Una opción (no decir que sea genial) es combinar la idea del núcleo sólido con la opción de notebook.

Supongamos que tienes un núcleo como: secu_ritYstAcke_xChang_e01

Cambia esto según los requisitos (por ejemplo, cambio 0 - > a, 1 - > b si no se permiten números), los _es que completa del cuaderno. El cuaderno contiene entradas como: (no necesita ser 3 veces 6 caracteres o tener el mismo patrón cada vez)

CompanyX: abc123, xyz! * @, (# * 987

Entonces, la contraseña resultante para CompanyX sería:

secuabc123ritYstAckexyz! * @ xChang (# * 987e01

Creo que claramente puede satisfacer las restricciones 1, 2 y amp; 3. Para la restricción 4, siempre que su "núcleo" y "valores de cuaderno" sean lo suficientemente fuertes como para que una 1 contraseña esté expuesta, no debería aumentar dramáticamente el riesgo para el resto de sus contraseñas, ya que cualquiera de esos caracteres podría ser "central" o no. Aunque sin duda reduce la fuerza. Suponiendo que cambie su parte "central" a menudo, también debe cumplirse la restricción 5. Seguro que los "valores de cuaderno" siguen siendo los mismos, pero dado que el "núcleo" cambia por completo, debería mantener una buena cantidad de entropía.

El portátil representará un riesgo físico, por supuesto, pero por sí solo no debería ser suficiente, se necesitaría una contraseña activa para romper el sistema por completo.

Sin embargo, definitivamente argumentaría usar este sistema para la menor cantidad de sistemas posible (solo aquellos donde no puede llevar su teléfono Y no puede acceder a Internet) y usar un administrador de contraseñas para el resto, ya que este método es un mucho más seguro.

Puede probar Off the Grid . Debe cumplir con todos los criterios 1,2,3,4,5.

Consiste en una cuadrícula de caracteres aleatorios que se pueden usar para cifrar nombres de dominio (o lo que quieras) en contraseñas seguras. Puede imprimirlo y guardarlo en su bolsillo, pero no hay nada en el texto simple para que un surfista de hombro lo atrape. Si usa la forma "estándar" de usarla (descrita en el sitio web), una persona que obtenga una copia podría, en teoría, descifrar sus contraseñas, pero si la modifica ligeramente (también descrita en el sitio web) debería estar a salvo incluso de eso. .

descargo de responsabilidad: nunca he usado este sistema, por lo que no puedo decir lo difícil que es usarlo en la práctica.

Si no está utilizando un método aleatorio como el software de los dados o la aleatoriedad de carácter por carácter, debe idear un método para generar una contraseña que pueda dar lugar a un gran número de posibilidades, incluso si no están realmente aleatorio. La dificultad para usted será usar un método que no ayude al atacante demasiado si se conoce.

Por lo tanto, sugiero evitar esquemas que intenten transformar una contraseña débil en algo fuerte (por ejemplo, el hashing del nombre del sitio). Si adivinan tu método, estás en problemas una vez que crean una regla para un ataque de diccionario.

En cambio, si realmente va a evitar contraseñas aleatorias o software de dados, recomiendo comenzar con una frase de contraseña original larga y agradable, y tomar la primera letra de cada palabra o sílaba, como lo sugirió Bruce Schneier en una publicación algo controversial. Como señalan los creadores de 1-Password , su frase de contraseña no debe sentido, y no debe usar hechos reales sobre usted que alguien pueda descubrir; como dicen en su publicación, "hay más formas ... de mentir ... que de decir la verdad" y "hay más formas para que una oración no tenga sentido que tenga sentido". Por encima de todo, no utilice versículos de la Biblia, letras de canciones o citas de wikipedia , ya que pueden provocar ataques de diccionario; hacer algo en su lugar.

Se pueden introducir números y símbolos con las sustituciones habituales.

Esto NO será tan fuerte como una contraseña aleatoria o una frase de diceware. Puede parecer aleatorio para un humano, pero una computadora puede aprovechar las frecuencias de las letras en la parte frontal de las palabras, el análisis estadístico de la estructura de la oración y todo tipo de cosas para facilitar su trabajo. Cuánto más fácil sería muy difícil, si no imposible, cuantificar.

Probable , con un buen algoritmo de hash lento y una frase de contraseña lo suficientemente larga, y evitando frases comunes, su contraseña será "lo suficientemente fuerte" para resistir un ataque lo suficiente como para que descubra un compromiso y cambiar la contraseña. Por lo tanto, este método es probablemente lo suficientemente bueno como para las contraseñas que debe ser cortas y debe estar memorizadas.

Pero a diferencia de diceware y las contraseñas aleatorias, no hay garantías.

¿Has intentado llevar un pequeño bloc de notas? Utilice un sitio como www.passwordsgenerator.net/ que le permite ajustar su generador para que coincida con los criterios que tiene el sistema específico. Una vez generado, simplemente escriba la oración "Recordar su contraseña". Sé que es probable que los riesgos físicos sean un problema, pero es la única solución que se me ocurre que aún podría usar sin conexión y sin ningún dispositivo auxiliar.

Diceware . También conocidas como frases de contraseña del estilo xkcd .

Estas pueden ser contraseñas memorables que cumplan con todas las restricciones del sistema. La única dificultad es que tienden a ser largos, por lo que cuando dices "entre los caracteres mínimo y máximo" puedes encontrar problemas en el extremo máximo. Esto se puede superar en cierta medida siempre que "max" sea del orden de 30-50 y no de 10-12.

La idea es que comiences con una lista de varios miles de palabras comunes y que elijas 6-8 palabras al azar . El Diceware clásico usa dados físicos reales para seleccionar las palabras, pero puede usar un generador de números pseudoaleatorios seguro criptográficamente si es más fácil. Algunos administradores de contraseñas como 1Password tienen generadores de software de dados integrados, otros como KeePass tienen complementos para hacerlo por ti (como Word Sequencer ).

Si encuentra 6-8 palabras completamente aleatorias no es muy memorable, puede modificar el método para generar frases sin sentido que sigan libremente las reglas gramaticales. Dependiendo de cómo se haga esto, puede ser igual de seguro (por ejemplo, si crea listas de palabras separadas basadas en parte del discurso pero aún así selecciona aleatoriamente de cada lista, en un orden particular). No estoy seguro de cómo se implementa, pero el generador de frase de contraseña legible de KeePass parece hacer algo como esto.

Si las contraseñas generadas a partir de estos métodos son demasiado largas, puede reducir la longitud al intentarlo nuevamente hasta que tenga éxito, o recortar sus listas de palabras para enfocar una cierta longitud promedio. Pero tenga en cuenta que la eliminación de sus listas reducirá la seguridad de la frase de contraseña resultante a menos que reemplace las palabras eliminadas con palabras nuevas (más cortas).

Si necesita ciertos caracteres especiales, o números, o lo que sea, puede incorporarlos en una lista de palabras, o simplemente agregarlos en un lugar específico y depender de la seguridad del método en sí para mantener el resto de los contraseña secreta.

Manualmente, diceware es muy bueno, pero conozco una corporación que usa este esquema (los usuarios seleccionan sus propios pw): 23 + 78 = 101, lo que da 'veintitrés más setenta y ocho es igual a cien y uno'. No utilizo ese esquema, ya que puede ser atacado con listas de palabras personalizadas si un cracker lo conoce. Algo como "¿La carne de caballo es atroz? ¡Pero es delicioso!" es memorable Use este tipo de mnemotécnico y utilice caracteres especiales: é, ö etc.