¿Alguna razón para no usar información segura que usa información personal pero que nadie más conoce con una contraseña?

Navega tus respuestas
18

Acepto que nada puede ser mejor que una contraseña verdaderamente aleatoria.

También sé que es una cosa mala utilizar cualquier información personal en una contraseña.

However , dado que es difícil lograr que las personas utilicen prácticas de contraseña adecuadas, y dado que las personas recuerdan información personal, incluso la más oscura, ¿verdad? strong> prácticamente , no teóricamente) ¿es aceptable usar una contraseña que combine información personal poco clara de la que uno puede estar razonablemente seguro y que es inaceptable para otros?

Para enfatizar, no creo que necesitemos discutir la teoría de las contraseñas seguras.

Si alguien tiene más de cierta edad, tiene una gran cantidad de recuerdos de la vida y puede elegir entre elementos oscuros.

Puedo recordar:

  • el 'número de teléfono de una tía anciana que murió hace décadas. Nosotros, la mayoría de nosotros, tenemos docenas de parientes, amigos, vecinos, desde tiempos pasados.
  • la placa de matrícula de un automóvil que mi padre manejaba cuando tenía unos 8 años (y que él mismo no podía recordar cuando lo mencioné recientemente). ¿Cuántos carros he tenido yo, familia, amigos, vecinos, a lo largo de los años?
  • nombre de un profesor universitario
  • una larga y difunta librería
  • un pub en el que no he estado a menos de cien millas en décadas, y no he frecuentado mucho, pero estaba cerca de un lugar importante para mí
  • una estación de tren, en un país extranjero, donde una vez comí un delicioso refrigerio
  • el código postal / postal de un lugar en el que escribí cartas reales, en el pasado

Podría seguir y seguir.

Para alguien que no puede / no usará un generador de contraseñas (y todos sabemos lo suficiente de ellos), esto es mejor que correct horse battery staple .

¿Es "suficientemente bueno"? Si alguien se niega a usar un generador de contraseñas, debería instarles a que piensen en información personal y no relacionada, que están seguros de que nadie más sabría y nadie recordaría.

    
pregunta Mawg 04.02.2017 - 12:20
fuente

3 respuestas

21

Estos elementos no son lo suficientemente buenos por sí mismos , porque los números de teléfono, las matrículas, los nombres, los códigos postales, etc. son conocidos y enumerables, y es fácil agregarlos a una lista de palabras de un buscador de contraseñas. . No importa que tu tía haya muerto hace mucho tiempo; su número de teléfono sigue siendo solo un número, y no es muy grande.

El pub y el nombre de una tienda de libros extinta son un poco mejores porque el pub podría llamarse "la canasta de cordero y mimbre" y la librería podría ser "eggertsons & son mind food", que probablemente no se encuentren en cualquier lista disponible en Internet.

No estoy seguro de dónde colocar la estación de tren. Es básicamente un nombre de lugar, al que puedo acceder lanzando una araña a wikipedia o posiblemente descargando en una lista ya preparada de algún tipo de sitio web de SIG, así que no creo que sea una buena idea usar solo uno de estos fragmentos.

Sin embargo, como sugiere, la combinación de estos fragmentos de código personales sería una contraseña muy segura. P.ej. el número de teléfono de su tía muerta, combinado con el lugar donde pasó sus primeras vacaciones, combinado con la matrícula de su abuelo, combinado con el pub donde conoció a su esposa, que probablemente sería una muy buena contraseña. / p>

El elemento básico de la batería proviene de la lista de palabras de diceware, que consta de unas 7000 palabras. Hay más códigos postales, muchos más números de teléfono, muchas más matrículas, muchos más nombres de lugares que eso, por lo que la combinación resultante sería mucho más fuerte que una contraseña de diceware, suponiendo que su atacante no lo conocía muy bien.

Si quisiera enseñar este método a las personas, tendría que asegurarse de que comprendieran que la fortaleza de la contraseña resultante dependía de la cantidad de posibilidades para cada uno de los fragmentos personales. El "número de placa de su abuelo" abre millones de posibilidades, mientras que "la comida favorita de su hermano" o "el color favorito de su mejor amigo" solo ofrece algunas posibilidades fáciles de adivinar y, por lo tanto, no debe incluirse como parte de la contraseña.

    
respondido por el Pascal 04.02.2017 - 12:52
fuente
14
  

Para alguien que no puede / no va a usar un generador de contraseñas (y todos sabemos lo suficiente de ellos), esto es mejor que la batería de caballo correcta.

     

¿Es "suficientemente bueno"? Si alguien se niega a usar un generador de contraseñas, debería instarles a que piensen en información personal y no relacionada, que están seguros de que nadie más sabría y nadie recordaría.

El beneficio real de la seguridad en el uso de un administrador de contraseñas es no tener contraseñas largas y pseudoaleatorias. Más bien, es que tienes diferentes contraseñas por sitio.

Lamentablemente, todavía es común encontrar sitios web (y aplicaciones móviles, etc.) que almacenen sus contraseñas de manera fácilmente reversible. Si la contraseña de su amigo se revela de tal manera, ya no importa lo difícil que sea adivinar, el atacante no necesita adivinar, porque tienen una contraseña para probar en todos los demás sitios.

A menos que vayan a memorizar diferentes contraseñas por sitio, diría que enseñar a alguien a usar un esquema de contraseña complicado como este es irresponsable : les da una sensación de seguridad indebida.

    
respondido por el Xiong Chiamiov 04.02.2017 - 16:44
fuente
3

Tu idea está completamente bien. Si su contraseña es lo suficientemente larga, la única forma en que un atacante podría descubrir sus datos personales es si se dirigen específicamente a usted e investigan su vida. A menos que sea famoso, o extremadamente rico, o tenga acceso a información secreta que pueda afectar la vida de otras personas, entonces es probable que nadie lo esté apuntando específicamente en línea. Si no está siendo apuntado, entonces la única forma en que alguien puede adivinar su contraseña es mediante ataques inteligentes que no sean específicos para usted o por fuerza bruta. En otras palabras, incluso la combinación de su número de placa actual y el número de teléfono actual con el nombre de su perro y la comida favorita para hacer una contraseña de 30 dígitos será más que suficiente protección contra ataques inteligentes no dirigidos y fuerza bruta. Lo que describiste suena bastante parecido a eso, pero en el orden de 1000 veces mejor.

Sin embargo, grita a la respuesta de XiongChiamiov. Esta idea solo funciona para cualquier contraseña única. Si desea recordar 50 derivaciones de la misma por cada sitio diferente que use, y una está comprometida, las otras también podrían estar en riesgo si se descubre el patrón.

    
respondido por el TTT 04.02.2017 - 21:23
fuente

Lea otras preguntas en las etiquetas

¿Es posible incluso hackear un canal de televisión? Descarga de memoria de Android