¿Es esta [1] una forma segura y razonable de generar una contraseña única para iniciar sesión en varios sitios web?
echo -n my_strong_master_password#website.com | sha1sum
Por supuesto, si mi sistema se ve comprometido, se perderán todas las contraseñas, pero lo mismo pasaría con un administrador de contraseñas, si hay un registrador de teclas.
Si esto no es seguro, ¿existen medios para mejorarlo y, al mismo tiempo, mantenerlo portátil?
[1] Fuente: enlace
Sí y no.
Depende de la fuerza de su contraseña maestra. Ya que está usando una función de hash rápida, su contraseña maestra debe ser aún más fuerte.
La principal amenaza de este esquema es que cualquier sitio web al que le des una contraseña puede intentar atacar con fuerza bruta o diccionario a su contraseña maestra. Una vez que lo tienen, pueden suplantarlo en cualquier otro sitio que utilice este esquema.
Aquí hay 2 buenas respuestas sobre el tema:
Sí, esto debería ser suficiente. Minúscula más numérica (la salida de sha1) le da un espacio de búsqueda de 36 caracteres. Con un total de 40 caracteres en un hash SHA-1, el espacio de búsqueda es 1.84 x 10 ^ 62. Si toma una contraseña relativamente segura (mayúscula, minúscula, numérica y especiales) de longitud 8, su espacio de búsqueda es de 6.70 x 10 ^ 15. Sin embargo, muchos sitios requieren el uso de mayúsculas y minúsculas y / o un agregado especial / numérico, por lo que probablemente debería esconderlos en algún lugar para cubrir los sitios que requieren tal información. Además, muchos sitios también limitan la longitud de la contraseña, aunque si truncas el hash y mantienes la contraseña máxima permitida, deberías ser mejor que el usuario promedio.
Puedes usar GRC Haystack para realizar algunos cálculos sobre la rapidez con la que puedes romper una contraseña. Con un billón de adivinanzas por segundo, el ejemplo de los 8 caracteres anteriores cae en aproximadamente 1.12 minutos frente a los 5.84 millones de billones de billones de siglos para tu hash.
MEJORAS: 1) Me aseguraría de que su contraseña maestra no sea una palabra o palabras del diccionario, contenga superior / inferior / numérico / especial y sea completamente aleatorio. A continuación, agregue en el sitio web y hash toda la cosa. Mientras el algoritmo sea desconocido, el agrietamiento es teóricamente imposible. 2) Considere cambiar a SHA-256, así como SHA-1 es defectuoso. 3) Tome la salida de 40 caracteres y utilícela para crear una contraseña mixta + numérica + especial que se ajuste a unos 13-15 caracteres (la mayoría de los sitios se ubicarán en este rango de longitud máxima). No tiene que ser elegante, es decir, si aparece un número, entonces el siguiente alfa está en mayúsculas, si hay un número, inserte un especial después de él (p. Ej., Si aparece un '1' inserta un ')', si ' 2 'pops up insert' (')
Lea otras preguntas en las etiquetas passwords password-management password-policy