Sé que no debes usar la misma contraseña en todos los sitios. Pero, cuando inicias sesión en varias docenas de sitios, el seguimiento de todas las contraseñas puede ser bastante difícil.
¿Qué sistema recomienda que no ponga en peligro todas mis cuentas cuando se piratee un sitio (en el peor de los casos: el sitio almacena las contraseñas en texto sin cifrar)?
Estoy buscando un sistema que me ayude a recordar las contraseñas, no una forma de almacenarlas.
Para recordar contraseñas, escríbalas a menudo. Puedes recordar docenas de contraseñas si las escribes diariamente, eso es memoria muscular , el mismo tipo que utilizan las artes marciales practicantes, así que recordar muchas contraseñas es como ser un maestro de Kung fu (aunque de una manera un poco menos impresionante).
Bruce Schneier, conocido imitador de Chuck Norris, recomienda escribir sus contraseñas Y guárdalos en tu billetera. Esto tiene sentido porque está entrenado y altamente motivado para mantener un alto nivel de seguridad física en su billetera. Yo duplicaría eso con una copia de la misma hoja de contraseña en algún lugar de su caja fuerte, para que pueda recuperarse de un robo de billetera (es decir, volver a iniciar sesión en todos los sitios y cambiar su contraseña). Además, una hoja de papel no tiene batería, por lo que necesita recargarse.
(Precaución: su teléfono inteligente no es una buena billetera. La seguridad física de su teléfono es mucho más baja que la que usted aplica en su billetera. A menos que tenga la costumbre de florecer su billetera en la mano longitud mientras camina en la calle.)
Una forma de resolver este problema que he estado utilizando con mucha alegría últimamente es el sistema PWDHash del laboratorio de seguridad de Stanford .
Básicamente, lo que hace es calcular un hash criptográfico de su 'contraseña maestra' junto con el dominio de la página se está registrando en, lo recorta y luego rellena el resultado como la contraseña. De esta manera, cada sitio en el que se registra tiene una contraseña no reversible que no compromete ningún otro inicio de sesión, incluso si alguien se topa con él en texto sin formato.
Hay complementos de PWDHash para los principales navegadores, y puede utilizar la interfaz web si está en movimiento.
Además del hecho de que es una aplicación de la teoría maravillosa y fácilmente comprensible, una ventaja importante es que no tiene que confiar a sus terceros con sus contraseñas. Todo se realiza de forma local y de código abierto: funciona bien sin una conexión a Internet o binarios incomprensiblemente encriptados.
Puedes usar una bóveda de contraseña. Por ejemplo, tiene un txt o un excel con todas sus contraseñas y lo guarda en un contenedor cifrado (truecrypt por ejemplo) y simplemente lo descifra cuando lo necesita.
Sin embargo, esto es difícil de usar si realmente desea que esté disponible en cualquier momento. Si confía en otras empresas con sus datos, puede optar por sitios como enlace para almacenar sus contraseñas. No soy realmente un fanático de esto porque nunca eres 100% responsable de cómo se almacenan las cosas en el backend.
Esto se puede hacer, pero requiere trabajo, de ahí la popularidad del software de base de datos de contraseñas.
Querrás estudiar mnemónicas, el arte / ciencia de los sistemas para recordar cosas. Los artistas mnemotécnicos hacen cosas como memorizar el orden de una baraja de cartas barajadas; esos métodos a menor escala deberían ser suficientes para recordar algunas contraseñas.
Los "Trucos de la mente" de Derren Brown tienen un buen tutorial para principiantes, pero aquí hay un ejemplo de una técnica simple, el enlace de imágenes, que debería funcionar bien para las frases de pase.
Suponga que su contraseña de correo electrónico es " grapa correcta de la batería del caballo ". Imagina, a su vez, estas imágenes tontas:
Estas son imágenes deliberadamente estúpidas, cuanto más importante sea la imagen que puedas hacer en tu mente. Imagina esta secuencia repetidamente, y encontrarás que la secuencia se queda en tu memoria; cuando inicie su programa de correo electrónico, pensará en un sobre de correo, que lo llevará a corregir, al caballo, y luego a grapar.
Consejos de bonificación:
Elige palabras que sean fáciles de visualizar; ¡Viste que tuve un pequeño problema con el "correcto" de arriba!
Si no te gusta escribir algo tan largo, usa una inicialización de contraseña, por ejemplo. convierta "abicjinh" en "casa de cuaderno de icicle joker icicle de broma de pollo de Apple" y haga enlaces de imagen para esas palabras.
Es posible que tenga reglas de complejidad de contraseña para algunas aplicaciones, donde tiene que usar mayúsculas / minúsculas o números. Estos necesitan un poco más de trabajo.
Recuerde qué letras están en mayúscula seleccionando un punto de referencia de una ciudad capital y estableciendo la imagen allí. p.ej. para "aB" visualizas una manzana en bicicleta pasando la torre Eiffel.
Los números son más difíciles, la forma habitual es un sistema de "pegar" donde asignas una palabra reservada a cada número, los memorizas y luego usas la palabra asociada en la imagen. p.ej. memorice 1-pistola, 2-zoo, 3-árbol, luego recuerde "a2" como una manzana silvestre que se exhibe en una jaula en el zoo.
