¿Existe una solución bien investigada y fácil de usar para el problema de la contraseña? [cerrado]

2

El Problema de contraseña ha sido hablado muchas veces , pero la mayoría de los lugares que he visto ofrecen soluciones terribles como modificar una palabra del diccionario, cambiar los requisitos de su contraseña para incluir caracteres especiales (o utilizando los requisitos de complejidad de contraseñas tontas en absoluto ), etc.

Estoy pensando que la solución temporal al problema de la contraseña del lado del usuario será utilizar un administrador de contraseñas OSS, cifrado de forma segura (verificada por la comunidad) como KeePass, etc. (que es exactamente otra pregunta ), pero ¿hay un buen artículo que recomiende esto a los usuarios y cite artículos académicos? Estoy pensando en algo como:

  1. Instale un administrador de contraseñas (aquí está el enlace) (Ref. a artículo académico con justificación)
  2. máquina- (o mejor aún, dice -) genera tu contraseña maestra. (ref. a las pruebas de penetración de las contraseñas generadas por diceware)
  3. configure 3 niveles de seguridad en los perfiles de generación en su administrador de contraseñas, use la más fuerte (la entropía más larga y más alta (Ref. a qué es la entropía)) cuando esté permitido.
  4. Para cada sitio, verifique la contraseña contra dics , active dos factores siempre que sea posible, no utilice preguntas de "seguridad". (Refs)
  

nota: para lo anterior, los blogs, wikis y otros sitios contribuidos por usuarios se consideran citas no válidas. Las revistas académicas actuales son   preferido, pero los sitios oficiales de documentación también son aceptables. El artículo que estoy buscando puede ser un blog (pero no Wikipedia), pero las referencias académicas que cita no pueden.

Principalmente busco un artículo o publicación del lado del usuario final, aunque también incluye una sección que informa a los propietarios de sitios web sobre el lado del servidor de este problema (citando, por ejemplo, The NIST ) sería aún mejor.

Se prefiere un artículo o página que ya esté escrito, pero iff no existe, tendremos que responder a esta pregunta la primera.

    
pregunta NH. 28.08.2017 - 20:35
fuente

1 respuesta

1

El problema de la contraseña es multifacético. Para esta respuesta, no duplicaré lo que otros le dirán (su proceso parece bastante bueno, pero complejo).

Te diré esto: el algoritmo es la pieza más importante .

Puede usar una contraseña de 81OTl * 8tlxI + VqTZI7% wK sin embargo, si el lugar donde tiene esta contraseña solo almacena texto sin formato, ROT13, DES crypt o MD2, MD4, MD5, NTLM , con o sin un poco de sal, entonces ocl-hashcat puede rajarlo rápidamente. Sin embargo, incluso Password1! con script y 100,000 rondas es más seguro que 81OTl * 8tlxI + VqTZI7% wK en crypt () ...

Referencia: enlace
(o para usted, "Wikipedia no es una referencia", gente: enlace )
enlace

Este no es un "artículo para el usuario final", sin embargo, se puede usar para "educar a los propietarios de sitios web sobre el problema del servidor".

    
respondido por el MikeP 29.08.2017 - 00:05
fuente