Domanda:
Qual è il tuo modo per creare buone password che possono essere effettivamente ricordate?
rsuarez
2010-11-19 22:29:15 UTC
view on stackexchange narkive permalink

Usa una frase lunga nella tua lingua. È più facile decifrare una password breve e illeggibile che una lunga frase "semplice". Scegli i testi dalle tue canzoni preferite, citazioni, qualsiasi cosa.

Puoi creare password lunghe (ad esempio 40 caratteri o più) in questo modo, senza doverci pensare troppo.

L'unico problema con questo metodo è che se lo applichi su più siti potresti imbatterti in siti che limitano la tua password a un numero di caratteri inferiore alla tua frase e quindi dovrai ricordare più frasi.
@joshuahedlund: Ad esempio, Skype non ti consente di utilizzare nulla di più di 20 caratteri - solo * come * stanno memorizzando i dati di autenticazione, non oso chiedere (spero solo che non sia in `user_password VARCHAR (20)`.
@joshuahedlund questo non è davvero il problema perché la password dovrebbe essere univoca per sito. Voglio dire, non usare due volte la stessa password. Sto usando 1Password per memorizzare le password, di solito 30 caratteri casuali, quando il sito lo limita a diciamo 20 ne generi uno più breve.
38 risposte:
#1
+55
gbr
2010-11-21 23:57:59 UTC
view on stackexchange narkive permalink

Quali sono le metodologie che possono essere utilizzate per generare password "umane" di buona qualità?

Devono garantire una buona robustezza e anche facili da ricordare per un essere umano.

Creane uno davvero valido e lascia che http://agilewebsolutions.com/onepassword faccia il resto.
Non dovrebbe essere un wiki della comunità, dato che non c'è una risposta?
Per ogni domanda IT, c'è un [fumetto xkcd] pertinente (http://xkcd.com/936/).
Perché il requisito di facile ricordare? Se è facile da ricordare, probabilmente non è abbastanza forte.
Lastpass password generator, quindi devi solo creare una password sicura e puoi generare tutte le password che desideri senza dover ricordare tonnellate di password diverse.
I migliori consigli che ho visto sulle passwordhttp: //xkcd.com/936/
Mi piace usare un generatore di passphrase casuale di [1Password] (http://agilebits.com/onepassword) che consente di utilizzare solo frasi pronunciabili come "wha-no-pirt-biqu-wu". Penso che questa sia una buona miscela tra caratteri casuali e la possibilità di memorizzare facilmente la password.
#2
+39
paulmorriss
2011-08-11 16:05:00 UTC
view on stackexchange narkive permalink

Questo fumetto XKCD descrive un modo per generare una buona password. La qualità di tali passphrase è stata discussa in: XKCD # 936: password complessa breve o passphrase del dizionario lunga?

xkcd.com

Questo è un metodo abbastanza decente, ma il fumetto non si occupa di _how_ di generare una password composta da parole casuali.In particolare, è importante notare che le parole scelte devono essere _actully_ casuali."thisismypassword" è una password composta da quattro parole, ma probabilmente non è molto sicura perché le parole scelte non sono casuali.Per assicurarti di scegliere le tue parole in modo casuale, ti consiglio [Diceware] (http://world.std.com/~reinhold/diceware.html).
#3
+35
AviD
2010-12-06 03:33:19 UTC
view on stackexchange narkive permalink

Ehm.
A seconda del motivo per cui deve essere utilizzata questa password, consiglierei una tecnica consigliata anche dal cripto-grande Bruce Schneier:

Scrivila.

Esatto: procurati una password casuale complessa REEAAAHEEELLYYY che non ricordi e SCRIVILA.
Ovviamente, scrivila in un posto sicuro, no collegato all'esterno del laptop per il quale viene utilizzata la password.

+1 concordato. Tutto ciò che può essere attaccato milioni di volte offline necessita di una password ridicola, ma gli attacchi che possono essere individuati prima di migliaia di tentativi non necessitano di password complesse.
e questo è esattamente ciò che software come 1Password, KeePass e LastPass mirano a ottenere. Pollice su.
Se lo scrivi su un pezzo di carta, assicurati anche che sia l'unico pezzo di carta posizionato su una superficie dura. Oppure usa una penna a punta morbida. Solo un pensiero ... Giuro che non sono io nella mia famiglia che guardo _Murder She Wrote_! Onestamente!! :)
Il problema con la scrittura delle password è che devi portare con te quel foglio ogni volta che vuoi utilizzare quei siti. Se viaggi, lavori in movimento, a casa di qualcuno, ecc., Potresti non portarlo sempre con te. È possibile utilizzare una formula per manipolare una singola password complessa in modo che funzioni per il sito che stai utilizzando. Altrimenti LastPass come menzionato sopra è buono.
Il mio "trucco", per generare password * apparentemente * complesse che possono essere facilmente ricordate, è iniziare da un tasto e spostarsi in diagonale. Ad esempio, 1qazSE $ rfv. Puoi cambiare il modo in cui ti sposti, fai zig-zag, ecc. Evita semplicemente le corse orizzontali, poiché gli algoritmi di valutazione della complessità della tastiera li individuano e li rifiutano.
@HotLicks, è un'idea molto CATTIVA, ora tutti sanno come crei le tue password a bassa entropia.
Il motivo per cui scrivere le password su carta in genere non è una buona idea è che ogni volta che è necessario digitarle devi 1) estrarre il pezzo di carta, 2) leggerlo attentamente e digitarlo.Spesso le password devono essere inserite quando altre persone sono intorno a te (amici, familiari, colleghi) e quelle persone finiranno per sapere dove tieni il pezzo di carta e forse anche leggere (o addirittura scattare una foto) la password mentre seiimpegnato a leggerlo da soli e a digitarlo.
#4
+25
growse
2010-11-22 04:31:44 UTC
view on stackexchange narkive permalink

Uso una frase. Una frase corretta, con più parole e spazi, ma che posso ricordare facilmente.

"Il mio mese preferito dell'anno è il 3!"

