Soluciones de administración de contraseñas individuales sin software

0

Me interesa saber si / qué 'soluciones' existen para la administración de contraseñas en los casos en que las personas no desean usar un administrador de contraseñas (por las razones que puedan ofrecer ...)

Supongamos:

  1. La persona puede recordar una contraseña completa.
  2. La persona no puede escribir / almacenar ninguna contraseña real (¡por supuesto!), aunque los "desencadenantes" se pueden escribir y almacenar.
  3. La persona debe recordar 10-100 contraseñas (escogió este rango porque cubre la mayoría de los casos).

Nuestro objetivo es garantizar la seguridad y maximizar la comodidad para el usuario.

Para dar un ejemplo, uno podría sugerir tener una "contraseña maestra" (fácil de recordar, difícil de descifrar, la publicación de xkcd es un buen punto de partida) y luego un cifrado César almacenado en múltiples ubicaciones (unidad en línea, nota telefónica, trozo de papel en casa) para cada inicio de sesión.

Esto está bien, pero no es fantástico por al menos cuatro razones:

  1. La tarea de rotar no es particularmente natural / simple para los humanos. Con la práctica / frecuencia, algunos serían fáciles para los inicios de sesión no cotidianos, probablemente sería engorroso.
  2. Las contraseñas están intrínsecamente vinculadas, de modo que si una de las contraseñas está descifrada, las otras solo toman 36 (supongamos que no queremos exigir que el usuario gire más que las letras minúsculas [26] y los números [10]). crack (esto también supone que el pirata informático puede reconocer que las contraseñas se construyen utilizando una técnica de cifrado que es poco probable, por lo que no es un gran problema, pero tampoco es totalmente irrazonable).
  3. Las contraseñas se convierten en no únicas a partir de la contraseña número 37 en adelante.
  4. Nuestra información de clave de cifrado tiene un intercambio desagradable. Tenemos que almacenarlo en varias ubicaciones porque perderlo implica un inconveniente increíble, pero mientras más lugares almacenemos, más posibilidades hay de que se descubra (no es crítico porque la contraseña maestra aún es necesaria para que sea útil, pero sigue siendo una característica negativa) .

¿Alguien sabe de alguna alternativa mejor / estándar?

P.S. Cuando digo "no software", me refiero específicamente al administrador de contraseñas: por supuesto, puede escribir información en un editor de texto o usar un lenguaje de programación para rotar su contraseña maestra, etc. si eso forma parte de su método.

    
pregunta cjjob 30.01.2017 - 01:14
fuente

1 respuesta

0

Conocer y memorizar un par de credenciales para el acceso a una computadora es solo una realidad.

Lo mismo se aplica al "mundo real". Imagínese si todos los propietarios de un vehículo Honda pudieran poner sus llaves en cualquier Honda y marcharse. No sería un sistema muy bueno, ¿verdad?

Cosas que quizás quieras ver:

  • Algo que tienes, una tarjeta inteligente / token
  • Algo eres, biometica
  • En algún lugar donde se encuentre, una estación de trabajo asignada detrás de una puerta con llave / bloqueada
  • Inicio de sesión único (SSO), visto con grandes corporaciones o universidades

A menos que tenga la intención de acceder a sitios web públicos, las tarjetas inteligentes son una solución perfecta para una intranet.

Esto requiere que los usuarios recuerden un PIN, pero podrían almacenar un solo certificado o muchos para varios inicios de sesión. Un PIN numérico es mucho más fácil de recordar, y los certificados son mucho más fuertes que una simple contraseña.

Compartir credenciales es poco común, pero visto en algunas empresas con trabajadores temporales, es aceptable compartir un par de credenciales para usar en un solo sistema. El motivo de esto es que trabajan en días de trabajo alternativos, puede hacer un seguimiento de quién estuvo ese día y solo 2 usuarios conocen las credenciales. Esto se realiza sistema por sistema para simplificar la administración.

En cuanto a escribir contraseñas y demás, esto es perfectamente aceptable si no está preocupado por un atacante local. Probablemente, muchos estén conscientes de que sus familiares de mayor edad lo están haciendo. La preocupación es mínima porque es mucho más probable que alguien ataque sus cuentas desde la web que localmente.

Al hacer esto en una corporación / empresa, sin embargo, bajo el cumplimiento de PCI o HIPAA es probable que lo encuentre en algunos problemas legales o acuerdos anulados como mínimo .

El otro problema es que al escribir las credenciales se cambia el juego. Autenticación , hacer que un usuario demuestre su identidad, ya no existe, ya que nadie podría subir e ingresar al cartas credenciales. Al tener una credencial escrita se convierten las cosas en autorización , lo que demuestra el derecho a un recurso.

El inicio de sesión único permite al usuario ingresar sus credenciales una vez y acceder a muchos otros recursos compartiendo un token seguro con dichos recursos. Esto no es común en las empresas más pequeñas debido al trabajo de corte involucrado en la configuración / mantenimiento.

    
respondido por el dark_st3alth 30.01.2017 - 03:41
fuente

Lea otras preguntas en las etiquetas