¿Cómo reutilizar de forma segura las contraseñas en la variación?

Navega tus respuestas
3

Recordar muchas contraseñas es difícil. Mucha gente usa el mismo o un pequeño conjunto de contraseñas para todo.

Por supuesto, esto es muy inseguro. Si se roba una contraseña de este tipo, el adversario podría ingresar en varias o quizás en todas sus cuentas.

Digamos que tengo la contraseña básica Fo0b @ rPW que me gustaría reutilizar en cada cuenta que uso.

Fo0b @ rPW google ; Fo0b @ rPW facebook ; y así sucesivamente

Esto es, al menos, un poco más seguro que reutilizar la misma contraseña, pero sigue siendo bastante vulnerable a los ataques de diccionario.

¿Cómo puedo modificar una sola contraseña de forma segura, pero aún puedo recordar cuál es la variante de cada sitio?

Una idea que tengo es agregar dígitos específicos en compensaciones específicas como:

Fo0b @ rPWgo 2 y 4 le 6 ; Fo0b @ rPWfa 2 ce 4 bo 6 ok 8 ; y así sucesivamente.

EDITAR:
El problema es que alguien que podría obtener una contraseña en texto sin formato es capaz de descifrar las otras contraseñas. Esto significa que la parte específica del sitio también debe formar parte de la entropía.

Ahora si uso algún tipo de algoritmo elaborado como

  

Tome el primer dígito del nombre de host.   Tome el pie cruzado del valor ASCII dec de ese dígito.   Desde el desplazamiento (pie cruzado), inserte una cadena con la longitud (nombre de host)   Invertir esa subcadena, si el desplazamiento es un número redondo

Algo como:

  

fo0b @ rPWfac 12345678 ebook
  fo0b @ rPWgoog 654321 le

    
pregunta Sempie 01.10.2015 - 12:49
fuente

1 respuesta

7

En seguridad, siempre asumimos que el algoritmo es conocido, ya que agregar una estructura a una contraseña no te ayudará a aumentar su entropía (fuerza). Esto es un pensamiento informativo, ya que no es el tema de la pregunta.

Suponiendo que su "contraseña básica" tiene suficiente entropía (es lo suficientemente fuerte), su método propuesto es bastante seguro suponiendo que todos los sitios en los que usa este método en hash sus contraseñas.

La seguridad de su método se basa en no poder usar la contraseña obtenida de un sitio violado para obtener acceso a otros sitios. Cuando su contraseña está oculta, este es el caso.

Sin embargo, un sitio no debe codificar su contraseña o tener una vulnerabilidad en su hash. Todo el sistema es vulnerable.

Lo que realmente hace tu sistema es agregar "sal" al sistema. Muchos sitios ya lo hacen por usted, la mejor práctica lo requiere. Entonces, lo que básicamente estás haciendo es agregar tu propia sal, que podría ayudar a los sitios que hacen hash de su contraseña pero no agregan sal. Por lo tanto, a diferencia de usar la misma contraseña en todas partes, esto aumenta la seguridad pero no mucho.

Como tal, no recomendaría este método y diría que un administrador de contraseñas, incluso si tienen sus problemas, es una solución más segura al problema de contraseñas.

    
respondido por el Selenog 01.10.2015 - 13:02
fuente

Lea otras preguntas en las etiquetas

Para la máxima seguridad, ¿es mejor vincular las bibliotecas de OpenSSL de forma estática o dinámica? Guardar la longitud de la contraseña después del hash para minimizar el cálculo