¿Cuál es su manera de crear buenas contraseñas que realmente puedan ser recordadas?

53

¿Cuáles son las metodologías que pueden utilizarse para generar una contraseña "humana" de buena calidad?

Deben garantizar una buena resistencia y también ser fáciles de recordar para un ser humano.

    
pregunta M'vy 23.02.2012 - 14:03
fuente

38 respuestas

36

Este cómic de XKCD describe una manera de generar una buena contraseña. La calidad de tales frases de contraseña se ha discutido en: XKCD # 936: ¿Contraseña corta y compleja, o frase de contraseña larga del diccionario?

    
respondido por el paulmorriss 17.03.2017 - 11:46
fuente
34

Ejem.
Dependiendo de para qué se utilizará esta contraseña, recomendaría una técnica recomendada incluso por el gran criptográfico Bruce Schneier:

  

Escríbelo.

Eso es correcto: obtén una contraseña aleatoria compleja REEAAAHEEELLYYY que no puedes recordar , y ESCRIBE. Por supuesto, escríbalo en un lugar seguro, no adjunto a la parte exterior de su computadora portátil para la cual se usa la contraseña.

    
respondido por el AviD 05.12.2010 - 22:33
fuente
25

Yo uso una frase. Una frase adecuada, con múltiples palabras y espacios, pero que puedo recordar fácilmente.

"¡Mi mes favorito del año es el tercero!"

    
respondido por el growse 21.11.2010 - 23:31
fuente
23

Me gusta usar Cambia el método de tus dedos . Tome una frase de paso fácil como 'stackoverflow', mueva sus dedos 1 carácter a la derecha mientras escribe y obtiene 'dysvlpbtg; pe', que es mucho más difícil de adivinar o descifrar.

Aunque esto funciona bastante bien, es mejor agregar algunos otros giros, como un número memorable y algunos caracteres especiales para que sea una contraseña muy segura.

'dysvlpbtg; pe! 1234 $'

El uso de este método es fácil de tener una contraseña diferente y muy buena para cada sitio que utiliza, pero aún así es memorable.

ACTUALIZACIÓN:

@Larry & @AviD señala que si este método se vuelve más común, es más probable que se tenga en cuenta al descifrar diccionarios y otros métodos de ataque.

Obviamente hay un equilibrio entre lo re-memorable y lo súper seguro. Dependiendo del uso, la aplicación de algunas de estas técnicas ayudaría a fortalecer este método.

  • Cambiar de forma diferente : no solo desplace 1 carácter a la derecha. Ir de una manera diferente y / o cambiar por un número diferente de caracteres. Usando "stackoverflow" como una frase de contraseña de ejemplo nuevamente, al desplazarse hacia abajo se obtiene "xgz, l dfv.ls", al cambiar a 2 caracteres, se obtiene "fudb; [ntyh '[r". Esto comienza a mejorar la técnica, pero obviamente los atacantes también pueden adoptarla.
  • Sufijo y prefijo : agregue un sufijo y prefijo a la mezcla, "@@ stackoverflow $$" agrega una carga de otras posibilidades a la mezcla.
  • Sé diferente : se sugieren muchos métodos diferentes como respuestas a esta pregunta. Probablemente la mejor respuesta a la pregunta, es usar un poco de cada uno de ellos y hacer su propio método. De esa manera, siempre lo recordarás y, si es exclusivo de todos los demás, significa que no se debilita, ya que todos los demás no están haciendo lo mismo.
respondido por el Mark Davidson 21.11.2010 - 21:21
fuente
17

Yo uso Diceware . Necesita un dado de seis caras (o un buen generador de números aleatorios ) y un Lista de palabras de Diceware .

Lanza los dados para obtener un número de cinco dígitos; por ejemplo 34512.

Busca la palabra en la lista; por ejemplo, jinx .

Repite cinco veces.

La longitud es el atributo más importante de una contraseña. Esto generará una contraseña bastante larga.

