¿Sería segura esta idea para una contraseña? [duplicar]

Navega tus respuestas
5

Estaba pensando en la seguridad de la contraseña esta mañana. Principalmente, sobre el reciente hackeo de adobe que libera miles de contraseñas.

El problema actual con las contraseñas existentes es que tiene tres opciones:

  • Utilice la misma contraseña en todos los sitios
  • Use algunas contraseñas para diferentes sitios (cuentas bancarias, sitios web de juegos / cuentas, correo electrónico, etc. todos obtengan una
  • Obtenga un programa como lastpass que debe instalarse en cada computadora que desee usar para iniciar sesión en un sitio web.

Los dos primeros son muy inseguros pero son fáciles de recordar. Este último es muy seguro, por inconveniente que sea, ya que no puede usarlo en, por ejemplo, una computadora pública. Básicamente, esto lo bloquea de cualquier computadora en la que no tenga permisos de instalación.

Así que pensé en esta idea:

  • Comience con una base segura, como fWi3$aLj que se usará en todos los sitios web
  • Agregue las tres primeras letras de la URL al final, para que cada sitio web tenga su propia contraseña
  • Agregue un 1 para .com, 2 para .net, 3 para .org y un 4 para cualquier otra cosa hasta el final
  • Por ejemplo, la contraseña de este sitio web (con la base segura anterior) sería fWi3$aLjsec1 .

Pros:

  • Cada sitio web obtiene su propia contraseña (excepto en casos raros, pero la contraseña será aplicable a muy pocos otros sitios web)
  • Es una contraseña muy segura, ya que solo tiene que preocuparse por recordar una, para que pueda hacerla muy compleja (ya que no tendrá que recordar una nueva para cada sitio web)
  • Si se filtra una base de datos o si se encuentra su contraseña de alguna otra manera, solo tiene que preocuparse por cambiar la contraseña de ese sitio web
  • No tienes que recordar varias contraseñas
  • A menos que le digas a alguien, no hay forma de que alguien se dé cuenta de que lo estás haciendo
  • No necesitas ningún software especial ni nada

Así que me preguntaba si existen inconvenientes para hacer esto. Acabo de encontrarlo hoy, sin embargo, creo que puedo cambiar mis contraseñas si ahora hay inconvenientes.

    
pregunta user34311 17.11.2013 - 07:38
fuente

5 respuestas

5

Una contraseña es fuerte. Pero donde fallaría espectacularmente es si el pirata informático hace referencia cruzada a su ID de usuario entre dos sitios pirateados diferentes. 

Site           UserID               Password
-------------  -------------------  ------------
Adobe          [email protected]  fWi3$aLjado1
Sony           [email protected]  fWi3$aLjson1

Las similitudes sugieren una prueba simple. Use google para encontrar un usuario 343 en algún lugar de la web: 

stackexchange  [email protected]  fWi3$aLjsta1

Y el éxito lleva al objetivo de un pago: 

Citibank       [email protected]  fWi3$aLjcit1
Chase          [email protected]  fWi3$aLjcha1
Wells Fargo    [email protected]  fWi3$aLjwel1
    
respondido por el John Deters 18.11.2013 - 03:42
fuente
4

No . Esto no es significativamente más seguro que usar la misma contraseña en todas partes.

El punto de usar diferentes contraseñas en diferentes sitios web es que si una contraseña está comprometida, no pueden acceder a sus otros sitios web. Con su enfoque, si bien es cierto que son contraseñas diferentes, si un atacante conoce una contraseña, es probable que pueda descubrir las demás.

    
respondido por el paj28 17.11.2013 - 14:55
fuente
0

Creo que tu idea es buena (tengo un algoritmo propio), pero encontré una desventaja:

  • Cambiar la contraseña puede ser difícil. Quiero decir, es una buena práctica cambiar las contraseñas periódicamente, pero también nos indica que cambiemos el algoritmo de creación de una contraseña.

El problema comienza desde aquí: ¿cómo puedes decirte si es una segunda, tercera, ... generación de contraseña, qué algoritmo se debe usar?

Este tipo de administración de contraseñas no es más seguro que otras, pero lo ayudará a recordar sus contraseñas sin almacenarlas en ningún lugar, lo que es, podemos decir, no seguro.

    
respondido por el kawa 17.11.2013 - 12:52
fuente
0

He pensado en un sistema de contraseña similar por un tiempo. Acabo de elegir algunas variables más complejas como la suma de dígitos del código postal, etc., pero ese no es el punto.

Como han dicho otros, todavía es posible descubrir tu patrón. Creo que si alguien tiene al menos dos de tus contraseñas, esto no debería ser muy difícil. Pero creo que hay una solución simple para este problema: solo hash tu contraseña individual del sitio y tal vez mezcla el hash con algunos caracteres especiales para hacerlo más fuerte.

También puede agregar un contador (o, por ejemplo, el año de generación de la contraseña) a cada contraseña individual. De esta manera es posible cambiar las contraseñas fácilmente. Tal vez haya guardado el año o el contador en un archivo o base de datos, pero para los sitios más visitados no debería ser difícil recordar el contador.

El único problema que veo con este sistema es el cálculo de los hashes sin dejar rastros (especialmente en computadoras públicas). Esto podría ser posible con una pequeña aplicación web que se ejecute en su propio espacio web o servidor a través de una conexión segura.

    
respondido por el trent 18.11.2013 - 00:48
fuente
0

El punto de vista de los hackers.

Hipotesis : soy un hacker peligroso. Tengo algunos sitios web para propósitos sin importancia, pero con administración de cuentas estándar. Como mi objetivo es robar contraseñas, mi base de datos de contraseñas no está cifrada ni encriptada (solo oculta) ... O quizás, simplemente tome la base de datos de contraseñas de algunos adobe , hotmail y algunos otros ...

Así que su contraseña está construida en dos partes distintas. Pero cuando hiciste una cuenta en dos diferentes de mis sitios pirateados:

  • La primera parte de ellos podría identificarse muy rápidamente.
  • La segunda parte también es distinguible y como no hay una parte aleatoria, solo hay que entender cómo . Pero nada más que hacer.

Sí, a partir de ahí, solo necesito saber dos de tu contraseña para poder adivinar todas las demás .

¡Gracias por compartir tu contraseña!

    
respondido por el F. Hauri 18.11.2013 - 08:13
fuente

Lea otras preguntas en las etiquetas

¿Se deben implementar las ID de usuario en la banca en línea? ¿Es phpseclib una alternativa segura y confiable a OpenSSL?