.

Escriba un diario e incruste las contraseñas en las entradas. No se verá como un libro de contraseñas. Alguien tendrá que leerlo para notar las palabras mal escritas. Utilicé una libreta de direcciones donde estaban las direcciones, números de teléfono y códigos postales de amigos cercanos y familiares que eran PIN y contraseñas. Conozco las direcciones y los números de teléfono de mis familiares, por lo que registrarlos incorrectamente no importaba.

Hay muchos ejemplos mejores y más seguros, pero pensé que mencionaría una cosa que he usado en el pasado, que es mnemotécnica en forma de dibujos / cómics para representar frases de contraseña. Sin embargo, esto requiere que pueda recordar vagamente cuál fue la frase de contraseña.

Un ejemplo podría ser la frase "¡El cumpleaños de Tommy es el 23 de marzo!". El cómic podría consistir en un personaje que recuerdas mentalmente como "Tommy", que celebra su cumpleaños, con una frase de remate a una broma de papá (o algo con una referencia al sitio que estás usando), y fechado / firmado el 23 de marzo. También puede agregar muchos más cómics que no representan contraseñas para ocultarlos aún más.

Para alguien que camina, este es simplemente tu cuaderno de bocetos. La mayoría de las personas no están interesadas en robar garabatos de un mal dibujante, y especialmente no esperan que sea un libro de contraseñas. En el caso de que alguien lo robe y conozca su sistema, aún necesitarían poder entender cómo procesa mentalmente sus propios dibujos, lo que en gran medida será subjetivo. Esto también se puede dificultar al agregar información de relleno dentro de cada dibujo para agregar ruido a la contraseña para cualquiera que esté tratando de descifrarla. Si disfrutas de la fantasía, incluso puedes empujar esto más lejos haciendo "leyes" mentales sobre lo que importa en tu mundo de fantasía que retratas a través de cómics / dibujos.

Como dije, hay maneras mucho mejores de almacenar las contraseñas físicamente, ¡pero esto puede funcionar para las personas que usan bien los mnemónicos y también puede ser muy divertido!

Usa una máscara.

No, en serio. Use algo como cartulina de grosor medio, que se puede obtener en tiendas de suministros de oficina o de pasatiempos, para crear una máscara de rejilla rígida, tal vez ranuras de 30x6 caracteres, y recorte agujeros colocados al azar para tal vez de 40 a 50 caracteres. (Obviamente, puede elegir diferentes dimensiones, según sus necesidades).

Para escribir una contraseña, coloque la máscara en la parte superior de su cuaderno, escriba la longitud de la contraseña a través de los primeros dos orificios (o elija un carácter especial que siempre signifique "este es el final de la contraseña" y escriba eso al final, en lugar de eso), luego la contraseña a través de los orificios restantes (primero a lo largo o por columna, nuevamente su elección), tantos como sea necesario. Cuando haya terminado, quite la máscara y complete todos los espacios de caracteres restantes con caracteres de basura; Cuanto más aleatorio, mejor. Para facilitar esto, comience dibujando una cuadrícula en el cuaderno antes de ingresar la contraseña.

Cuando necesite leer una contraseña, simplemente coloque la máscara en la parte superior de la mezcla de caracteres y lo que permanecerá visible será la contraseña más la basura aleatoria que utilizó para completar los espacios de caracteres que no forman parte de la contraseña. . (En ese momento, solo necesita saber la longitud de la contraseña, de ahí el carácter de terminación o el registro del número de caracteres).

Mantenga la máscara segura pero separada del cuaderno, tal vez en su billetera. Considere la posibilidad de que la máscara sea su "frase de contraseña maestra".

Esto no protegerá realmente contra un atacante que se dirige específicamente a tu esquema y quizás incluso a ti específicamente, pero debería proporcionar una cantidad razonable de seguridad contra alguien que tenga sus manos en el portátil mientras tiene bajos gastos generales cuando estás legítimamente usando las contraseñas. La sobrecarga aquí es cuando registra una nueva contraseña en el cuaderno, que a menudo es una situación que puede controlar mejor (por ejemplo, es probable que no sea necesario cambiar su contraseña bancaria mientras se encuentra en un cibercafé de forma aleatoria). país del tercer mundo).