/ Roger

    
respondido por el Roger C S Wernersson 22.11.2010 - 07:00
fuente
14

Tomo una línea de una canción que me gusta, y luego tomo la primera letra de cada palabra. Esto probablemente no exista en ningún diccionario de contraseñas. Luego, puedes sustituir caracteres especiales.

Por ejemplo, tome Hound Dog de Elvis Presley:

  

No eres nada más que un perro de caza, llorando todo el tiempo

Esto se convertiría en:

yanbahd,catt

Luego, espolvorea algunos caracteres especiales, juega con el estuche, etc.:

[email protected]!^d,[email protected]

Luego, si puedes recordar la letra de la canción, espero que puedas recordar la contraseña.

    
respondido por el pkaeding 22.11.2010 - 03:01
fuente
11

Usa una oración larga en tu idioma. Es más fácil descifrar una contraseña corta e ilegible, que una oración larga y simple. Elige las letras de tus canciones favoritas, citas, lo que sea.

Puede crear contraseñas largas (es decir, 40 caracteres o más) de esta manera, sin tener que pensar demasiado en ellas.

    
respondido por el rsuarez 19.11.2010 - 17:29
fuente
11

Hay un buen consejo en enlace y enlace

Creo que la clave es combinar al menos dos fuentes de entropía bastante grandes, aparentemente no relacionadas. P.ej. parte de una palabra de tamaño mediano combinada con letras desde el principio de una frase idiosincrásica, con algunos caracteres mixtos y números / símbolos en el medio. Hágalo de una manera que pueda hacer una historia extraña y memorable al respecto, y asegúrese de que sea lo suficientemente larga, dependiendo de lo importante que sea para usted. Practícalo por un tiempo y coloca algunos consejos sutiles sobre la historia en un archivo relativamente privado.

También puede exagerar al elegir una contraseña larga o difícil de recordar: enlace

    
respondido por el nealmcb 29.11.2010 - 07:17
fuente
8

Pienso en una mentira, algo que no es verdad, y la convierto en una oración apropiada como "¡El cielo realmente es verde!". (Este no es uno que he usado antes)

Son fáciles de recordar porque son muy extraños.

    
respondido por el Steve 25.11.2010 - 18:54
fuente
6
  1. Comienzo con una frase de contraseña, como pancakes .

  2. A continuación, hago algunas sustituciones: añada números, símbolos y mayúsculas. [email protected] .

  3. Finalmente, agregaré un prefijo o sufijo para cada sitio en el que lo use, como [email protected] .

    PS: Es una buena idea tener algunas bases y alternarlas también.

Descargo de responsabilidad: Esto no es ni ninguna de mis contraseñas. (Sí, estoy comiendo un panqueque mientras escribo esto).

    
respondido por el Moshe 21.11.2010 - 19:11
fuente
6

Uso el generador de contraseñas en Mac OS X, configurado en modo "contraseña memorable".

    
respondido por el user185 02.12.2010 - 19:08
fuente
6

Uso una frase de contraseña y un generador aleatorio para esa frase (cifrado de sustitución). Regenero mi tarjeta llave mensualmente y guardo una copia conmigo. Encuentro que la naturaleza pseudoaleatoria de las contraseñas seguras se crea en una autenticación de casi dos factores. Algo que tengo es mi tarjeta de acceso, algo que sé es mi frase clave. Como muestra, escribí una aplicación corta para compilarlos aquí:

Por ejemplo: mi contraseña bancaria podría ser "bancaria" y generaría una contraseña muy segura para mí, sería fácil de cambiar y mi contraseña siempre sería bancaria.

enlace

* Editar: Solo como una nota, propuse este método al /. La comunidad volvió en 2005 y no la ha actualizado desde entonces. Tengo la intención de realizar una investigación real como parte de mi programa MS-ISA.

    
respondido por el iivel 07.02.2011 - 16:57
fuente
6

Para las contraseñas, uso lo siguiente: dos letras, luego dos dígitos, luego dos letras, luego dos dígitos. Las letras son minúsculas. Las letras y los dígitos se generan de forma aleatoria.