Dove lo usi? Un sistema in cui devi accedere spesso? IMHO la maggior parte degli utenti non vuole inserire una frase di 42 caratteri. ;-)
Se possono digitare il tocco, non è poi così difficile. Il problema più grande è che la maggior parte dei sistemi pone restrizioni assurde sulla lunghezza o non accetta spazi.
Puoi farlo e scegliere la prima o l'ultima lettera di ogni parola.
Non è meno sicuro che usare una password? Supponendo che tu usi lettere maiuscole e minuscole e 8 caratteri hai 52 ^ 8 combinazioni, rispetto alle ~ 2000 parole che usiamo nel discorso comune elevato alla potenza di 4/5?
Non ho fatto i conti, ma immagino che se includi una buona infarinatura di segni di punteggiatura, numeri e parole non regolari, il conteggio delle combinazioni è piuttosto alto. Sarebbe interessante vedere qualcuno sedersi e risolverlo correttamente (non sono abbastanza matematico ...)
In realtà, 52 ^ 8 produce 53.459.728.531.456, mentre 2000 ^ 5 produce 32.000.000.000.000.000. Questo è 3 ordini di grandezza più grande per una "frase" di sole 5 parole. Inoltre, la maggior parte di noi, sebbene comunemente usiamo solo 2000 parole, ha un vocabolario molto più ampio. Inoltre, la frase nel post originale utilizza 9 parole, una delle quali non è nemmeno una parola che si potrebbe vedere nel dizionario.
Alcune password vengono troncate: indipendentemente dalla lunghezza della password, la password viene troncata prima di essere utilizzata per l'autenticazione. Le password degli utenti Linux e UNIX sono state colpevoli di questo; anche altre password sono probabilmente colpevoli di questo.
Scegli una delle parole della frase e scrivi intenzionalmente in modo errato: "Il mio mese preferito dell'anno è il 3!". Ancora facile da ricordare e aumenta un po 'la sicurezza.
L'unico problema con questo metodo (oltre alle limitazioni sulla dimensione della password) è il rischio per la sicurezza di qualcuno che ti guarda mentre la digiti - qualcosa di significativo per te e senza senso per qualcun altro (come prendere la prima lettera di ogni parola) è l'unico modo per combattere quel particolare rischio. Inoltre, anche il commento sopra il mio aiuta.
@qbi se un utente non può essere disturbato a inserire una password lunga, allora quell'utente non merita di essere al sicuro.
"Ma non posso preoccuparmi di chiudere a chiave la mia porta!" ok, verranno i ladri, nessun problema per me.
Questo è un metodo abbastanza decente, ma preferisco evitarlo perché è difficile stimare con precisione l'entropia delle password generate usando questo metodo, e quindi difficile essere sicuri di quanto sia effettivamente sicura la tua password.Le password Diceware sono molto più facili da ottenere una stima accurata dell'entropia.
#5
+24
Mark Davidson
2010-11-22 02:21:41 UTC
view on stackexchange narkive permalink

Mi piace utilizzare il metodo Sposta le dita. Prendi una semplice passphrase come "stackoverflow", sposta le dita di 1 carattere a destra durante la digitazione e ottieni "dysvlpbtg; pe", che è molto più difficile da indovinare o decifrare.

Anche se funziona abbastanza bene, è meglio aggiungere qualche altra svolta a questo come un numero memorabile e alcuni caratteri speciali per renderlo una password davvero forte.

'dysvlpbtg;pe!1234$'

Usando questo metodo è facile avere una password diversa e molto buona per ogni sito che usi, ma è comunque memorizzabile.

UPDATE:

@Larry & @AviD fa notare che se questo metodo diventa più comune diventa più probabile che venga preso in considerazione crackando dizionari e altri metodi di attacco.

Ovviamente c'è un equilibrio tra il facile da ricordare e il super sicuro. A seconda dell'uso, l'applicazione di alcune di queste tecniche contribuirebbe a rafforzare questo metodo.

  • Sposta in modo diverso : non spostare solo 1 carattere a destra. Vai in un modo diverso e / o passa da un numero diverso di caratteri. Usando di nuovo "stackoverflow" come passphrase di esempio, shift down si ottiene "xgz, l dfv.ls", shift di 2 caratteri a destra si ottiene "fudb; [ntyh '[r". Questo inizia a migliorare la tecnica, ma ovviamente può essere adottato anche dagli aggressori.
  • Suffisso e prefisso - Aggiungi un suffisso e un prefisso alla combinazione "@@ stackoverflow $$ "aggiunge un sacco di altre possibilità al mix.
  • Sii diverso - Ci sono molti metodi diversi suggeriti come risposte a questa domanda. Probabilmente la migliore risposta alla domanda è usare un po 'di ciascuno di essi e creare un metodo tutto tuo. In questo modo lo ricorderai sempre e se è unico per tutti gli altri, significa che non si indebolisce perché tutti gli altri non stanno facendo la stessa cosa.
Nota che se questo diventa comune, è facile adottare attacchi di dizionario a questa tecnica.
Inoltre ci sono già alcune tecniche che tengono conto del posizionamento della tastiera.
Sono d'accordo con voi ragazzi come qualsiasi tecnica quando diventa comune diventa meno sicura. Alcuni suggerimenti per migliorare questo metodo sono aggiungere un suffisso e un prefisso. Inoltre, non spostare solo 1 carattere a destra, ma in un'altra direzione e / o di una quantità diversa.
Tieni presente che esistono diversi layout di tastiera.
il problema con questo metodo, una volta dimenticato era "aggiungi @@ davanti, $$ dietro, sposta 1 a sinistra e 2 in basso con avvolgimento" o "aggiungi ## dietro, 12 davanti, sposta 2 a destra con ritorno a capo e 1 in basso senza ritorno a capo "hai un problema :) E a volte hai bisogno di password per i luoghi che hai visitato l'ultima volta 4 anni fa ...
Certo, questo potrebbe portare a problemi se si passa a un layout di tastiera diverso ... Ma la maggior parte di noi di solito incontra layout diversi solo quando si viaggia, e comunque non è un'idea molto brillante andare a digitare le proprie password nei computer net cafe, quindi io immagino che possa essere considerata una caratteristica di sicurezza involontaria. :)
#6
+17
Roger C S Wernersson
2010-11-22 12:00:45 UTC
view on stackexchange narkive permalink

Utilizzo Diceware. Hai bisogno di un dado a sei facce (o un buon generatore di numeri casuali) e un elenco di parole Diceware.

Lancia i dadi per ottenere un cinque digita il numero; ad esempio 34512.

Cerca la parola nell'elenco; ad esempio jinx.

