Me interesa saber si / qué 'soluciones' existen para la administración de contraseñas en los casos en que las personas no desean usar un administrador de contraseñas (por las razones que puedan ofrecer ...)
Supongamos:
- La persona puede recordar una contraseña completa.
- La persona no puede escribir / almacenar ninguna contraseña real (¡por supuesto!), aunque los "desencadenantes" se pueden escribir y almacenar.
- La persona debe recordar 10-100 contraseñas (escogió este rango porque cubre la mayoría de los casos).
Nuestro objetivo es garantizar la seguridad y maximizar la comodidad para el usuario.
Para dar un ejemplo, uno podría sugerir tener una "contraseña maestra" (fácil de recordar, difícil de descifrar, la publicación de xkcd es un buen punto de partida) y luego un cifrado César almacenado en múltiples ubicaciones (unidad en línea, nota telefónica, trozo de papel en casa) para cada inicio de sesión.
Esto está bien, pero no es fantástico por al menos cuatro razones:
- La tarea de rotar no es particularmente natural / simple para los humanos. Con la práctica / frecuencia, algunos serían fáciles para los inicios de sesión no cotidianos, probablemente sería engorroso.
- Las contraseñas están intrínsecamente vinculadas, de modo que si una de las contraseñas está descifrada, las otras solo toman 36 (supongamos que no queremos exigir que el usuario gire más que las letras minúsculas [26] y los números [10]). crack (esto también supone que el pirata informático puede reconocer que las contraseñas se construyen utilizando una técnica de cifrado que es poco probable, por lo que no es un gran problema, pero tampoco es totalmente irrazonable).
- Las contraseñas se convierten en no únicas a partir de la contraseña número 37 en adelante.
- Nuestra información de clave de cifrado tiene un intercambio desagradable. Tenemos que almacenarlo en varias ubicaciones porque perderlo implica un inconveniente increíble, pero mientras más lugares almacenemos, más posibilidades hay de que se descubra (no es crítico porque la contraseña maestra aún es necesaria para que sea útil, pero sigue siendo una característica negativa) .
¿Alguien sabe de alguna alternativa mejor / estándar?
P.S. Cuando digo "no software", me refiero específicamente al administrador de contraseñas: por supuesto, puede escribir información en un editor de texto o usar un lenguaje de programación para rotar su contraseña maestra, etc. si eso forma parte de su método.