Resulta que las contraseñas resultantes son fáciles de recordar (al menos, fáciles para mí; es posible que tu cerebro no esté conectado de la misma manera que el mío).

Un buen punto de tales contraseñas es que es fácil calcular su entropía: hay 26 4 x10 4 contraseñas posibles con este formato, todas con la misma probabilidad , por lo tanto, una entropía de aproximadamente 32.09 bits (una contraseña dada tiene una probabilidad de 1/2 32.09 para ser seleccionada). Los 32 bits de entropía no son buenos para todos los usos de todos , pero son lo suficientemente buenos para la mayoría, incluidos todos los usos donde los ataques están en línea. Un ataque en línea es uno donde el atacante debe realizar una solicitud a un sistema "honesto" para cada conjetura; p.ej. un servidor SSH. Los ataques sin conexión (donde el atacante puede verificar una suposición "solo", limitado solo por su poder de cómputo) son más temibles y requieren una contraseña más fuerte.

Recuerde que saber cuánta seguridad tiene es al menos tan importante como tener dicha seguridad.

Bonus: aquí está el programa de C que utilizo para generar esas contraseñas (las compilaciones bajo Linux y FreeBSD deberían funcionar en otros sistemas similares a Unix):

/*
 * Small utility for password generation.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#include <sys/types.h>
#include <unistd.h>
#include <fcntl.h>

static unsigned
randval(unsigned max)
{
        static int fd = -1;

        unsigned char x;

        if (fd < 0) {
                fd = open("/dev/urandom", O_RDONLY);
                if (fd < 0) {
                        perror("open");
                        exit(EXIT_FAILURE);
                }
        }
        for (;;) {
                unsigned val;

                for (;;) {
                        if (read(fd, &x, 1) <= 0) {
                                if (errno == EINTR)
                                        continue;

                                perror("read");
                                exit(EXIT_FAILURE);
                        }
                        break;
                }
                val = (unsigned)x;
                if (val >= max * (256 / max))
                        continue;
                return val % max;
        }
}

static int
randletter(void)
{
        return "abcdefghijklmnopqrstuvwxyz"[randval(26)];
}


static int
randdigit(void)
{
        return "0123456789"[randval(10)];
}

int
main(void)
{
        printf("%c%c%c%c%c%c%c%c\n",
                randletter(), randletter(),
                randdigit(), randdigit(),
                randletter(), randletter(),
                randdigit(), randdigit());
        return EXIT_SUCCESS;
}
    
respondido por el Thomas Pornin 07.02.2011 - 22:01
fuente
5

Para sitios de seguridad media:

  1. Escoge una palabra que recordarías y lo suficiente, digamos que es porcupine .
  2. Elija un número que recuerde: ¡no use su año de nacimiento, mes y día, ni para sus familiares, etc.! - Digamos que es 28 .
  3. Cuando necesite una contraseña para el sitio security.stackexchange.com, haga que sea 28-porcupine+S.S.C

Esta contraseña es recordable, ya que solo necesita recordar 1 palabra y 1 número para todos los sitios que visita, y puede recuperar la contraseña de cualquier sitio sin ningún esfuerzo. Por supuesto, puede cambiar el algoritmo, pero la idea es usar la combinación f(n, w, s) donde n y w son fijos y s se genera desde el nombre del sitio.

Para sitios de alta seguridad (también conocido como "si alguien obtiene acceso a esto, mi vida está arruinada"): genere una contraseña aleatoria larga, escríbala, ponga este documento en un lugar seguro, como con su pasaporte, títulos, etc. documentos .

    
respondido por el StasM 01.01.2011 - 01:46
fuente
5

Desafortunadamente, muchos sistemas imponen restricciones tontas a las contraseñas, por lo que el mismo método para generar contraseñas "rememberables" no siempre funcionará para mí.

La mayoría de las veces no necesito recordar tantas contraseñas. Escribo los más importantes en keepass o un archivo de texto encriptado con PGP, o ambos.