Ripeti cinque volte.

La lunghezza è l'attributo più importante di una password. Questo genererà una password abbastanza lunga.

/ Roger

La lunghezza NON è l'attributo più importante, ad es. "aaaaaaaaaaaaaaaaaaaaaa" verrà hackerato più velocemente di "@ # ^ (F3", ed è più difficile digitare correttamente senza compromettere la lunghezza. Veloce, senza guardare: quante a c'erano?
Non sono d'accordo. Se scrivessi un programma per trovare la password usando la forza bruta, controllerei la password più breve molto prima di quella più lunga. Potrei riuscire a decifrare una password di sei lettere entro un giorno. La password di 22 lettere richiederebbe anni, se non decenni, usando la forza bruta. Inoltre, ho detto il PIÙ importante, non l'unico attributo. Sconsigli di usare Diceware?
Fondamentalmente, la password di sei lettere Tutti i caratteri stampabili ASCII ha circa 36 bit di entropia. La password di 22 caratteri dell'alfabeto latino senza distinzione tra maiuscole e minuscole ha più di 96 bit di entropia. Vedi Wikipedia per i dettagli (https://secure.wikimedia.org/wikipedia/en/wiki/Password_strength)
Quando si tratta di lunghezza vs complessità, uno non è migliore dell'altro. Ci sono compromessi. Hai bisogno di un grado di complessità con una lunghezza adeguata.
@Roger, c'è una differenza tra la forza bruta e gli attacchi con dizionario. Ovviamente, forzare brute a quello più corto sarà più veloce del più lungo, ma un attacco con dizionario funzionerebbe più a lungo, mentre saresti costretto a forzare l'intero spazio di passaggio per il più corto. Per quanto riguarda l'entropia, ciò si applica solo se si tratta di una password casuale che utilizza l'intero spazio: le password semplici sono molto più facili da infrangere indipendentemente dall'entropia o dalla lunghezza.
Diceware è un ottimo punto di partenza in quanto ti dà una frase senza senso casuale che puoi rafforzare come meglio credi (caratteri casuali, elenchi di parole multiple ecc.).
@Roger - diceware viene utilizzato per creare passphrase, non password. Così avresti 6 parole nell'esempio dato sopra. Ovviamente, la stessa lunghezza di caratteri alfanumerici casuali con caratteri speciali sarà più forte, ma molto più difficile da ricordare e inserire.
Anch'io consiglio Diceware.Non per _length_, ma per _entropy_.Diceware genera password ad alta entropia che tendono ad essere relativamente facili da ricordare.La lunghezza in sé e per sé è solo una valida difesa contro gli attacchi di forza bruta incredibilmente semplici, mentre le password ad alta entropia resisteranno alla forza bruta indipendentemente dalla strategia di indovinazione utilizzata dall'attaccante.
#7
+14
pkaeding
2010-11-22 08:01:26 UTC
view on stackexchange narkive permalink

Prendo una riga da una canzone che mi piace e poi prendo la prima lettera di ogni parola. Molto probabilmente non esisterà in nessun dizionario delle password. Quindi, puoi sostituire i caratteri speciali.

Ad esempio, prendi il Hound Dog di Elvis Presley:

Non sei altro che un cane da caccia , piangendo tutto il tempo

Questo diventerebbe:

  yanbahd, catt  

Quindi, cospargere di qualcosa di speciale personaggi, gioca con le maiuscole e così via:

  Y @ nBa! ^ d, c @ Tt  

Quindi, se ricordi il testo della canzone, si spera che tu possa ricordare la password.

