Elegir una buena contraseña - otra vez

Navega tus respuestas
3

Aquí hay muchas preguntas relacionadas con la contraseña, pero no pude encontrar la respuesta a la mía. No soy un experto, así que quizás no tenga las palabras clave adecuadas. Lo siento por cualquier duplicado de una posible pregunta 100 veces.

Solo soy un usuario regular que quiere tener una buena contraseña. Por lo que entendí, la mejor solución es tener un administrador de contraseñas (bueno). El problema con el administrador de contraseñas es que, para los pocos que conozco, no puede acceder a su cuenta en un sitio web determinado desde otra computadora portátil (a menos que, tal vez, si instala la aplicación de administración de contraseñas en esa computadora portátil y la sincronice con su cuenta, que sigue siendo molesto).

Luego, se trata básicamente de la compensación, la entropía de la contraseña, el hecho de que debe recordarla y el hecho de que no debe usar dos veces la misma contraseña.

Así que me preguntaba si había alguna seguridad especial adicional al hacer lo siguiente:

  • toma una contraseña fácil: por ejemplo: foo
  • ir al sitio web website.com
  • aplicarle una función simple que transforme foo_website.com para decir, 1634d6f7c5148738bfac403c2a59fdf1
  • usa eso como contraseña para iniciar sesión en website.com

La ventaja en comparación con un administrador de contraseñas es que puedo generar mi contraseña desde cualquier computadora portátil si recuerdo la contraseña y la función. Aquí la contraseña es un hash md5 y md5 que se implementa en muchas máquinas, por lo que no hay nada que recordar, excepto foo.

Mis preguntas son:

  • ¿Hay algún administrador de contraseñas que satisfaga la necesidad de iniciar sesión desde otra computadora (que no es la suya)
  • De lo contrario, este esquema proporciona un buen compromiso en esta situación de compensación múltiple, o es tan malo como reutilizar la misma contraseña independientemente de la entropía de ésta.
  • [¡NUEVO!] ¿Qué tan fácil es descifrar una función, ya sea simple, sin siquiera saber si se usa una función? Por ejemplo, soy un objetivo, ¿cómo se puede descifrar mi contraseña o mi función?
  • Finalmente, he visto que algunos de ustedes estaban usando el concepto de baja tecnología password.txt file [edit] como medio para administrar la contraseña [\ edit]. Qué significa eso ? ¿Es solo un archivo de texto plano con toda su contraseña? ¿Qué tan seguro es esto?

Además, tenga en cuenta que no tengo ningún teléfono inteligente, y que soy consciente de que no será mejor que un administrador de contraseñas y que la seguridad viene a expensas del costo. Me pregunto si hacer esto agregaría un nivel significativo de seguridad, en comparación con tener una contraseña muy segura que recuerde (dejando a un lado el administrador de contraseñas).

    
pregunta jrjc 09.10.2015 - 17:08
fuente

3 respuestas

2

Su intento de establecer la teoría detrás de la creación de la contraseña tiene algunos inconvenientes. Dejame explicar

  • Tomar una contraseña fácil como foo y el intento de transformar for_website.com conducirá a que el atacante cree un conjunto de archivos que le permitan acceder a la función simple y luego generar una lista de todos los hashes que utilizan una combinación de ataque de diccionario y una lista de la mayoría de los sitios web utilizados y utilícelos como una de las entradas para el cracker de contraseñas. Es por eso que los algoritmos criptográficos son algo complejos en su trabajo.

Para responder a tu otra pregunta:

  • Use un administrador de contraseñas en su dispositivo de movilidad. Pruebe algunas de las aplicaciones disponibles en su tienda de sistema operativo.

  • Yo lo diría tan mal como él. Porque no hay ganancia significativa en la seguridad. Estaría mejor usando otros métodos probados disponibles.

  • Depende totalmente del contexto. Por lo general, significa una lista de contraseñas en un archivo de texto que podría usarse como entrada en herramientas de craqueo o también podría significar una lista de contraseñas comprometidas.

respondido por el user2339071 09.10.2015 - 19:01
fuente
1

Utilizo la versión de pago de LastPass como administrador de contraseñas. Intentaré responder a sus preguntas describiendo mi experiencia con LastPass.

Mi contraseña maestra es solo semi-compleja, es algo fácil de escribir porque la refuerzo con 2FA y una alerta de correo electrónico cuando me conecto desde cualquier nueva ubicación / dispositivo / navegador.

Más allá de mi nombre de usuario / contraseña maestra, no hay nada que recordar. La mayoría de mis contraseñas son combinaciones de 16 caracteres generadas de forma aleatoria LastPass, con una capa adicional de 2FA para servicios financieros.