Si desea mejorar aún más el factor de ofuscación, puede agregar un desplazamiento al esquema: registre cuántos caracteres al principio para omitir al ingresar la contraseña.

Si hay una cámara que graba su computadora portátil mientras está ingresando la contraseña, parece igual de probable, si no lo es, más probable que también esté grabando el teclado que está usando para ingresar la contraseña, momento en el que casi perdió. no importa qué esquema utilice para ofuscar las contraseñas escritas.

Érase una vez, anoté los diferentes PIN para mis tarjetas de crédito y bancarias. Los convertí a la base 9 y luego agregué un extra de 9 en algún lugar en cada número. Creo que eso era bastante seguro, pero, por supuesto, solo funciona con contraseñas totalmente numéricas como los PIN.

He encontrado varios intentos con una tarjeta de referencia del tamaño de una billetera que se utiliza como texto cifrado de su contraseña. Un ejemplo: enlace

No usaría uno de estos, pero si lo hiciera, dedicaría más tiempo a mi modelo mental de cómo obtuve mi contraseña, lo que debería proporcionar suficiente confusión como para que usted no pudiera adquirir la contraseña. tarjeta y la contraseña al mismo tiempo. Si estaba preocupado por esto, tendría que encontrar alguna forma de cambiar su cifrado. "El número de la fila es el dígito del número de teléfono con el tercer carácter en el nombre de dominio de este sitio, la columna es el segundo desde el último carácter convertido a la posición numérica en el alfabeto". Entonces, Google.com es O = 6 en el teclado de marcación, por lo que la sexta fila, la columna es G = 7 y la séptima columna, luego decida algún otro factor sobre cuántos caracteres y de qué manera lee o cómo cambia cada carácter. Diagonal, hasta 1 & más de 2, etc.

Al menos con esta solución, puede perder el "cuaderno" y reemplazarlo más tarde, y no complicar demasiado las cosas al tratar de crear un esquema seguro. Si le entregué mi "tarjeta" con los caracteres que utilicé, las posibilidades de que comience en el lugar correcto con cualquier sitio web determinado y elija la dirección, longitud, etc., despreciables.

Tiene un modelo de amenaza diferente para los documentos escritos que para los electrónicos, pero la forma de manejarlos es bastante conocida: restringir y auditar el acceso físico.

No importa si se trata de códigos de lanzamiento nucleares o la combinación del candado del diario de tu hermana pequeña, excepto en la forma específica en que vas a realizar ese control.

Esto también significa que, si desea proteger estos datos, no debe simplemente ofuscarlos sino cifrarlos. Una forma de hacerlo podría ser cifrar los datos con una contraseña, imprimir el texto cifrado como un código QR y almacenarlo. Sin embargo, no le da mucha ventaja sobre el control de acceso adecuado: es ciertamente más seguro, pero es un inconveniente de usar y probablemente le fallará cuando realmente lo necesite.

Uso pistas mnemotécnicas. Así que invento una contraseña que puedo construir a partir de las pistas, y luego solo almaceno las pistas en papel. Las pistas pueden ser un garabato, o parte de un dibujo, o algo que me recuerde cuál es mi contraseña. O que me recuerdan la parte que no he memorizado. Entonces, sin saber cuáles son mis asociaciones, parecería bastante difícil para alguien descubrir mis contraseñas a partir de mis pistas.

¿La seguridad a través de la memorización cuenta como seguridad en la oscuridad? Me parece que dentro del contexto de la pregunta, esto está muy lejos de lo que es probable, dado que es un sistema de contraseñas, y es una forma de evitar la deducción de la contraseña mirando el cuaderno, a menos que alguien me conozca tan bien que De alguna manera pueden deducir de mis pistas. Estoy bastante seguro de que puedo inventar algunas contraseñas que ni siquiera las personas que mejor me conocen pueden inferir, aunque eso requiere una mayor intención de inventar una frase de contraseña que sea una extraña combinación de cosas, para lo cual mi único contexto es recordar la frase I confeccionado.