È abbastanza facile aggiungere molte delle più comuni qui a un dizionario delle password: il numero di canzoni apprezzate è piuttosto piccolo (rispetto al numero di parole con anche 9 lettere, ad esempio). Inoltre, le prime lettere delle parole hanno meno entropia anche delle lettere in generale. È utile apportare le modifiche, ma le persone tendono a fare lo stesso tipo di modifiche (dalla a alla @, dalla t alla T, ecc.) In modo che non ti porti a un livello completamente nuovo. Preferisco di gran lunga i metodi che collegano in modo più casuale grandi fonti di entropia. Combinare questo con il luogo in cui hai sentito la canzone per la prima volta potrebbe essere migliore.
Penso che tu abbia perso la "b" di "ma" nella tua password finale. Forse è così che eviti l'attacco al dizionario ;-)
@tttppp ahh, buona cattura!
@nealmcb buon punto. Ho pensato che questo fosse un metodo intelligente per inventare le password. Non sono proprio sicuro di essere d'accordo sul fatto che il numero di canzoni "popolari" sia così piccolo; cosa definisce "popolare"? Sono d'accordo che le canzoni Le canzoni di Elvis siano tra le più popolari, ma puoi scegliere una canzone che è meno popolare, ma ha un significato speciale per te. Inoltre non devi scegliere una linea dal ritornello; puoi scegliere una linea da un verso.
@pkaeding Anche se immagino che per un attacco molto mirato in cui l'attaccante può recuperare i tuoi interessi musicali dai social media, usando canzoni che solo tu piacciono sarebbe un contatore inutile. :)
@nealmcb: Sono fortemente in disaccordo. Come avrebbe fatto l'attaccante a sapere che erano * queste due * righe da * questa * canzone di Elvis? Come potrebbe sapere l'attaccante che erano * tutte le parole * di queste righe? Prendi tutte le canzoni popolari là fuori e prendi tutte le linee di quelle canzoni in combinazioni di una e due linee. Ora togli la prima e l'ultima parola da ciascuna di quelle righe. Il tuo dizionario sarebbe così grande che sarebbe inutile.
A che serve un dizionario delle password se riesci a rilevare l'attacco dopo il 500esimo tentativo? Immagino che dipenda dalla tua definizione di * buono *. Se vuoi che la tua password non venga mai violata, sarà molto difficile ricordarla.
Ho provato questo metodo per un po ', ma in 4-5 anni dimentichi completamente quale linea da quale canzone hai usato per quale luogo, e con caratteri speciali puoi anche generarlo casualmente - non hai alcuna possibilità di ricordarlo. Almeno non lo faccio. Ecco perché ho abbandonato questo metodo.
@StasM, sì, ho anche abbandonato questo metodo, in effetti. Ora dimentico di cercare di ricordare le password, poiché non è pratico avere una password sicura, che non usi in più posti. Ora uso un programma di gestione delle password (1Password è quello che uso, ma ce ne sono altri che probabilmente sono altrettanto buoni). Quindi, ricordo solo una password sicura e la digito in 1Password. 1Password ricorda tutte le mie password e ne genera di nuove in modo casuale quando ne ho bisogno di una nuova.
@josh: C'erano solo 933 canzoni in cima alle classifiche di Billboard tra il 1955 e il 2003 ("Billboard Book of Number 1 Hits di Fred Bronson, 5a edizione"). Moltiplicare per forse 20 per # righe. Ci sono ovviamente molte canzoni popolari che non hanno mai raggiunto il numero 1, e molti generi, ecc., Ma tutto sommato penso che il numero di canzoni che probabilmente verranno utilizzate per lo schema presentato qui sia molto piccolo rispetto a quello su cui vuoi lavorare per un parola d'ordine. Lo schema presentato non include il tuo suggerimento di rimuovere la prima e l'ultima parola (solo a volte, presumo), e anche questo moltiplica solo il numero di voci per 4.
Ancora più importante, qualsiasi schema che richieda qualcosa "mi piace" probabilmente porterà la maggior parte delle persone a scegliere da una distribuzione molto distorta di cose popolari, il che rende gli attacchi del dizionario molto più pratici. Invece, gli schemi di password richiedono buone fonti indipendenti di entropia.
Anche se sei salito tra i primi 40, il numero totale di righe è sicuramente inferiore a un dizionario di dimensioni adeguate, e ci saranno molte ripetizioni a causa delle regole della lingua inglese e della costruzione dei testi musicali. Come una delle masse, per ora, probabilmente va bene. Ma se qualcuno ti insegue personalmente e conosce il tuo schema, questo è molto debole. Se questo schema diventa più popolare, verrà aggiunto come impostazione predefinita a JtR ecc., A quel punto il gioco è finito per gli attacchi offline.
@JasonCoyne sì, questo è un ottimo punto, ma penso che sia probabilmente uno che può essere fatto su qualsiasi password che può essere facilmente ricordata. Se qualcuno ti prende di mira in modo specifico, potrebbe anche conoscere i tuoi gusti musicali, quindi anche scegliere un testo oscuro in una canzone oscura di un artista oscuro potrebbe non funzionare.
Bene, il punto di diceware ecc. È che sono facili da ricordare, ma hanno comunque un'entropia molto alta. Per il tuo schema, scegli 3-4 canzoni diverse e prendi un verso da ciascuna.
Sì, capisco la teoria alla base di diceware, ma credo di essere scettico sul fatto che porti a ricordare facilmente le passphrase. Era "righthorsebatterystapler"? No, "graffetta della batteria corretta"?
#8
+11
nealmcb
2010-11-29 12:17:14 UTC
view on stackexchange narkive permalink

Ci sono buoni consigli su http://www.schneier.com/blog/archives/2007/01/choosing_secure.html e http://en.wikipedia.org/ wiki / Password_strength

Penso che la chiave sia combinare almeno due fonti di entropia piuttosto grandi apparentemente non correlate. Per esempio. parte di una parola di medie dimensioni combinata con lettere dall'inizio di una frase idiosincratica, con alcune lettere maiuscole e minuscole e numeri / simboli lanciati nel mezzo. Fallo in modo da poter creare una storia strana e memorabile su tutto questo, e assicurati che sia abbastanza lungo, a seconda di quanto sia importante per te. Esercitati per un po 'e inserisci alcuni suggerimenti sottili sulla storia in un file relativamente privato.

Puoi anche esagerare scegliendo una password lunga o difficile da ricordare: http: / /www.schneier.com/blog/archives/2009/07/strong_web_pass.html

#9
+8
Steve
2010-11-25 23:54:09 UTC
view on stackexchange narkive permalink

Penso a una bugia, qualcosa che non è vero, e la trasformo in una frase corretta come "Il cielo è davvero verde!". (Questo non è quello che ho usato prima)

Sono facili da ricordare perché sono così strani.

Ci sono QUATTRO luci!
#10
+6
Thomas Pornin
2011-02-08 03:01:58 UTC
view on stackexchange narkive permalink

Per le password, utilizzo quanto segue: due lettere, poi due cifre, poi due lettere, quindi due cifre. Le lettere sono minuscole. Lettere e cifre vengono generate casualmente.

Si scopre che le password risultanti sono facili da ricordare (almeno, facile per me; il tuo cervello potrebbe non essere cablato allo stesso modo del mio).

Un buon punto di queste password è che è facile calcolare la loro entropia: ci sono 26 4 x10 4 possibili password con questo formato, tutte con la stessa probabilità , quindi un'entropia di circa 32,09 bit (una data password ha probabilità 1/2 32,09 di essere selezionata). 32 bit di entropia non vanno bene per tutti gli utilizzi, ma sono abbastanza buoni per la maggior parte, compreso ogni utilizzo in cui gli attacchi sono online. Un attacco online è quello in cui l'aggressore deve fare una richiesta a un sistema "onesto" per ogni ipotesi; per esempio. un server SSH. Gli attacchi offline (in cui l'aggressore può controllare un'ipotesi "da solo", limitato solo dalla sua potenza di calcolo) sono più spaventosi e richiederebbero una password più forte.

Ricorda che sapere quanta sicurezza hai almeno quanto importante quanto avere tale sicurezza.