Sin embargo, la mayoría de los que elegí para mis sistemas Unix se basan en líneas de canciones o simplemente frases o expresiones tontas, donde permito que cada palabra se convierta en un personaje, con mayúsculas y minúsculas dependiendo del énfasis o la entonación de la palabra, o ¿Qué palabras tienen más "significado" en la frase. Es una buena idea incluir también el sufijo o prefijo alguna representación del nombre del sistema / sitio.

Sobre la longitud de la contraseña: en los sitios web siempre elegí contraseñas de más de 8 caracteres. Mi razonamiento es que muchos diseñadores de sistemas "despistados" almacenan solo un hash MD5 de la contraseña de los usuarios sin ningún tipo de sal. Los sitios web do se piratean, e incluso si uso contraseñas diferentes en todas partes, todavía no quiero que un script kiddie realice una búsqueda en una tabla de hash-to-plain pregenerada y encuentre mi "aleatorio" contraseña allí.

    
respondido por el MattBianco 08.02.2011 - 17:05
fuente
4
  1. Baraja un mazo de cartas.
  2. El orden de las tarjetas es su contraseña.
  3. Compra un nuevo mazo para cada contraseña. No dejes caer la cubierta.

Si lo coaccionan, puede soltar el mazo o, en el caso del Reino Unido, cuando busquen en su casa, dispersarán su mazo y eliminarán su contraseña / clave de cifrado.

;)

    
respondido por el rox0r 09.02.2011 - 04:56
fuente
4

Una sugerencia de contraseña debería ser algo que le recuerde cuál es su contraseña sin exponer la contraseña real. Lo que significa que debería ser algo que entenderías, pero que un extraño no podría descubrir.

Si usa una contraseña básica pero a veces usa caracteres en minúscula o caracteres especiales, entonces podría usar una sugerencia que simplemente explique que (es decir, la sugerencia es "en minúscula").

O use LastPass , es mi herramienta de mantenimiento de contraseñas favorita que uso para casi todo.

    
respondido por el MasterZ 05.04.2011 - 01:27
fuente
3

Para evitar los ataques de Rainbow Table , la longitud es la clave. No es raro que, al realizar una explotación, se tome un archivo SAM o / etc / passwd y se ejecute un crack en los hashes. En el pasado, a menudo usaba a John the Ripper durante unos días para ver qué hashes podían ser forzados. En estos días rápidamente reventaba los hashes contra una tabla de arco iris y tenía el 95% de todas las contraseñas de menos de 9 caracteres (y si quisiera verificar 10 caracteres, también podría descargar la tabla para esa longitud; simplemente comienza a ser muy grande ...)

Habiendo dicho eso, las 2 técnicas que utilizo son:

  1. like pkaeding - letras de canciones
  2. el antiguo método CVC CVC CVC CVC CVC (consonante, vocal, consonante) a cualquier grado de entropía requerido
respondido por el Rory Alsop 25.11.2010 - 17:46
fuente
3

Para mis contraseñas de inicio de sesión, uso software (pwsafe o KeePass, sin importar dónde esté) para generar una contraseña fea de la longitud que necesito (¿9 caracteres?). Luego lo escribo en algo que va en mi billetera. Después de unos días de usarlo, lo recuerdo bastante bien y partí el papel. La copia de seguridad allí se guarda en uno de esos programas que está en una máquina diferente a la que se encuentra en la contraseña :)

Para todo lo demás, el software hace eso por mí. Tener un programa para recordar sus contraseñas es mucho mejor que hacerlo usted mismo, no entiendo muy bien por qué las personas se resisten.

    
respondido por el Bill Weiss 06.01.2011 - 16:18
fuente
1

Una metodología que he escuchado es elegir una página de un libro y usar la primera letra de cada palabra en una línea. Si combina la capitalización de las palabras y el número impar, puede obtener una contraseña segura que no es fácil de adivinar. ¡Todo lo que tiene que hacer es recordar el libro y la línea!

    
respondido por el Ventral 21.11.2010 - 20:04
fuente
1

Dependiendo de para qué lo necesito, calcularé un MD5 o SHA1 en algún archivo aleatorio y lo analizaré varias veces. Sin embargo, es bastante débil, ya que solo contiene 16 caracteres.

