Está en el camino correcto: lo más importante que puede hacer es tener una contraseña diferente para cada sitio en el que inicie sesión. El beneficio clave es que si un sitio es hackeado (lo son, todos los días), los sitios que usan métodos débiles para ofuscar su contraseña hacen que sea más fácil descifrar su contraseña. Tener la misma contraseña en todas partes significa que si conocen su contraseña una vez, también lo saben en muchos otros lugares.
La complejidad es importante porque ayuda a vencer los métodos de craqueo. Pero los esquemas que mencionas pueden ser un poco complicados, ya que hay otras maneras en que los hackers obtienen tu contraseña que no necesitan ser descifrados.
Por lo tanto, recomiendo encarecidamente a los administradores de contraseñas, y de todos, 1Password es el que más confío, ya que su estrategia es nunca almacenar su contraseña maestra en sus servidores. Otros administradores de contraseñas también pueden hacer esto, por lo que cualquier buena vale la pena. Un administrador de contraseñas hace que sea factible y conveniente tener una contraseña larga, compleja, aleatoria y única para cada sitio. Los mejores también hacen mucho más.
Y para los sitios más importantes, use su autenticación multifactor (MFA o 2FA). Es un dolor total porque necesita tener algo, normalmente un teléfono, que proporcionará un código secundario. Pero para la cuenta de correo electrónico que se usará para confirmar las contraseñas olvidadas, úsela.
Hay varias maneras en que las personas malas obtienen contraseñas. Los adivinan a partir de usos comunes como P @ ssw0rd! Las contraseñas débilmente cifradas se roban de sitios violados y luego se descifran utilizando palabras del diccionario. Tu método resuelve estos.
Pero hay un tercero: los sitios mal protegidos o pirateados, o las estafas de phishing / ingeniería social hacen que escriba una contraseña: los hackers ahora lo saben con muy poco esfuerzo. Los sitios serios sobre seguridad protegen contra esto y monitorean los patrones que sugieren violaciones. Pero la mayoría no lo hacen. (Hoy en día, estos métodos son la forma más común de obtener contraseñas de manera efectiva).
Si asumimos que un pirata informático conoce su contraseña para un sitio específico, ¿qué tan seguro es el método ahora?
Digamos que la parte común de la contraseña es una cadena larga y compleja. Usaré XXXX para representarla. Pero si crea un sufijo o prefijo basado en algo sobre el sitio, eso no es complejo o puede suponerse, como un SXXXX, utilizando la primera letra de "stackexchange", ahora está en cierto riesgo. Hazlo más largo, como sTaXXXX? En realidad más adivina. Haz que sea complicado, como sT @ XXXX o atsXXXX ... se está calentando. Incrustar dentro, como XsXtXaX, mejor aún, probablemente.
Pero esta técnica general es una estrategia ampliamente promovida porque es la única que los humanos realmente pueden recordar, por lo que las personas que intentan piratearla saben qué buscar.
Entonces, una vez que haya adivinado su patrón, tienen su dirección de correo electrónico, así que intente iniciar sesión allí: si es Google, entonces XgXoXoX, ¿verdad? Y ahora, cambian su contraseña de Google y comienzan a restablecer todas sus otras contraseñas. Ahora estás realmente hundido. ¿Cómo puedo saber? Casi me pasó en 2007, excepto que tuve suerte. Y desde entonces: 1Password.
Las contraseñas son un medio terrible, terrible de seguridad. Una llave física para su casa es mejor: ¡necesita la llave o una copia, y necesita estar en la casa! Las contraseñas aleatorias generadas a partir de software como 1Password, especialmente combinadas con autenticación multifactor para los sitios críticos, son el camino a seguir. No hay dos sitios en los que tenga cuentas para compartir una contraseña, y no conozco ninguno de ellos. Los que mi familia necesita se almacenan en una "bóveda" separada con una contraseña separada, y soy la única persona que conoce al maestro, y la cambio con frecuencia.
Espero que esto ayude!