Si es algo que realmente no puedes permitirte perder, la caja fuerte mencionada anteriormente puede ser la mejor manera. Pero si realmente quieres recordarlos, deberías intentar hacer una oración con eso.
Cuando tengo que crear una nueva contraseña, esto es lo que hago:
Tomemos un ejemplo: "María tenía un corderito cuya lana era blanca como la nieve" → mhallwfwwas → m-411w = ww45 (la - es la barra horizontal de la H; igual con = para F, * para P (de | *),…)
Elijo algunas letras del nombre del sitio. Quizás esas letras sean el acrónimo del nombre de la empresa. Combino (prefijo, adjunto, incrusté) con una secuencia de caracteres (para hacer una contraseña segura) que son las mismas para todas mis contraseñas. Por ejemplo:
google = goog15#*xfg27%
yahoo = yaho15#*xfg27%
Wall Street Journal = wall15#*xfg27%
Usa el humor, la rima, la repetición, la ofensiva, la estupidez, los patrones comunes, los hechos vergonzosos y otras técnicas similares para recordar tus contraseñas.
Ejemplos:
Utilizo un pequeño dispositivo USB de mi propia creación que me permite llevar un "impulso" fuerte de contraseña en mi llavero. Cada contraseña que ingrese en cualquier lugar tiene al menos 15 caracteres aleatorios.
Para los sitios web, simplemente agrego los tres primeros caracteres del dominio del sitio web al final antes de aumentar la semilla a más de 15 caracteres. Ahora, si todos los sitios web tienen contraseñas de hash, entonces este enfoque es seguro. La contraseña final con los tres caracteres adicionales al final de la contraseña aleatoria de 15 caracteres sigue siendo al menos tan fuerte como la contraseña de 15 caracteres. Sin embargo, el HASH es completamente diferente para cada sitio (siempre y cuando los primeros 3 caracteres sean diferentes). Por lo tanto, como cada hash del sitio es individualmente irrompible por el ataque de fuerza bruta, y cada sitio tiene un hash completamente diferente, los sitios están aislados del ataque entre sitios.
Sin embargo, dado que no todos los sitios tienen contraseñas de hash en la actualidad, también uso PwdHash en el cliente para garantizar que no haya forma de que una contraseña robada (o cifrada) de texto simple en un sitio débil comprometerá todos los otros sitios.
Una forma en que trato de entender esto es imaginar un enorme pajar y la necesidad de ocultar una aguja. Si la aguja es esencialmente imposible de encontrar, entonces moverla a unos pocos centímetros de distancia aún hace que sea imposible encontrarla.
Por lo tanto, si puede asegurarse de ingresar una contraseña muy segura de más de 15 caracteres con solo unos pocos caracteres diferentes para cada sitio, y de asegurarse de que el sitio o localmente en el cliente hasheado la contraseña, tiene una buena Solución como llevar una base de datos de contraseñas grandes En mi humilde opinión.
La reutilización de la contraseña es probablemente la mejor estrategia para que puedas recordar todas tus contraseñas sin almacenamiento. Sin embargo, el almacenamiento de contraseñas seguras y aleatorias es probablemente algo mejor que hacer, solo asegúrate de que puedas acceder a este almacenamiento si tu dispositivo principal desaparece o es robado.
Si desea seguir el camino de la reutilización de la contraseña, puede hacerlo sabiamente para minimizar en gran medida los riesgos. Lo que importa es que usted identifique las cuentas que no deben estar comprometidas y les dé una contraseña única. Por lo general, hay algunos de ellos: cuentas de pago, cuentas de correo electrónico (correos electrónicos de restablecimiento de contraseña) y cuentas críticas para la reputación social (LinkedIn, quizás Facebook).
Por lo demás, la reutilización de contraseñas en todos los sitios web de un tema similar reduce considerablemente la cantidad de credenciales, especialmente si necesita registrarse en un sitio nuevo que no está seguro de volver a usar (p. ej., solicitar un boleto de avión de una nueva aerolínea). Siempre que la conexión a un sitio web no permita pérdidas monetarias o abusos de identidad, ese sitio web puede ser reutilizado.
Vea las preguntas y respuestas aquí:
Steve Gibson tiene una serie de herramientas que pueden ser efectivas. Consulte pajares de contraseña que tienen el efecto de hacer la contraseña. Mucho más memorable pero más difícil de romper. Alternativamente, Perfect Paper Passwords puede hacer que las cosas sean más fáciles de recordar. También hay múltiples variaciones de la técnica recomendada por @les
Coloque una tarjeta de presentación en su billetera con una matriz de formas, dígitos y signos de puntuación. Luego simplemente memorice las formas pequeñas y use los íconos correspondientes como su contraseña.
Si prefieres memorizarlos, utiliza el método del paladar, recuerda 10 conjuntos de números y palabras, usa 3 para crear una contraseña y obtendrás instantáneamente 1000 contraseñas únicas.
Lea otras preguntas en las etiquetas passwords password-policy