Si necesito algo más fuerte, escribiré tres o cuatro caracteres en un buscador Tripcode y veré qué arroja de regreso a mi. Pegue dos de esos y ejecútelos varias veces, y tiene una contraseña bastante segura, ya que es bastante aleatoria.

    
respondido por el JBirch 29.11.2010 - 11:37
fuente
1

Abro un libro grande en una página al azar y uso la primera letra de las ~ 8 primeras palabras / líneas. No es exactamente fácil de recordar, pero hace que sea muy difícil "olvidar" completamente su contraseña.

    
respondido por el Olivier Lalonde 29.11.2010 - 18:18
fuente
1

similar a algunas de las otras respuestas, para algunas contraseñas se basa en una frase que me parece memorable y luego se traduce en una contraseña. Así como un ejemplo

i;) @ 0dd ^ 's

es una contraseña razonable que recordaría como "Guiño a sombreros extraños". Generalmente eso o algo basado en las primeras letras de una frase (usualmente con algunas modificaciones de leet speak y puntuación agregada).

    
respondido por el Rоry McCune 03.12.2010 - 11:19
fuente
1

Utilizo el módulo perl Crypt: RandPasswd , que Puede crear frases pronunciables rodeadas de misc. Especiales y numericas. Encuentro que las reglas de pronunciación limitan el espacio de teclas, pero hacen que la parte mental sea mucho más fácil. Incluso si tengo que buscar una contraseña, puedo recordarla el tiempo suficiente para escribirla correctamente la primera vez.

Una contraseña podría tener este aspecto: Vorda # Capis% 99 ^

    
respondido por el pboin 03.12.2010 - 14:51
fuente
1

Aquí hay otro esquema para los músicos:

qiurtyuqytnreqwerwmqweq
qqwnqqrtyyyttrrtyy7yytytrrtr
qweqqweqerterttytreqtytreqqbqqbq
32g5532g5532g5d5srr

Transponga u ofusque más si lo desea.

    
respondido por el Andy Lee Robinson 13.08.2011 - 09:14
fuente
1

Recientemente he estado viendo Off The Grid por Steve Gibson. Es un cifrado basado en papel que puede cifrar un nombre de dominio (o cualquier texto en realidad) y proporcionar una contraseña para usar. Hay mucha información en el sitio al respecto.

Lo básico es tomar una tabla de caracteres de 26x26. Esta tabla sigue reglas similares a Sudoku (solo uno de cada carácter en cada fila y columna). Esto comienza con mucha entropía (1400 bits mínimo). Los conceptos básicos de cómo usarlo son bastante fáciles (no me molestaré en volver a escribirlos todos de nuevo). El mayor riesgo es que alguien robe físicamente tu cuadrícula. Incluso entonces hay algunos pasos que puede tomar lentamente (debe ser lo suficientemente largo como para darse cuenta de que alguien lo ha robado). Estos métodos incluyen,

  1. Elegir una ubicación de inicio diferente
  2. Extracción (puede hacer esto si está pendiente / agregando algo al realizar el cifrado)
  3. Al realizar el cifrado (lea la página correspondiente) en lugar de elegir los siguientes dos caracteres. En su lugar, elija tal vez los siguientes tres caracteres, uno a través de uno arriba, dos abajo uno a la izquierda, etc.

No lo estoy usando yo mismo, pero no tengo mucha dificultad para recordar 20 caracteres aleatorios que uso en combinación de Passpack (administrador de contraseñas en línea)

    
respondido por el Dracs 18.09.2011 - 19:07
fuente
1

Cambie su vida :) haga que todas las contraseñas sean extremadamente complicadas, sin ninguna forma de recordar ninguna de ellas. Obtener un administrador de contraseñas, encontré KeePass bastante útil.

