pobre hombre 2FA. ¿Debo usar contraseñas compuestas y cuánto importa la entropía?

Navega tus respuestas
1

Utilizo un administrador de contraseñas, varío la longitud de mis contraseñas ocasionalmente y todas son únicas y aleatorias, pero creo que, ¿qué sucede si la base de datos de PW se filtra (por ejemplo, el software malicioso filtra el contenido)? No todos los sitios admiten 2FA, ¿cómo puedo aumentar la seguridad?

Se me ocurrió una idea. Decidí escribir una palabra al principio antes de autotipiar la contraseña aleatoria larga. La palabra es siempre la misma para todas las cuentas en esta categoría "importante" y la palabra solo existe en mi cabeza. La idea es que si la base de datos se filtra, nadie puede acceder a mis cuentas más importantes porque no saben la palabra.

Este es un tipo de 2FA sin la necesidad de soporte del sitio web. Si se filtraran varias credenciales importantes, sería obvio lo que estaba haciendo y podría suponer que había otras contraseñas que uso con esta palabra al principio. Supongo que esto disminuye la entropía. ¿En qué situaciones sería mi sistema menos seguro, si lo hubiera? ¿Podría el conocimiento de mi palabra secreta a partir de una credencial filtrada (por ejemplo, de una infracción de un sitio web) ayudarlo a descifrar otra de mis cuentas más allá del beneficio obvio de saber, por ejemplo, 5 de mis 25 caracteres? ¿Es mejor no hacer esto por alguna razón criptográfica o es una precaución adicional sensata contra una fuga de base de datos?

Después de ver algunas respuestas, de manera más concisa, el conocimiento de la existencia / contenido / posición de [staticWord] puede ayudarlo a descifrar "[longRandomString] [staticWord]" o ¿es siempre tan fuerte como [longRandomString]?

Pensando en esto, existe la posibilidad de que un atacante no sepa que ha descifrado una contraseña si se trata de una cadena aleatoria, hasta que se prueba para ver si funciona. Mientras que puedes asumir que está roto si descifraste una cadena de apariencia aleatoria y notaste una palabra real al final. No sé si esto podría suceder. Creo que mi staticWord debería ser breve y aleatoria.

    
pregunta Ian 03.08.2016 - 21:11
fuente

3 respuestas

1

Contra lo que esto no protege

Realmente no especifica qué base de datos puede filtrarse. Si la base de datos de la aplicación web se filtra, o si su contraseña completa se filtra, por ejemplo, a través de la suplantación de identidad (phishing), su esquema obviamente no ayudará en absoluto, porque no es real 2FA.

Contra qué protege esto

Por otra parte, si su base de datos del administrador de contraseñas, y la contraseña correspondiente, se filtran, esto ayudará en ciertas situaciones.

Si asumimos que un atacante sabe que está utilizando este esquema, ahora está usando esencialmente la misma contraseña en todos los sitios web. Su seguridad ahora depende de la seguridad del sitio web más débil que haya registrado y de la seguridad de su contraseña adicional.

Cosas a tener en cuenta

Su segunda contraseña debe ser razonablemente fuerte, de lo contrario el esquema no sirve para nada.

Obviamente, tampoco debe ser la misma contraseña que usa para su administrador de contraseñas.

También recomendaría que agregue esta contraseña después de la contraseña almacenada en su administrador de contraseñas. Algunos sitios web pueden cortar su contraseña después de X caracteres, y si X es pequeña, puede terminar con solo esta contraseña adicional, lo que hará más probable la fuga y reducirá su seguridad general. Por otro lado, si su contraseña adicional está cortada, su espalda donde comenzó (sin seguridad adicional, pero también sin debilidad adicional).

Conclusión

Su esquema puede agregar una pequeña cantidad de seguridad adicional en caso de que se filtren los datos de su administrador de contraseñas, aunque la desventaja de la facilidad de uso adicional (tener que escribir la contraseña adicional) no valdría la pena. A lo sumo, usaría el esquema para cuentas extremadamente importantes.

Un enfoque más razonable sería tener dos bases de datos de administrador de contraseñas diferentes: una para las contraseñas menos importantes que también puede usar en sistemas que pueden estar más comprometidos, y otra para las contraseñas importantes, que solo usará En los sistemas que usted considere seguros. Esto debería lograr el mismo objetivo que desea lograr de una manera más limpia.

    
respondido por el tim 03.08.2016 - 21:55
fuente
0

Está utilizando un administrador de contraseñas y desea protegerse contra la fuga de la base de datos de administradores de contraseñas.

Puede echar un vistazo al administrador de contraseñas de mooltipass. enlace Este es un dispositivo físico, que almacena sus contraseñas. Esto lo protegerá contra la pérdida de la "base de datos completa de contraseñas".

Por supuesto que todavía estás usando contraseñas. Es decir. no protege contra:

  1. Sniffing / keylogging / shoulder surfing de la contraseña cuando se ingresa. Esto comprometerá una de sus contraseñas.

  2. Fuga de la base de datos de usuarios de los servicios. Lo que comprometerá el hash de una de sus contraseñas.

Por lo tanto, existen algunos escenarios contra los que te protege como:

  • robando su base de datos de contraseñas local por algún troyano.
respondido por el cornelinux 03.08.2016 - 22:39
fuente
-2

simplemente utilice la función de contraseña olvidada en un sitio web que asigne al azar la contraseña y si pierde su base de datos, la contraseña olvidada entrará en juego.

pero ¿por qué no usar una solución en la nube para su administrador de contraseñas como Dashlane? todos retrocedió hasta la nube; Implementar dos factores en la nube también.

    
respondido por el Darragh 03.08.2016 - 21:14
fuente

Lea otras preguntas en las etiquetas

¿Cómo hace BOF de forma remota sin saber el código fuente? [cerrado] privilegios de la base de datos de Oracle [cerrado]