¿Las recomendaciones de contraseña deben ser diferentes para dispositivos, redes e Internet?

5

Comencé a usar un administrador de contraseñas el año pasado y actualicé casi todas mis cuentas de Internet a contraseñas únicas y muy sólidas, y eso no es un problema, porque solo accedo a ellas desde navegadores web o desde mi teléfono, como he dicho Administrador de contraseñas instalado.

Pero el acceso a nivel de dispositivo es una historia diferente. Tener contraseñas super fuertes y únicas es realmente molesto y propenso a tener que sacar su teléfono para recordarlo. (usando notas seguras para recordar la contraseña)

Probé la contraseña segura para el inicio de sesión de Windows y terminé cambiándola nuevamente a una contraseña de cadena débil después de un día.

Debido a que el acceso a la red del directorio activo está vinculado al inicio de sesión del dispositivo significa que el acceso a la red también es débil. Afortunadamente, la mayoría de los MFA practican el acceso remoto a la red, por lo que es bueno.

Otra de las contraseñas que tuve que volver a convertir en un número de cadena débil es mi cuenta de itunes debido a que tengo que ingresarla tan a menudo en la tienda de aplicaciones.

Dado que el acceso a los dispositivos con Windows 8 está vinculado a una cuenta de Outlook, y el acceso a la tienda de aplicaciones vinculado a una cuenta de itunes, realmente no sé cómo abordarlos.

Idealmente, me gustaría recomendar y PRACTICAR contraseñas de Internet súper fuertes, pero contraseñas de acceso a dispositivos fáciles de recordar.

Supongo que mi pregunta es, ¿deberían las contraseñas variar en función de a qué se accede, y si es así, cuál es la mejor práctica para los diferentes tipos de acceso?

    
pregunta Andrew Hoffman 17.06.2014 - 17:01
fuente

2 respuestas

5

Una buena contraseña es una compensación entre varios parámetros:

  • Valor de lo que está protegido (esto debería condicionar el esfuerzo invertido por los posibles atacantes).
  • Costo de la fuerza bruta (esto depende mucho del objetivo, por ejemplo, algunos permitirán ataques sin conexión con un valor hash, mientras que otros limitan a los atacantes a ataques en línea solamente, a una tasa máxima aplicada por el servidor ).
  • Facilidad de recuerdo.
  • Facilidad de entrada (por ejemplo, las contraseñas mixtas de caja / dígito son difíciles de escribir de manera eficiente en un teléfono inteligente).
  • Restricciones externas (tamaño mínimo, tamaño máximo, reglas estrictas y, a menudo, erróneas aplicadas por un administrador demasiado entusiasta ...).
  • Extensión del poder de la contraseña (por ejemplo, SSO hace que las contraseñas sean aplicables a muchos sistemas; también se reutiliza la contraseña).

Dado que es un compromiso , una contraseña nunca será generalmente perfecta.

La frecuencia con la que escribe la contraseña es un parámetro importante: cuanto más a menudo la escriba, más fácil será recordarla. Para una contraseña que se ingresa diariamente, busque una secuencia de letras aleatorias (elegidas de manera uniforme e independiente entre sí): esto acelerará la entrada porque puede alcanzar un nivel de entropía muy decente en relativamente pocos caracteres (solo con minúsculas). letras, 10 caracteres ya te llevan a 47 bits de entropía).

    
respondido por el Tom Leek 17.06.2014 - 17:20
fuente
3

Los controles de acceso deben ser proporcionales a los riesgos involucrados. La mejor práctica no se aplica.

Las contraseñas de los sitios de foros de productos no tienen que ser tan complejas como las de las cuentas bancarias, por razones obvias: el compromiso tiene un riesgo limitado en el sitio de foros de productos.

La pregunta que debe hacerse es, ¿qué nivel de riesgo está preparado para soportar? Si simplemente no te importa, usa la misma contraseña de 4 caracteres para cada cuenta, pero asumo que sí te importa o que no habrías preguntado.

En un momento dado, las personas rara vez cerraban sus puertas porque los riesgos de robo eran muy bajos y el inconveniente de tener que llevar una llave era demasiado alto. Ahora, ni siquiera pensamos en el inconveniente de llevar llaves. Es lo mismo con cualquier nuevo control de acceso. Después de un tiempo, te acostumbras, si reconoces su necesidad.

Para mi teléfono, tengo el código de acceso más complejo que puedo generar, porque el riesgo para mí es alto. El código de acceso a mi iPod es simple, porque el riesgo para mí es bajo.

Los controles se eligen en función del riesgo. Deja que el riesgo sea tu guía.

    
respondido por el schroeder 17.06.2014 - 17:17
fuente

Lea otras preguntas en las etiquetas