LastPass tiene una aplicación independiente que guardo en una memoria USB. Esto me da acceso a mi bóveda de contraseña sin instalar ningún software en la máquina local. Particularmente útil es una versión portátil de Chromium en la unidad de disco USB, con la extensión LastPass ya instalada para el autocompletar basado en el navegador. Si solo necesitaré uno o dos inicios de sesión mientras estoy en la máquina local, es posible que aparezca la bóveda de contraseñas en mi teléfono.

    
respondido por el onrul 09.10.2015 - 19:33
fuente
1
  

Mis preguntas son:

     
  • ¿Hay algún administrador de contraseñas que satisfaga la necesidad de iniciar sesión desde otra computadora?
    •   
  • De lo contrario, ¿es ese esquema un buen compromiso en esta situación de compensación múltiple, o es tan malo como reutilizar el mismo?   contraseña cualquiera que sea la entropía de ella.
    •   
  • [¡NUEVO!] ¿Qué tan fácil es descifrar una función, ya sea simple, sin siquiera saber si se usa una función?
    •   
  • Finalmente, he visto que algunos de ustedes estaban usando el concepto de archivo de baja tecnología password.txt [editar] como medio para administrar la contraseña   [\editar]. Qué significa eso ? ¿Es sólo un archivo de texto plano con todos   tu contraseña ? ¿Qué tan seguro es esto?
    •   

Oh yay una lista! Esto facilita el seguimiento de las preguntas, así que las abordaré en orden.

  

¿Hay algún administrador de contraseñas que satisfaga la necesidad de iniciar sesión desde una computadora diferente?

Google Chrome lo permite. Siempre que inicie sesión en su cuenta de Google en el navegador web de Chrome, se transferirán sus contraseñas con ella, de manera que se mantenga segura en su cuenta de Google. De lo contrario, eche un vistazo a Roboform ya que puede ejecutarse en múltiples arquitecturas de sistema, ¡e incluso desde una unidad USB!

  

De lo contrario, este esquema proporciona un buen compromiso en esta situación de compensación múltiple, o es tan malo como reutilizar el mismo   contraseña cualquiera que sea la entropía de la misma.

Vuelve a mirar Roboform . Eso generará una contraseña aleatoria para ti.

En cuanto al que está generando, será seguro siempre y cuando usted sea la única persona que tenga una copia del script de generación. Sin embargo, tiene algunas desventajas. Es ruido limitado a dígitos hexadecimales. Este es un gran problema porque ese dígito hexadecimal solo va de 0-9, A-F. Esto limita la cantidad de conjeturas que una fuerza bruta necesita para adivinar su contraseña. Siempre use el conjunto completo de caracteres ASCII (o si Unicode está disponible, etc.) para generar su contraseña.

  
  • [¡NUEVO!] ¿Qué tan fácil es descifrar una función, ya sea simple, sin siquiera saber si se usa una función?
    •   

¿Como en un generador de contraseñas? Depende .

La contraseña solo será tan fuerte como la función para crearla, y si la función utiliza un conjunto de caracteres limitado para generar la contraseña, es un asunto trivial descifrarla. Si usa un conjunto completo ... bueno, las cosas se vuelven más difíciles de romper.

La verdad del asunto es que tener una contraseña buena es solo un paso para mantenerla segura. La otra parte es rotarlo para que los ataques de fuerza a largo plazo no puedan romperlo, nunca lo lograrán porque la contraseña ha cambiado.

Por ejemplo, el de Roboform es impresionante porque genera una contraseña que usa TODOS LOS PERSONAJES DISPONIBLES Puede dentro de las limitaciones de lo que le dices. Esto genera contraseñas extremadamente difíciles de descifrar.

  

Finalmente, he visto que algunos de ustedes estaban usando el concepto de archivo de baja tecnología password.txt [editar] como medio para administrar la contraseña [\ edit]. Qué significa eso ? ¿Es solo un archivo de texto plano con toda su contraseña? ¿Qué tan seguro es esto?

Esto solo significa que mantenemos nuestras contraseñas, la dirección del sitio web y la información de la cuenta en un archivo .txt. Esto es tan seguro como el medio de almacenamiento en el que se encuentra. Si alguien lo encuentra, ahora tienen sus credenciales. Es ... fruncir el ceño para hacer esto, y eso es ponerlo a la ligera. Las credenciales no están cifradas, protegidas por contraseña, ni siquiera se mantienen seguras. Simplemente confían en el hecho de que tienen su computadora en su poder. Si es robado, están en GRANDES problemas.

Por supuesto que también puedes ir por esta ruta con seguridad. Puede cifrar, proteger con contraseña y almacenarlo en un lugar difícil de ubicar lejos de la clave de cifrado. Esto significa que si alguien obtiene el archivo .txt y no lo descifra, es simplemente un flujo de basura sin valor. Especialmente si lo rellenas con datos de basura (como cien líneas de puré de teclado). Por supuesto, en este punto, está realizando la administración manual de contraseñas y también puede mirar Roboform de nuevo.

TL, DR: ¡MIRA ROBOFORM ! Realmente fue algo que surgió en cada una de sus preguntas y parece que será lo que está buscando. Yo uso esto y me encanta.

    
respondido por el Robert Mennell 09.10.2015 - 20:44
fuente

Lea otras preguntas en las etiquetas

Cómo aplicar el hash de contraseñas cuando está limitado a un factor de trabajo bajo Cuando conecto mi PC a una red, ¿qué información (meta) puede ver el enrutador / administrador que identifica mi PC?