¿Qué tipo de patrón debo usar para mis contraseñas?

Navega tus respuestas
44

Tengo muchas cuentas y hasta hace un tiempo usé una contraseña universal para todas ellas. Ahora mismo tengo una contraseña diferente para cada cuenta, dependiendo del nombre del sitio web en el que estoy iniciando sesión. Utilizo un patrón y la diferencia entre los patrones es el nombre de dominio del sitio web.

No quiero almacenar mi contraseña en algún tipo de administrador de contraseñas. Solo quiero tener un patrón en mente y componer la contraseña dependiendo de eso (y un pedazo de papel escondido en algún lugar seguro de la casa en caso de que sea realmente tonto y me olvide del patrón).

  1. ¿Podrías sugerirme algunos buenos patrones? Así que puedo obtener uno o una combinación de ellos para hacer un mejor patrón para mis contraseñas.

  2. ¿Hay alguna forma mejor de almacenar contraseñas pero aún así acceder a ellas si necesita iniciar sesión desde otra computadora / dispositivo? (No confío en los administradores de contraseñas)

pregunta Chris Rock 29.10.2015 - 14:20
fuente

10 respuestas

88

Ninguna . Use una aplicación de administrador de contraseñas para generar una contraseña larga y aleatoria para cada sitio.

Asegúrese de que no está utilizando su contraseña maestra (o una derivación de su contraseña maestra) en ningún otro lugar.

Si no confías en los administradores de contraseñas comerciales o en línea, utiliza uno que sea de código abierto y funcione con archivos locales.

Editar : como referencia, Bruce Schneier ha publicado en 2014 una versión bastante completa (y muy legible) blog post en cuanto a por qué usar cualquier tipo de patrón para generar contraseñas es una mala idea.

    
respondido por el Stephane 29.10.2015 - 14:32
fuente
41

Si no confía en los administradores de contraseñas, no tiene que almacenar toda la contraseña en el administrador de contraseñas.

Puede dividir su contraseña en una parte fácil de recordar que recuerde (esto podría ser lo mismo para todos los sitios web si lo desea) y una contraseña única y aleatoria en el administrador de contraseñas.

Si de alguna manera alguien pudo acceder a tu administrador de contraseñas, aún no tendrá la parte de la contraseña que recuerdas en tu cabeza.

    
respondido por el JonnyWizz 29.10.2015 - 17:04
fuente
9

La generación aleatoria es el único patrón que deseas, incluso puedes usar dados (Wikipedia), o para cadenas de letras aleatorias más cortas (Wikipedia nuevamente).

Si no quiere olvidarlos, y no confíe en un administrador de contraseñas < em> escríbalas ! (Schneier.com). Consideraría alguna forma de ofuscación aquí para que un ladrón casual que robe su billetera no pueda simplemente iniciar sesión en su cuenta de PayPal (por ejemplo), aunque sea difícil hacerlo bien.

    
respondido por el Chris H 29.10.2015 - 16:04
fuente
7

1) Si no confía en los administradores de contraseñas en línea, puede usar administradores fuera de línea como keepass2, pero tendrá que tener acceso a su archivo en cualquier lugar y la brecha estaría allí. Si realmente no quieres confiar en los administradores de contraseñas ... aprende tus contraseñas.

2) Hay varios tipos de patrones que pueden usarse para generar contraseñas. No siempre son seguros, por lo que generados son mejores. Se ha publicado un artículo sobre este tema en NakedSecurity aquí , presentan diferentes patrones posibles.

    
respondido por el zr_ifrit 29.10.2015 - 15:28
fuente
7

Me gustaría referirlo a este XKCD :

Siagregaporejemplounnombredesitioalfinaldeunacontraseñacomoesa(yporfavornouse"correcthorsebatterystaple" ahora), sería muy seguro.

Lo que realmente importa es la longitud. Entonces, si es largo y fácil de recordar, eso es perfecto.

Una sugerencia si tiene problemas con los administradores de contraseñas: almacene el archivo del administrador de contraseñas en algo como Dropbox. De esa manera, puedes acceder a él desde cualquier lugar, y sigue siendo seguro.

    
respondido por el Tomas 29.10.2015 - 20:13
fuente
6

Puedes usar una estrategia de generación de contraseñas basada en hash. Combina una contraseña maestra con el nombre del sitio (y sus requisitos de complejidad) para generar una contraseña única para el sitio.

