Así que me pregunto cuántas contraseñas son suficientes para que mis datos estén seguros porque ahora tengo una contraseña para el banco & correo (> 10 caracteres + números, etc.) y 1 contraseña mediana para juegos y 1 para sitios con sombra. Los guardo memorizados y no en papel / en un documento. ¿Es suficiente?
No, no es suficiente. Usar la misma contraseña tanto para su correo electrónico como para su banco es una mala idea. Si su proveedor de correo electrónico está comprometido, eso significa que el atacante tendrá acceso a su cuenta bancaria y viceversa. No quieres eso.
Use una contraseña dura por sitio. No podrás memorizar todo eso, pero no te preocupes. Para eso están los administradores de contraseñas .
Si desea que esto se explique en un video con un octupus animado, la Electronic Frontier Foundation lo cubrió .
Una contraseña para el correo del banco y .
Una contraseña mediana para el juego s .
Uno para el sitio con sombra s .
Esta es una muy mala práctica: si alguien descubre una de sus contraseñas, tendrá acceso a muchas de sus otras cuentas. Esto es especialmente malo cuando se reutilizan las contraseñas entre el correo electrónico y las cuentas bancarias, como lo muestra el comentario de @ Jeutnarg.
Menos de 10 caracteres es demasiado bajo. Vaya por algo más alto, al menos > 15.
Use una contraseña segura única para cada cuenta y use un administrador de contraseñas como Dashlane o LastPass para que nunca olvide sus contraseñas. Su contraseña maestra para estos administradores de contraseñas debe ser muy fuerte; Si se descubre esa contraseña maestra, se conocen todas sus contraseñas.
Zero es el número correcto de contraseñas. Idealmente el sistema de autenticación simplemente conocerá su identidad sin ninguna prueba activa de su parte para obtener un token de acceso . (En la teoría de la computación, este tipo de sistema hipotético se llama oracle .)
Lamentablemente, a nadie se le ocurrió tal método de autenticación, por lo que tomamos el siguiente mejor número de contraseñas: one . Utiliza una sola contraseña para desbloquear todos sus tokens de acceso, que a menudo son, pero no necesariamente, contraseñas (por ejemplo, piense en archivos clave). Ahora, en general, no desea utilizar el mismo token de acceso para todos los sistemas de autenticación en caso de que uno de ellos sea robado y abusado para hacerse pasar por otros sistemas. Es por eso que genera un token de acceso diferente (por ejemplo, una contraseña) para cada sistema de autenticación independiente .
El sistema que administra y desbloquea otros tokens de acceso basados en su una sola contraseña se denomina llavero con el popular caso especial de un almacén de contraseñas que es un llavero para un solo tipo de acceso. tokens, contraseñas. Existen algunas buenas aplicaciones de almacenamiento de contraseñas que puede configurar y usar. Vea las otras respuestas para algunos ejemplos.
Como han señalado otras respuestas, reutilizar las contraseñas es malo, ya que cualquier cuenta que use una contraseña reutilizada puede verse comprometida.
Dicho esto, puede ser aceptable para usted reutilizar las contraseñas de ciertos servicios. Específicamente, puede estar bien reutilizar contraseñas para sitios con sombra o cuentas desechables que no le interesan en absoluto, siempre y cuando esté consciente de que estarán en peligro.
Para una configuración segura, deberías recordar al menos las siguientes contraseñas:
Idealmente, eso es todo lo que necesitas. En la práctica, es posible que desee acceder a servicios en otras computadoras y no quiera confiar en que esas computadoras manejen una unidad USB que contenga los datos de su administrador de contraseñas o la contraseña de su administrador de contraseñas basado en la web.
Aquí es donde debe ponderar personalmente la facilidad de uso y la seguridad.
¿Necesita acceder a su correo electrónico desde computadoras que no son de confianza? Y si es así, ¿su correo electrónico está vinculado a cuentas importantes (en cuyo caso, acceder a su cuenta de correo electrónico es probablemente equivalente a acceder a esas cuentas importantes)? Si es así, es posible que necesite una contraseña adicional que deba recordar para su cuenta de correo electrónico (y tal vez desee crear una segunda cuenta de correo electrónico para resolver los problemas).