Puede mantener los archivos DB en Dropbox y usar la contraseña + imagen (archivo binario) para acceder a las contraseñas, mantener la imagen (archivo) solo en los dispositivos que probablemente utilice para acceder a la contraseña (¡no en Dropbox!).

Mantenga la imagen accesible pero no obvia. Por lo tanto, el sistema aún es utilizable, pero si los piratas informáticos obtienen sus archivos de base de datos de contraseñas, no podrán acceder a él por fuerza bruta.

De esta manera, necesitarás recordar solo una contraseña, lo cual es mucho más fácil.

Cámbielo y el archivo regularmente y estará seguro.

DropBox guarda un historial de tus datos durante un mes (?), así que recuérdalo cuando cambies la contraseña de DB.

    
respondido por el Vitaly Nikolaev 29.11.2011 - 15:58
fuente
0

¿Qué pasa con una contraseña con una tecla giratoria, en función de lo que está haciendo? Ejemplo: Mi contraseña principal es P4 $$ w3rdthati $ h4rd (sí, eso es realmente lo que uso)

Quiero usarlo para GMail. Comienzo con P4 $$ w3rdthati $ h4rd y agrego gm al final (P4 $$ w3rdthati $ h4rdgm). De esta manera solo tengo que recordar dos o tres letras según lo que estoy haciendo, ya que mi contraseña es relativamente consistente en todos los servicios (públicos y privados). Puedo usar un modificador de final de cola (sufijo) para cosas de internet y un modificador de inicio (prefijo) para cosas privadas. O insértelo en el medio.

Estoy abierto a las llamas si sientes que esta es una mala práctica, pero nunca me he topado con alguien que esté adivinando mis contraseñas, y nunca he necesitado escribirlas.

    
respondido por el Everett 20.11.2010 - 00:37
fuente
0

Encuentro una cadena de caracteres totalmente aleatoria y compleja al presionar teclas en mi teclado al azar en un patrón con el que mis dedos se sienten cómodos y pueden hacerlo muy rápidamente. Las técnicas que utilizo para hacer esto son:

  • alterne teclas sucesivas entre las manos para la velocidad o use pequeños grupos de teclas (2 o 3) uno al lado del otro en el teclado, alternando los grupos entre cada mano para formar la contraseña completa. Es difícil escribir una contraseña completa rápidamente con una sola mano
  • literalmente, haga que las teclas sean aleatorias y no deletree nada o incluso una variante de algo
  • cuando cambias las contraseñas, cambia el patrón de tus dedos lo suficientemente significativamente como para golpear teclas y patrones de teclas totalmente diferentes (y no el mismo patrón cambió una o dos teclas en cualquier dirección)

Después de tener mi contraseña aleatoria, practico escribiendo la nueva contraseña varias veces para que mi memoria muscular retenga el patrón clave. Una vez establecida mi contraseña, me conecto a unos pocos sistemas seguidos para conservar el patrón de clave.

Al final, tendrás una contraseña totalmente aleatoria que te resultará difícil de olvidar porque ni siquiera estás recordando una serie de caracteres, solo un patrón que tus dedos usan en el teclado que no significa nada. a cualquiera, incluso a ti. A veces, cuando accidentalmente escribo mi contraseña en un campo de texto claro (todos lo han hecho en algún momento ...) me parece totalmente extraño porque no pienso en la cadena, solo en el patrón que estoy pulsando en el teclado.

Este método tampoco se traduce en contraseñas y patrones similares entre diferentes usuarios, ya que todo el mundo escribe de manera diferente. Lo que es fácil y rápido para una persona puede ser más difícil para otra.

    
respondido por el August 06.01.2011 - 15:00
fuente
0

Crea algunas palabras nuevas: splur, bambile, egilomanifastic, spilomasilomagnitolistable. Combina para un poco de rima divertida y una mnemotécnica fácil.

    
respondido por el l0b0 07.02.2011 - 17:14
fuente

Lea otras preguntas en las etiquetas