Tiene algunas ventajas y desventajas en comparación con un administrador de contraseñas:

  • No hay una base de datos cifrada que pueda perder / ser robada y atacada
  • Debe recordar la configuración utilizada para que el enfoque funcione para sitios con diferentes requisitos de complejidad
  • Una implementación deficiente, como tomar 8 caracteres de un hash md5 puede reducir significativamente el espacio de claves.
  • Los casos en los que se ve obligado a cambiar su contraseña son difíciles de manejar

Hay algunas herramientas que se pueden usar:

  • funciones de hash normales (debes evitar esto), por ejemplo, El ejemplo presentado aquí (Esa publicación también tiene las fortalezas y debilidades del enfoque)
  • Herramientas para automatizar el proceso, como supergenpass (basado en MD5, lo cual no es lo ideal, un hash más lento hace que recupere su contraseña maestra más complicado si un atacante conoce una contraseña generada + el nombre del sitio) (aunque probablemente debería tener una contraseña maestra que sea lo suficientemente larga y aleatoria para que sea difícil de fuerza bruta) (existen otras, como la Contraseña Maestra, ver a continuación)

(a través de Matty: Contraseña maestra parece utilizar una forma mucho mejor de generar contraseñas que cualquiera de las otras mencionadas anteriormente)

    
respondido por el Gert van den Berg 29.10.2015 - 16:47
fuente
6

Utilice una Tarjeta de contraseña .
Aquí hay un ejemplo:

Conunatarjetadecontraseña,ustedeligeunpuntodeinicioyunarutaadondeirdesdeallí(arriba,abajo,izquierda,derecha,diagonales,oalgunacombinación)yrecuerdeeso.(O,múltiplespuntosdeinicioyrutasporcontraseña).Notienequeconfiarenlosadministradoresdecontraseñasdesoftwareporquelatarjetadepapelessuadministradordecontraseñas,yelhashenlaparteinferioresla"contraseña maestra". Aún tiene que mantener un registro de cierta información (punto de inicio y ruta) separada del administrador, por lo que incluso si pierde su billetera, las contraseñas no se guardan.

    
respondido por el WBT 02.11.2015 - 05:13
fuente
3

Creo que "Off The Grid" ( enlace ) podría cumplir sus requisitos. Se basa en una cuadrícula generada aleatoriamente y un método basado en el nombre de dominio para generar la contraseña a partir de eso. Las páginas de ese sitio describen la forma "estándar" de usar la cuadrícula, pero también hay sugerencias sobre cómo podría modificarla, por lo que incluso si alguien se apoderó de su cuadrícula y conocía el método "estándar", todavía no lo haría. ser capaz de trabajar sus contraseñas.

    
respondido por el Paul Walker 31.10.2015 - 23:48
fuente
0

Me gusta usar citas populares de películas. Tomo la primera letra de cada palabra y las convierto en mayúsculas, minúsculas, símbolos o números diferentes, y trato de usar 4 de cada una y las mantengo diferentes.

  

'Lo que no es un país del que haya oído hablar, ¿hablan inglés en   'qué'?

se convierte en "W @ 4c! 3% 7D ^ S9Iw?". Me gusta etiquetar en una pequeña serie de símbolos y letras que puedo recordar si es demasiado corto. como 456 con turno celebrado cada uno. "W @ 4c! 3% 7D ^ S9Iw? $ 5 ^"

    
respondido por el Ken Brockert 30.10.2015 - 15:17
fuente
0

Lo que haría sería usar una cadena base compleja para la contraseña como AdasfbkSDUn7657AJDadadsag y luego para el sitio web, para el cual estoy creando la contraseña, añadiría su nombre al principio. Si recordar la contraseña parece desalentador (lo que debería ser, use un offline administrador de contraseñas).

Contraseña de ejemplo para - www.website.com 

web_AdasfbkSDUn7657AJDadadsag
    
respondido por el sayan 01.11.2015 - 04:46
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede la geolocalización html5 omitir mi vpn? ¿Cómo funciona la autenticación de clave pública ssh?