Bonus: ecco il programma C che uso per generare quelle password (si compila sotto Linux e FreeBSD, dovrebbe funzionare su altri sistemi Unix-like):

  / * * Piccola utility per la generazione della password. * / # Include <stdio.h> # includono <stdlib.h> # includono <string.h> # includono <errno.h> # includono <sys / types.h> # includono <unistd.h> # includono <fcntl.h>static unsignedrandval (max unsigned) {static int fd = - 1; carattere senza segno x; if (fd < 0) {fd = open ("/ dev / urandom", O_RDONLY); if (fd < 0) {perror ("open"); exit (EXIT_FAILURE); }} per (;;) {
val senza segno; for (;;) {if (read (fd, &x, 1) < = 0) {if (errno == EINTR) continue; perror ("leggi"); uscita (EXIT_FAILURE); }                        rompere; } val = (senza segno) x; if (val > = max * (256 / max)) continua; return val% max; }} static intrandletter (void) {return "abcdefghijklmnopqrstuvwxyz" [randval (26)];} static intranddigit (void) {return "0123456789" [randval (10)];} intmain (void) {printf ("% c% c % c% c% c% c% c% c \ n ", randletter (), randletter (), randdigit (), randdigit (), randletter (), randletter (), randdigit (), randdigit ()); return EXIT_SUCCESS;}  
Hai solo due classi: numerica e minuscola. Dato che così tante autenticazioni richiedono lettere maiuscole e speciali, come gestirle?
@pboin: stranamente, nessuna delle password che ho generato negli ultimi cinque anni ha lettere maiuscole. Probabilmente ci sono applicazioni che richiedono lettere maiuscole e / o caratteri speciali, ma, nella mia esperienza e per quanto riguarda quello che faccio con i computer, devono essere piuttosto rare.
Supponendo che tu stia dicendo la verità, hai appena rivelato come costruire un dizionario / algoritmo ottimizzato per ridurre significativamente lo spazio di ricerca contro i tuoi accessi.
@Andrew: sì, assolutamente. Sono disponibili 2 32.09 password possibili. Questo è troppo piccolo per comodità, supponendo che l'attaccante possa "verificare" un'ipotesi sui propri computer (questo è un attacco "offline"). Un buon protocollo non lo consentirà (nella terminologia Unix: `/ etc / shadow` non è liberamente leggibile).
Questo è uno schema terribile. Perché porre limiti artificiali alle permutazioni? Conoscendo questo schema, una GPU che esegue 10 miliardi di tentativi md5 non salati al secondo richiederebbe un massimo di ** mezzo secondo ** per coprire tutte le permutazioni di [az] [az] [0-9] [0-9] [az] [az] [0-9] [0-9]. Anche le password salate sarebbero vulnerabili. Questo post dovrebbe essere cancellato nel caso qualcuno volesse effettivamente usarlo.
Se si esegue l'hashing della password con una singola chiamata MD5, il punto debole è utilizzare una singola chiamata MD5. Un'adeguata funzione di memorizzazione delle password richiama la funzione hash _ milioni_ di volte, moltiplicando il costo dell'attacco per altrettante. Quello che dovrebbe essere cancellato è il tuo suggerimento di usare un semplice MD5 per l'hashing; è un pessimo consiglio. Una corretta tecnica di hashing delle password è bcrypt: http://en.wikipedia.org/wiki/Bcrypt
#11
+6
user185
2010-12-03 00:08:15 UTC
view on stackexchange narkive permalink

Uso il generatore di password in Mac OS X, impostato sulla modalità "password memorizzabile".

#12
+6
iivel
2011-02-07 21:57:43 UTC
view on stackexchange narkive permalink

Uso una passphrase e un generatore casuale per quella frase (cifratura di sostituzione). Rigenero mensilmente la mia chiave magnetica e ne tengo una copia con me. Trovo che la natura pseudocasuale crea password complesse in un'autenticazione quasi a 2 fattori. Qualcosa che ho è la mia chiave magnetica, qualcosa che so è la mia frase chiave. Come esempio, ho scritto una breve app per crearli qui:

Ad esempio: la password della mia banca potrebbe essere "banking" e genererebbe una password molto complessa per me, sarebbe facile da modificare e la mia password sarebbe sempre bancaria.

http://levii.com/cipher.php

* Modifica: solo come nota, ho proposto questo metodo al /. nel 2005 e da allora non l'hanno più aggiornata. Avevo intenzione di fare delle vere ricerche su di esso come parte del mio programma MS-ISA.

#13
+6
Moshe
2010-11-22 00:11:00 UTC
view on stackexchange narkive permalink
  1. Comincio con una passphrase, come pancakes .

  2. Successivamente, faccio alcune sostituzioni: aggiungo numeri, simboli e maiuscole. [email protected].

  3. Infine, aggiungerò un prefisso o un suffisso per ogni sito su cui lo utilizzo, come pAzc @ KezStack .

    PS: è una buona idea avere alcune basi e alternare anche quelle.

Dichiarazione di non responsabilità: non nessuna delle mie password. (Sì, sto mangiando una frittella mentre scrivo questo.)

yay for pancakes! dang, ora * io * voglio dei pancake ...
Questo è abbastanza vicino ai metodi comuni che secondo Schneier sono presi di mira con successo da strumenti come PRTK. http://www.schneier.com/blog/archives/2007/01/choosing_secure.html Suggerisco di trovare un modo per combinare in modo memorabile due mondi di entropia molto diversi.
erm ... http://security.stackexchange.com/questions/662/what-is-your-way-to-create-good-passwords-that-can-actually-be-remembered/6124#6124
Se qualcuno scopre che la tua password Stack Overflow è "[email protected]", allora avrà un'idea abbastanza chiara di quali sono le tue password Google, Apple, Facebook, ecc. Questo schema impedisce l'individuazione automatica della password cross-site, ma non manuale.
Come ricordi comunque "[email protected]"?
#14
+5
MattBianco
2011-02-08 22:05:06 UTC
view on stackexchange narkive permalink

Sfortunatamente, molti sistemi pongono stupide restrizioni alle password, quindi lo stesso metodo per generare password "ricordabili" non sempre funzionerà per me.

Molto spesso non ho bisogno di ricordare così tante password. Scrivo quelli importanti in keepass o un file di testo crittografato con PGP, o entrambi.

Tuttavia, la maggior parte di quelli che ho scelto per i miei sistemi unix si basano su linee di canzoni o solo frasi o espressioni sciocche, in cui lascio che ogni parola diventi un carattere, con maiuscole e minuscole varia a seconda dell'accento o dell'intonazione della parola, o quali parole hanno più "significato" nella frase. Buona idea anche aggiungere un suffisso o un prefisso ad alcune rappresentazioni del nome del sistema / sito.

Informazioni sulla lunghezza della password: sui siti web scelgo sempre password di più di 8 caratteri. Il mio ragionamento è che molti progettisti di sistemi "incapaci" memorizzano solo un hash MD5 della password degli utenti senza alcun sale. I siti Web vengono violati e, anche se utilizzo password diverse ovunque, non voglio comunque che uno script kiddie effettui una ricerca in una tabella hash-to-plain text pregenerata e trovi il mio "casuale" password lì.

