Utilizo un administrador de contraseñas, varío la longitud de mis contraseñas ocasionalmente y todas son únicas y aleatorias, pero creo que, ¿qué sucede si la base de datos de PW se filtra (por ejemplo, el software malicioso filtra el contenido)? No todos los sitios admiten 2FA, ¿cómo puedo aumentar la seguridad?
Se me ocurrió una idea. Decidí escribir una palabra al principio antes de autotipiar la contraseña aleatoria larga. La palabra es siempre la misma para todas las cuentas en esta categoría "importante" y la palabra solo existe en mi cabeza. La idea es que si la base de datos se filtra, nadie puede acceder a mis cuentas más importantes porque no saben la palabra.
Este es un tipo de 2FA sin la necesidad de soporte del sitio web. Si se filtraran varias credenciales importantes, sería obvio lo que estaba haciendo y podría suponer que había otras contraseñas que uso con esta palabra al principio. Supongo que esto disminuye la entropía. ¿En qué situaciones sería mi sistema menos seguro, si lo hubiera? ¿Podría el conocimiento de mi palabra secreta a partir de una credencial filtrada (por ejemplo, de una infracción de un sitio web) ayudarlo a descifrar otra de mis cuentas más allá del beneficio obvio de saber, por ejemplo, 5 de mis 25 caracteres? ¿Es mejor no hacer esto por alguna razón criptográfica o es una precaución adicional sensata contra una fuga de base de datos?
Después de ver algunas respuestas, de manera más concisa, el conocimiento de la existencia / contenido / posición de [staticWord] puede ayudarlo a descifrar "[longRandomString] [staticWord]" o ¿es siempre tan fuerte como [longRandomString]?
Pensando en esto, existe la posibilidad de que un atacante no sepa que ha descifrado una contraseña si se trata de una cadena aleatoria, hasta que se prueba para ver si funciona. Mientras que puedes asumir que está roto si descifraste una cadena de apariencia aleatoria y notaste una palabra real al final. No sé si esto podría suceder. Creo que mi staticWord debería ser breve y aleatoria.