Esquema de creación de contraseña de grupo

Navega tus respuestas
1

INVESTIGACIÓN ANTERIOR: He buscado conjuntos de reglas / esquemas de contraseñas y el intercambio de contraseñas, pero los artículos que he encontrado tratan sobre las contraseñas de un individuo, no las contraseñas de un grupo o equipo.

ESCENARIO: Soy parte de un pequeño equipo de trabajo de aproximadamente 3 a 4 personas. Tenemos material confidencial que en ocasiones debe enviarse por correo electrónico como un archivo adjunto (generalmente documentos de Word o PDF).

Me gustaría crear un conjunto de reglas / esquema de contraseña para nuestro equipo que se aplicaría a los documentos que enviamos. Este conjunto de reglas debe:

  • Se entiende fácilmente (no es demasiado complicado / difícil de crear la contraseña)
  • La contraseña no es fácil de adivinar
  • La contraseña es distinta para cada documento que enviamos
  • Es fácil que cada miembro del equipo lo descubra (es decir, un miembro del equipo puede adivinar la contraseña del documento de otro miembro del equipo)

El último punto merece alguna explicación más. Sería muy beneficioso si el conjunto de reglas / esquema permitiera que cada uno de los miembros del equipo pudiera averiguar cuál era la contraseña en el documento, incluso si él / ella no creó la contraseña. Mi idea fue crear una contraseña combinando el nombre del remitente, el apellido del destinatario y la fecha.

EJEMPLO:  Si un miembro del equipo, Bob, necesita enviar un documento a Jim el 7 de diciembre de 2017, entonces la contraseña para el archivo sería "JimBob1272017". Del mismo modo, si el miembro del equipo Jack necesita enviar un documento a Jill el 23 de febrero de 2018, entonces la contraseña sería "JackJill2232018". Mientras los otros miembros del equipo conozcan el remitente, el destinatario y la fecha, deben poder averiguar la contraseña. Por lo tanto, si algún miembro del equipo está enfermo o renuncia, los documentos aún son accesibles.

PREGUNTAS: ¿Alguien tiene sugerencias para crear un conjunto de reglas / esquema de contraseña que cumpla con los cuatro criterios mencionados anteriormente? O, ¿puede alguien proporcionar sugerencias para mejorar el proceso que he descrito?

NOTAS: Hacemos un seguimiento de nuestras contraseñas, pero pensé que esto podría ser útil si alguien se olvidó de hacer un seguimiento de una contraseña o si un cliente olvidó la contraseña del documento (y el creador de la contraseña no estaba disponible y la contraseña no se registró correctamente) ).

No creo que sea prudente hacer que el equipo use repetidamente una contraseña para cada documento (por ejemplo, el equipo usa la "contraseña" para cada contraseña del documento), ni sería sensato que cada miembro del equipo use su / su propia contraseña personal repetidamente (por ejemplo, Bob usa "contraseña" para todos sus documentos, pero Jack usa "Acme" para todos sus documentos).

¡Gracias!

    
pregunta returnofthemac 07.12.2017 - 19:28
fuente

2 respuestas

1

Hacer contraseñas diferentes que sean fáciles de adivinar no agrega seguridad real, pero protege contra la lectura accidental de un documento destinado a otra persona. Si eso es todo lo que necesitas, ¡genial! Solo concatene el nombre del destinatario con una contraseña segura conocida por el equipo.

Pero si quieres dificultar significativamente que los compañeros de equipo busquen en documentos que no están destinados a ellos, te sugiero que utilices cifrado asimétrico junto con intercambio secreto :

Cifre cada documento para que pueda ser descifrado por cualquiera de las dos claves. La primera clave es la clave privada del destinatario, y la otra es un secreto que requiere que dos (o más) miembros del equipo descubran mediante el uso compartido del secreto mencionado anteriormente.

De esta manera, solo el destinatario puede leer el documento, a menos que dos o más miembros del equipo decidan que necesitan acceder a él.

    
respondido por el FaxAsGuest 08.12.2017 - 01:20
fuente
0

Su esquema es inherentemente inseguro. No hay ninguna entropía presente en la contraseña, que es lo que determina la fuerza de una contraseña. Debe ampliar los casos y requisitos de uso de su negocio: si realmente no necesita tener documentos seguros, está bien, pero es trivial comprometer este tipo de seguridad. De sus requisitos - 

Easily understood (not too complicated/difficult to create the password) - Good
Password is not easily guessed - Failed, also very important.
Password is distinct for each document we send - Passes.
Easy for each of the team members to figure out (i.e. a team member can guess another team member's document's password) - Not applicable to passwords. If you only need knowledge of how a password is generated to guess it, you have an insecure password. This isn't an appropriate use case for passwords.

Una mejor resolución sería implementar un sistema seguro como un servidor SFTP al que puedan acceder los clientes, los clientes y los empleados. Utilice la seguridad basada en roles para determinar quién puede acceder a qué. Esta es una solución mucho mejor que este esquema de contraseña.

    
respondido por el Adonalsium 08.12.2017 - 16:08
fuente

Lea otras preguntas en las etiquetas

Con claves privadas y claves públicas que se usan para las cuales: ¿cifrar, firmar, verificar y descifrar? ¿Es apropiado vincular las claves de cifrado de nivel de aplicación al perfil de AD?