Esattamente. Disprezzo tutte le restrizioni sulla password. Alcuni siti richiedono 8 o più caratteri; altri 8 o meno (il che NON ha senso); altri richiedono un numero o un carattere di punteggiatura; altri non consentono la punteggiatura. È già abbastanza difficile ricordare 30 password, ma quando tutti i siti hanno requisiti diversi, diventa quasi impossibile.
#15
+5
StasM
2011-01-01 06:46:21 UTC
view on stackexchange narkive permalink

Per i siti di media sicurezza:

  1. Scegli una parola che ricorderesti e che sia abbastanza a lungo, diciamo che è porcupine.
  2. Scegli un numero che ricorderesti - non usare il tuo anno, mese e giorno di nascita, né per i tuoi parenti, ecc.! - diciamo che è 28 .
  3. Quando hai bisogno di una password per il sito security.stackexchange.com, rendila 28-porcupine+SSC

Questa password è ricordabile, poiché devi solo ricordare 1 parola e 1 numero per tutti i siti che visiti e puoi recuperare la password per qualsiasi sito senza alcuno sforzo. Ovviamente puoi cambiare algoritmo, ma l'idea è di usare la combinazione f (n, w, s) dove n e w sono fissi e s viene generato dal nome del sito.

Per i siti ad alta sicurezza (ovvero "se qualcuno riesce ad accedervi, la mia vita è rovinata") - genera una password casuale lunga, annotala, metti questo foglio in un posto sicuro - come con il tuo passaporto, i titoli , ecc. documenti.

Se uno di questi siti è dannoso, possono vedere la tua password generata e possono indovinare facilmente il tuo algoritmo, consentendo loro di accedere per te in ogni altro "sito a sicurezza media".
@Paulo Ciò a condizione che esistano davvero siti in cui gli esseri umani riflettono su ogni password inserita (su centinaia di persone che si registrano ogni giorno, probabilmente) e indovinano l'algoritmo che viene utilizzato (e questi umani sono abbastanza intelligenti da indovinarlo solo da uno esempio). Penso che sia abbastanza sicuro scommettere che le possibilità che ciò accada sono basse. E se il sito si rivela dannoso, il danno derivante dal dare loro la mia email è probabilmente peggiore: ricevo tonnellate di spazzatura da alcuni siti a cui mi sono iscritto, ho scoperto che sono inutili e troppo pigri per scoprire come eliminare il mio account.
corretto fiocco della batteria del cavallo!
#16
+4
Bradley Kreider
2011-02-09 09:56:12 UTC
view on stackexchange narkive permalink
  1. Mescola un mazzo di carte.
  2. L'ordine delle carte è la tua password.
  3. Acquista un nuovo mazzo per ogni password. Non far cadere il mazzo.

Se costretto puoi lasciare il mazzo, o nel caso del Regno Unito quando perquisiscono la tua casa spargeranno il tuo mazzo e cancelleranno la tua password / chiave di crittografia .

;)

poi i tuoi figli decidono che vogliono giocare a carte .....
#17
+4
MasterZ
2011-04-05 04:27:15 UTC
view on stackexchange narkive permalink

Un suggerimento per la password dovrebbe essere solo qualcosa che ti ricorda qual è la tua password senza esporre la password effettiva. Il che significa che dovrebbe essere qualcosa che potresti capire, ma che un estraneo non sarebbe in grado di capire.

Se usi una password di base ma a volte usi caratteri minuscoli o talvolta speciali, potresti usare un suggerimento che lo spiega solo (ovvero il suggerimento è "tutto minuscolo").

Oppure usa LastPass, è il mio strumento di conservazione delle password preferito che uso per quasi tutto.

#18
+3
Bill Weiss
2011-01-06 21:18:22 UTC
view on stackexchange narkive permalink

Per le mie password di accesso, utilizzo un software (pwsafe o KeePass, non importa dove mi trovo) per generare una brutta password di qualunque lunghezza mi serva (9 caratteri?). Poi lo scrivo su qualcosa che va nel mio portafoglio. Dopo alcuni giorni di utilizzo lo ricordo abbastanza bene e ho stracciato la carta. Il backup lo tiene in uno di quei programmi che si trova su una macchina diversa da quella della password :)

Per tutto il resto, il software lo fa per me. Avere un programma che ricorda le tue password è molto meglio che farlo da solo, non capisco bene perché le persone resistono.

A volte le persone lo fanno, ad esempio utilizzando il gestore di password nel browser Web per memorizzare quale delle poche password hanno utilizzato per un sito specifico. Il problema più grande è "se il software fallisce, qual era la mia password?" - visto quanto grande sia uno scherzo (reperibile tramite ricerca Google / profilo Facebook) le domande di "sicurezza" utilizzate dai siti web per il recupero della password sono.
#19
+3
Rory Alsop
2010-11-25 22:46:34 UTC
view on stackexchange narkive permalink

Per evitare attacchi a Rainbow Table, la lunghezza è la chiave. Non è raro quando si esegue l'exploit di prendere il file SAM o / etc / passwd ed eseguire un crack sugli hash. In passato ho spesso usato John the Ripper per alcuni giorni per vedere quali hash potevano essere forzati. In questi giorni farei rapidamente gli hash su una tabella arcobaleno e avrei il 95% di tutte le password con meno di 9 caratteri (e se volessi controllare 10 caratteri potrei scaricare anche la tabella per quella lunghezza - inizia a diventare molto big ...)

Detto questo, le 2 tecniche che utilizzo sono:

  1. like pkaeding - testi di canzoni
  2. il vecchio CVC CVC CVC CVC Metodo CVC (consonante, vocale, consonante) a qualsiasi grado di entropia richiesto
#20
+1
Vitaly Nikolaev
2011-11-29 20:58:13 UTC
view on stackexchange narkive permalink

Cambia la tua vita :) fai in modo che tutte le password siano estremamente complicate, senza modo di ricordarne nessuna. Procurati un gestore di password, ho trovato KeePass piuttosto utile.

Puoi mantenere i file DB su Dropbox e utilizzare password + immagine (file binario) per accedere alle password, mantenere l'immagine (file) solo sui dispositivi che probabilmente utilizzi per accedere alla password da (non su Dropbox!).

