Supongamos que agrega un par de caracteres adicionales a su contraseña, únicos para cada sitio que visita. La contraseña sería muy similar, excepto por unos pocos caracteres de sal, posiblemente tomados de la url, el nombre, etc. del sitio.
¿Esto mejoraría la seguridad? Y si es así, ¿es una alternativa viable a los administradores de contraseñas?
De lo que estás hablando no es un salt , es solo un patrón, y es uno altamente previsible. Digamos, por ejemplo, que su contraseña en Amazon es p @ ssw0rd123amazon y su contraseña en Google es p @ ssw0rd123google y su contraseña en algún sitio pequeño de comercio electrónico es p @ ssw0rd123 * nombre de sitio *.
Si alguien piratea el sitio de comercio electrónico y publica todas las contraseñas en Internet, están ahí para que cualquiera las vea. No haría falta ser un genio para reconocer su patrón y averiguar la contraseña que está utilizando para Amazon y Google también.
Los patrones de contraseña nunca funcionan tan bien y no son tan seguros como parece. Es mejor obtener un administrador de contraseñas para generar contraseñas seguras y guardarlas para usted, entonces ni siquiera tiene que pensar en sus contraseñas.
Es una buena idea, ya que proporciona una contraseña diferente para cada sitio. No haría la parte única demasiado obvia. En el caso de que una contraseña se filtre, alguien podría adivinar las otras. Así que no hagas "passwordSITEname" por ejemplo. Si se filtra, un atacante intentará "passwordNEWSITEname".
Soy un fanático de los administradores de contraseñas, y creo que deberían ser utilizados por todos.
Para analizar esto, debemos pensar detenidamente en varios escenarios que estipulan qué conocimiento tiene el atacante y luego razonar sobre qué otra información pueden deducir.
La respuesta de Mark Burnett ya nos proporciona uno de estos escenarios: si el atacante adquiere su contraseña de uno de los sitios, entonces conoce todos menos dos caracteres de su contraseña en los demás (tomando su sugerencia de usar "un par" de sal personajes literalmente), y por lo tanto pueden adivinar fácilmente los demás. Ya que el punto de usar diferentes contraseñas en diferentes sitios es protegerlo contra un atacante que aprende su contraseña en un sitio, esto prácticamente anula su propuesta, diría yo.
Aquí hay un segundo escenario: el atacante no conoce ninguna de tus contraseñas, pero sabe que podrías construirlas de acuerdo con la regla que describiste, que explicaré como esto:
Si el atacante sabe que crea sus contraseñas de esta manera, las estrategias para adivinar # 1 se adaptan muy fácilmente para adivinar # 2, porque la sal de dos caracteres apenas agrega entropía a la contraseña maestra.
Tercer escenario: un atacante que no conoce ninguna de sus contraseñas, ni sabe ni adivina que las construye de acuerdo con este procedimiento. Luego diría que si es efectivo depende de la estrategia que utilicen para adivinar las contraseñas. Tendrías que saber o adivinar su estrategia para adivinar contraseñas, lo que no sabes. Pero entonces no tiene motivos para creer que su esquema de contraseña será más o menos seguro que una alternativa.
La única virtud que puedo ver en esto, entonces, es que hace que sus contraseñas sean más fáciles de recordar. Pero creo que el primer escenario derriba todo el enfoque, punto. Y el hecho triste es que las cosas que hacen que las contraseñas sean más fáciles de recordar generalmente también las hacen más fáciles de adivinar.