Ejemplo: un garabato abstracto con muchos símbolos y contraseñas, y elijo un lugar para una parte donde hay una pequeña curva, y en una dirección hay tres marcas pequeñas y luego una larga, pero no están No se distingue de los muchos otros garabatos y puntos y así sucesivamente. Pero puedo recordar que son la parte que estaba usando para recordarme mi contraseña. La curva me recuerda a una parte del cuerpo, y las dos primeras palabras son esa parte del cuerpo en dos idiomas diferentes, luego las tres marcas son una frase de tres tonos que sé que recordaré, como "yo ho ho", y la barra diagonal Es un comentario final que también recordaré, como YOW! Así que siempre puedo hacer que recuerde "gomitoelbowyohohoYOW!" ... pero no creo que nadie más vaya a saber dónde buscar en mi doodle, y mucho menos deducir esa contraseña.

Escriba sus contraseñas con tinta invisible.

Tome un libro regular o una libreta que tenga un propósito diferente (notas escolares) y escriba sus contraseñas en los márgenes con una tinta que solo pueda verse con luz UV. Cualquiera que mire el cuaderno / libro asumirá que es lo que parece ser mientras aún tiene acceso a las contraseñas.

Nota: No sé cuál es la duración de la tinta invisible cuando se utiliza en papel.

En 7mo grado nuestra clase nos hizo escribir un diario. Usé un código simple que usaba símbolos novedosos para las letras, y lo noté en la parte posterior. Pero pronto lo memoricé y fácilmente lo escribí directamente.

Usar símbolos novedosos es menos confuso que usar un código de sustitución de las letras. De hecho es bastante fácil.

Se confunde, pero se puede romper a través de técnicas normales ... ¡si tiene texto normal en inglés (o lo que sea)! Para contraseñas de letras aleatorias, es bastante seguro a menos que tenga alguna forma de romper algunas entradas y usar los resultados para leer otras. Esto se puede mejorar al tener varias entradas y usar otro método oculto para saber cuál es el correcto.

Regla número uno: NO ESCRIBA SU CONTRASEÑA

A fines de los años 60, las empresas comenzaron a usar computadoras mainframe. Este fue un nuevo concepto en los negocios. El propietario del negocio encontraría a alguien que tuviera alguna aptitud (vea una clase de la universidad donde realmente vieron una computadora) y les pediría (bajo amenaza de terminación) que se convirtiera en el administrador del sistema. Al nuevo administrador se le proporcionará un nombre de usuario y contraseña. Este fue un nuevo concepto para mucha gente. Entonces, anotaron la contraseña, por si acaso.

Múltiples personas estaban usando el mainframe en la misma cuenta. El problema era que alguien configuraría todo para un proceso por lotes, volvería más tarde para finalizarlo y descubriría que alguien más había ingresado y reconfigurado todo para su proceso por lotes. No fue muy eficiente. Se configuraron las cuentas y se entregaron los inicios de sesión y las contraseñas. Y, por supuesto, las contraseñas fueron escritas.

En los años 80, llegó el momento de poner las computadoras en los escritorios de las personas. Todos estaban conectados a través de una red de regreso al mainframe. De esta manera, no tuvo que alejarse de su escritorio para obtener los resultados del trabajo que realizó el mainframe. También le dio a la gente la suficiente potencia en sus escritorios para hacer algunas de las tareas que tenían que realizar el mainframe. Muchos sistemas requerían contraseñas de ocho caracteres para ayudar a evitar que se adivinaran los simples y populares. Como las contraseñas ahora eran más complejas (oh, mira, la contraseña tiene 8 caracteres y nadie lo adivinaría), la gente las escribió.

En la década de los 90 hubo una nueva moda por la que todos estaban entusiasmados. Se llamaba interwebs, no, intertoobz, no, espera ... internet. Y los sistemas se estaban conectando. Podríamos enviar un correo electrónico al instante en lugar de tener que escribir uno y enviarlo por correo. Entonces, comenzamos a usar letras, números y caracteres en nuestras contraseñas de alta seguridad de 8 caracteres ... que aún estábamos escribiendo.