Mantieni l'immagine accessibile ma non ovvia. Quindi il sistema è ancora utilizzabile, ma se gli hacker ottengono i file DB delle password non possono accedervi con la forza bruta.

In questo modo sarà necessario ricordare solo una password, il che è molto più semplice.

Cambialo e il file regolarmente e sei al sicuro.

DropBox conserva una cronologia dei tuoi dati per un mese (?), quindi ricordalo quando cambi la password del DB.

+1 per KeepAss (continuo a scriverlo in questo modo tutto il tempo. Quando lo scrivo, * ovviamente * è un errore di ortografia - questa è la mia storia e mi ci tengo; o))
#21
+1
Rory McCune
2010-12-03 16:19:54 UTC
view on stackexchange narkive permalink

simile ad alcune delle altre risposte, per alcune password si basa su una frase che trovo memorabile e poi la traduce in una password. Quindi, ad esempio

i;) @ 0dd ^

è una password ragionevole che ricorderei come "Strizza l'occhio a cappelli dispari". Generalmente questo o qualcosa basato sulle prime lettere di una frase (di solito con alcune modifiche di leet speak e aggiunta di punteggiatura).

#22
+1
Andy Lee Robinson
2011-08-13 12:14:28 UTC
view on stackexchange narkive permalink

Ecco ancora un altro schema per i musicisti:

  qiurtyuqytnreqwerwmqweqqqwnqqrtyyyttrrtyy7yytytrrtrqweqqweqerterttytreqtytreqqbqqbq32g5532g5532g5d5srr > trasporre ulteriormente come desiderato  
#23
+1
pboin
2010-12-03 19:51:10 UTC
view on stackexchange narkive permalink

Uso il modulo perl Crypt: RandPasswd, che può creare frasi pronunciabili circondate da misc. speciali e numeri. Trovo che le regole di pronuncia limitino lo spazio delle chiavi, ma rendono la parte mentale molto più semplice. Anche se devo cercare una password, posso ricordarla abbastanza a lungo per digitarla correttamente la prima volta.

Una password potrebbe essere simile a questa: Vorda # Capis% 99 ^

> Utilizza invece la funzione rand () incorporata di perl, che a sua volta è (di solito) costruita sulle funzioni di generazione di numeri pseudo-casuali della libreria C sottostante.
#24
+1
Dracs
2011-09-18 22:07:18 UTC
view on stackexchange narkive permalink

Recentemente ho esaminato Off The Grid di Steve Gibson. È una crittografia basata su carta che può crittografare un nome di dominio (o qualsiasi testo in realtà) e fornire una password da utilizzare. Sul sito ci sono molte informazioni a riguardo.

La base è prendere una tabella di caratteri 26x26. Questa tabella segue regole simili al Sudoku (solo uno per ogni carattere in ogni riga e colonna). Questo inizia con molta entropia (minimo 1400 bit). Le basi su come usarlo sono abbastanza semplici (non mi preoccuperò di riscriverlo tutto di nuovo). Il rischio più grande è se qualcuno ruba fisicamente la tua griglia. Anche in questo caso ci sono alcuni passaggi che puoi fare lentamente (dovrebbe essere abbastanza lungo da rendersi conto che qualcuno l'ha rubato). Questi metodi includono,

  1. Scegliere una posizione di partenza diversa
  2. Salatura (puoi farlo anticipando / aggiungendo qualcosa quando esegui la crittografia)
  3. Quando si esegue la crittografia (leggere la pagina appropriata) invece di scegliere i due caratteri successivi. Scegli invece forse i prossimi tre personaggi, uno in alto, due in basso a sinistra, ecc.

Non lo uso personalmente, ma non ho molte difficoltà a ricordare 20 casuali caratteri che uso in combinazione con Passpack (gestore di password online)

#25
+1
JBirch
2010-11-29 16:37:05 UTC
view on stackexchange narkive permalink

A seconda di cosa mi serve, calcolerò un MD5 o SHA1 su un file casuale e lo ripeterò alcune volte. È piuttosto debole, però, in quanto contiene solo 16 caratteri.

Se ho bisogno di qualcosa di più forte, digiterò tre o quattro caratteri in un ricercatore Tripcode e vedrò cosa genera contro di me. Incolla due di questi insieme ed eseguili un paio di volte, e hai una password abbastanza sicura in quanto è davvero abbastanza casuale.

#26
+1
Ventral
2010-11-22 01:04:16 UTC
view on stackexchange narkive permalink

Una metodologia di cui ho sentito parlare è scegliere una pagina di un libro e utilizzare la prima lettera di ogni parola su una riga. Se combini le maiuscole delle parole e il numero dispari puoi ottenere una password complessa che non è facile da indovinare: tutto ciò che devi fare è ricordare il libro e la riga!

#27
+1
Olivier Lalonde
2010-11-29 23:18:16 UTC
view on stackexchange narkive permalink

Apro un grande libro in una pagina a caso e uso la prima lettera delle ~ 8 prime parole / righe. Non esattamente facile da ricordare, ma rende molto difficile "dimenticare" completamente la password.

#28
  0
Shurmajee
2013-05-05 15:59:27 UTC
view on stackexchange narkive permalink

Se l'inglese non è la tua lingua madre, sei fortunato. Suggerirei di utilizzare una passphrase che utilizzi una combinazione di parole inglesi con parole della tua lingua madre o delle tue lingue. Una tale password sarà abbastanza difficile da indovinare.

Ovviamente dovresti scegliere una passphrase che possa essere ricordata facilmente da te. Non sono un grande fan della creazione di password troppo complesse, ricorda solo che la password non dovrebbe essere facilmente indovinabile e non dovrebbe essere elencata in un dizionario.

Raccomando inoltre di non avere una sola password per tutti i tuoi conti. Mantengo un piccolo pool di password (questo verrà con la pratica). La tua password per il net banking non deve essere riutilizzata per il tuo account eBay o monster.com. Dopo aver fatto clic sul collegamento della password dimenticata di un sito di lavoro, mi hanno inviato la password in chiaro. Fondamentalmente non puoi fidarti di ogni sito web casuale là fuori!