Si necesita acceder a juegos desde computadoras que no son de confianza, es posible que también desee una contraseña por separado para eso. Dependiendo de la importancia de estas cuentas para usted, la contraseña debe ser más o menos compleja.
Lo mismo se aplica a cualquier otra contraseña que pueda necesitar para ingresar en una computadora que no sea de confianza, donde no tenga la oportunidad de usar un administrador de contraseñas de forma segura. Puede intentar clasificar estas cuentas de acuerdo con la criticidad y, si es necesario, reutilizar las contraseñas de las cuentas en las que no le importa demasiado el compromiso de la cuenta.
El uso compartido de contraseñas funciona hasta que un sitio se ve comprometido o hasta que te están robando con éxito. En ese momento, estás en problemas.
El atacante ahora conoce su nombre de usuario, que probablemente también usará en otro sitio, así como y (un hash con sal de? ¡ojalá !?) su contraseña. Con un poco de suerte, logran descifrar la contraseña real del hash, ahora estás realmente en problemas, ya que esa misma contraseña funciona en muchos sitios. En cualquier caso, incluso si no tienen éxito en encontrar otro sitio donde lo usaste, la contraseña entrará en su diccionario de contraseñas conocidas. Si nada más, hace que la búsqueda de fuerza bruta sea un poco menos fuerza bruta la próxima vez.
En el caso de haber sido robado con éxito, no ha puesto una cuenta en juego, sino muchas.
Escribir contraseñas en papel es malo (aunque admito que lo he hecho durante algunas décadas), memorizarlas es más seguro pero en realidad no funciona tan bien. Diablos, incluso olvido el PIN de 4 dígitos en mi tarjeta bancaria porque solo lo necesito una vez al año. Imagínate lo bien que puedes recordar una cadena de 12 caracteres aleatoriamente razonable.
Mientras esté involucrada una computadora, realmente no le cuesta nada hacer las cosas correctamente. Por ejemplo, KeePass junto con la extensión web Kee (funciona en varios navegadores de alto perfil) generará, y recordará, contraseñas suficientemente sólidas para cada sitio individual Y, dentro de un navegador, esta combinación es una configuración "simplemente funciona". Nunca te preocupes de nuevo, nunca vuelvas a perder un pensamiento en ese problema. También funciona con otros programas (que no son de navegador), solo un poco menos cómodos (copiar y pegar, sin autocompletar).
Las contraseñas generadas son de una calidad mucho mejor que cualquier contraseña que pueda generar usted mismo o que pueda recordar con éxito. Por lo tanto, esto no solo resuelve el problema de uso compartido, sino que también hace que no sea viable forzar la contraseña. A menos que, por supuesto, el CIO de un sitio en particular sea un completo idiota, como es el caso de, por ejemplo, El portal de mi seguro de salud (Axa). Si bien insisten en la identificación postal para una seguridad súper extra, rechazan una contraseña aleatoria de 256 bits, insisten en reglas tontas y tienen un analizador que aún rechaza algunas contraseñas que cumplen con sus reglas estúpidas. Así que terminaste, lo adivinaste, el 50% de los usuarios que eligen Fuckyou!1 . Lo cual, adivinaste correctamente, cumple con sus estúpidas reglas.
Pero, ay, hay cosas que no puedes cambiar. Sin embargo, debe abordar el problema que puede cambiar.
No se trata del número de contraseñas. Tengo una contraseña base, algo muy difícil de descifrar como "Y3DYFR34" que simplemente memorizo y un sufijo que agrego a la base. Así que mi contraseña para stackoverflow sería "Y3DYFR34_stackoverflow" y mi contraseña para correo electrónico sería "Y3DYFR34_email".
Si está utilizando la misma contraseña para todos sus sitios, podría verse comprometida. También debe usar caps small, Alphanumeric and special characters , y debe tener más de 15 dígitos.
Puedes crear cualquier tipo de combinación para la contraseña.
Lea otras preguntas en las etiquetas passwords