En el ... ¿debería (?) comenzamos a realizar operaciones bancarias, compras y escuelas en línea. Creamos cuentas y usamos la misma contraseña para protegerlas a todas. Y para asegurarnos de que no olvidamos esta contraseña, la escribimos.

Aquí estamos en 2015. La persona promedio tiene 30 nombres de usuario y contraseñas diferentes que deben recordar. Deben tener una longitud de 15 caracteres, palabras no basadas en lenguaje que incluyan símbolos, números y mayúsculas y minúsculas. También hay una lista de cosas que absolutamente no deberían ser.

Ahora, entiendo que hemos pasado 5 décadas capacitando a las personas para que infrinjan la regla número uno. También entiendo que la gente odia el cambio y la tecnología.

No me importa cuál es la excusa. Sí, el malware es una consideración. Sin embargo, cuando realiza un análisis de riesgo real, el malware no es un riesgo tan grande como escribir su contraseña. Puede pensar que es increíble tener un sistema para ocultar su contraseña.

Todo lo que necesito es hacer una foto de una página, y tengo todo el tiempo que necesito para descifrar tu contraseña. Una vez que descubra su sistema, puedo entrar en cualquier cosa en el libro. Es por eso que esta es una respuesta inaceptable. Una computadora es una solución mejor que tú. Si no fuera así, los gobiernos no usarían computadoras para crear y controlar las contraseñas.

Solo para completar, por los comentarios a la pregunta:

Utilice un texto o libro existente y derive las contraseñas desde allí

Imprima un artículo o lleve un libro con usted, preferiblemente uno que no suscite sospechas en el (los) entorno (s) que planea usar el "cuaderno".

Decide sobre un algoritmo cómo derivarás las contraseñas del texto del libro. Algo como "de las primeras diez palabras de un párrafo específico, tomar la primera letra y unirlas para formar la contraseña" es probablemente un poco demasiado simple, pero seguramente encontrará un algoritmo personal que es un poco más difícil de adivinar.

Para asignar contraseñas (es decir, partes del texto) a las cuentas, básicamente tiene dos opciones, pero también se pueden combinar:

• Para una cuenta, elija un pasaje de texto que de alguna manera se relacione con el tema de la cuenta. Esto requiere un poco de creatividad. Por ejemplo, la parte de una historia corta en la que el personaje principal le envía una carta a su amiga podría indicar que la contraseña de su cuenta de correo electrónico está oculta allí.
• Poner notas adhesivas o similares en el libro. Marca partes del texto y escribe notas junto a ellas. Es perfectamente normal que cualquier persona que esté estudiando un texto lo rocíe con todo tipo de anotaciones. Especialmente si llevas este libro contigo todo el tiempo, esto es lo más plausible. Tenga cuidado de que sus notas no hagan tan obvio que un pasaje puede contener una contraseña. Quizás también marque algunas partes del texto que no contienen contraseñas, para llamar la atención.

Puede parecer un poco extraño si vas a correr con el mismo libro durante los próximos diez años. Sin embargo, las contraseñas deben ser cambiadas de vez en cuando de todos modos. Luego de un tiempo, obtenga un nuevo libro, prepárelo como se sugiere anteriormente y cambie sus contraseñas.

Como beneficio adicional, es posible que desee elegir un libro que contenga listados de códigos fuente o partes técnicas. La idea detrás de esto es que naturalmente consisten en muchos caracteres especiales (no alfanuméricos). De esta manera, puede obtener más fácilmente una contraseña con caracteres especiales del texto.

Escriba / imprima una hoja de papel con caracteres completos o use un libro ya escrito o un ensayo antiguo de la escuela, memorice alguna posición y patrón y listo.

5000 caracteres caben en una sola página, Hay 5000 ^ n patrones diferentes que podrías tomar, así que con información 0, el papel es más difícil de descifrar que un simple ataque de fuerza bruta en la propia contraseña.

Si el número de intentos de contraseña no está limitado, entonces deberá imprimir caracteres especiales y mayúsculas en el papel o tener una contraseña larga como alternativa.

También puedes hacer algunas marcas falsas / adivinanzas falsas / palabras falsas en el papel para seducir a un atacante para que intente iniciar sesión y te avise / avise potencialmente.