Stai presumendo che l'aggressore non conosca la tua lingua madre.
@CodesInChaos La mia ipotesi è che sarà difficile per un utente malintenzionato mettere le mani su un dizionario di password non inglesi. La raccomandazione è di utilizzare un mix di inglese e lingua madre.
#29
  0
iivel
2011-11-30 21:16:14 UTC
view on stackexchange narkive permalink

Il primo consiglio è qualcosa come lastpass o keepass, ma so che non sono sempre pratici e i miei amici meno tecnicamente esperti di certo non vogliono "complicare più le cose", quindi ho scoperto che un codice di sostituzione funziona in modo abbastanza efficiente e consente un facile ricordo della tua password, rendendo molto improbabile che possa essere indovinata o facilmente hackerata.

Ho messo un esempio là fuori http://levii.com/cipher.php... Uso almeno una parola chiave di 4 lettere (quindi "BANCA" per il mio banca "WORK" per il mio lavoro) che non mi preoccupo di cambiare - tengo la carta nel portafoglio e ne stampo una nuova ogni due mesi quando è il momento di cambiare la password. (nota: questa non è l'app reale che utilizzo per generare le mie carte, ma è concettualmente la stessa)

#30
  0
George
2011-09-19 14:44:38 UTC
view on stackexchange narkive permalink

Altri due punti:

a. Insieme a tutti gli altri metodi, un altro modo per aumentare l'entropia:

Vai oltre il semplice (semplice) inglese .

Se combiniamo parole (seme) da più di una lingua l'area di indovinare la password / ricerca diventa immediatamente ENORME. E questo certamente confonderebbe le persone che scrivono regole per indovinare le password.

Inoltre ciò richiederebbe un campo di pensiero più ampio rispetto ai "cattivi". Forse dipende dal "nostro" intelletto contro il "loro" . Forse, il pensiero più ampio dovrebbe essere:

Andare oltre i semplici metodi CS .

Quindi, quali altri modi simili possiamo pensare per superare in astuzia la ricerca di password? / p>

b. Un punto non visto finora menzionato: pensando dal lato dell'amministratore, non dimentichiamo che eventuali regole di generazione di password potrebbero anche dover aderire alla policy delle password della tua organizzazione. Per esempio. Ho difficoltà a pensare come il metodo parole separate da spazi (usando parole non comuni!) Potrebbe essere facilmente implementato e applicato in un ambiente aziendale (OK, parser, dizionari ecc. Ma hai l'idea ...)

E che ne dici di educare e convincere gli utenti a utilizzare questo o qualsiasi altro metodo ...?

#31
  0
August
2011-01-06 20:00:59 UTC
view on stackexchange narkive permalink

Trovo una stringa di caratteri complessa e totalmente casuale premendo a caso i tasti sulla mia tastiera in uno schema con cui le mie dita si sentono a proprio agio e possono fare molto rapidamente. Le tecniche che utilizzo per farlo sono:

  • alternare i tasti successivi tra le mani per velocizzare o utilizzare piccoli gruppi di tasti (2 o 3) uno accanto all'altro sulla tastiera, alternando i gruppi tra ciascuna mano per creare la password completa. È difficile digitare rapidamente un'intera password con una sola mano
  • Rendi letteralmente le chiavi casuali e non scrivere nulla o anche una variante di qualcosa
  • quando cambi password, cambia il dito pattern abbastanza significativo da premere chiavi e schemi di tasti completamente diversi (e non lo stesso schema ha spostato 1 o 2 tasti in qualsiasi direzione)

Dopo aver ottenuto la mia password casuale, mi esercito a digitare la nuova password alcune volte per fare in modo che la mia memoria muscolare mantenga lo schema chiave. Dopo che la mia password è stata impostata, accedo ad alcuni sistemi di seguito per mantenere ulteriormente lo schema della chiave.

Alla fine, avrai una password totalmente casuale che è difficile da dimenticare perché non lo sei Non ricordo nemmeno una stringa di caratteri, solo uno schema che le tue dita seguono sulla tastiera che non significa niente per nessuno, nemmeno per te. A volte, quando digito accidentalmente la mia password in un campo di testo chiaro (tutti lo hanno fatto a un certo punto ...) mi sembra totalmente estraneo perché non penso alla stringa, ma solo allo schema che sto premendo sulla tastiera.

Anche questo metodo non si traduce in password e schemi simili tra utenti diversi perché tutti digitano in modo diverso. Ciò che è facile e veloce da digitare per una persona potrebbe essere più difficile per un'altra.

Digitare "in modo casuale" crea raramente caratteri casuali. Di solito ci sarà qualche struttura identificabile e quindi debolezza. ad esempio, caratteri di sinistra poi caratteri di destra, dittonghi, gruppi di caratteri adiacenti. Usa invece un programma per creare una stringa casuale e poi esercitati per impegnarti nella memoria tattile (muscolare).
#32
  0
user2382
2011-09-16 21:07:34 UTC
view on stackexchange narkive permalink

Di solito prendevo quattro parole casuali, sostituivo alcune lettere con numeri e aggiungevo quattro numeri più un carattere speciale. Il problema era che era un po 'difficile da ricordare: ora, ho preso la mia linea preferita dal libro che stavo leggendo il mese precedente e ho fatto una sostituzione simile più alcune modifiche alle maiuscole, ad esempio:

"A la testa umana si alza da una palude di sonno "(number9dream, David Mitchell) diventa" Ahum4nH34dR1s3sUpfR0mASw4mpOfSl33p! "

Ha un'entropia accettabile e la complessità computazionale di una ricerca di forza bruta significa che un tale attacco non è pratico.

#33
  0
l0b0
2011-02-07 22:14:18 UTC
view on stackexchange narkive permalink

Crea nuove parole: splur, bambile, egilomanifastic, spilomasilomagnitolistable. Combina per un po 'di rima divertente e un facile mnemonico.

#34
  0
Everett
2010-11-20 05:37:27 UTC
view on stackexchange narkive permalink

Che ne dici di una password con una chiave rotante, in base a ciò che stai facendo? Esempio: la mia password principale è P4 $$ w3rdthati $ h4rd (sì, è proprio quello che uso)

Voglio usarla per GMail. Comincio con P4 $$ w3rdthati $ h4rd e aggiungo gm alla fine (P4 $$ w3rdthati $ h4rdgm). In questo modo devo solo ricordare due o tre lettere in base a ciò che sto facendo, poiché la mia password è relativamente coerente tra i servizi (pubblici e privati). Potrei usare un modificatore di fine coda (suffisso) per cose su Internet e un modificatore di inizio (prefisso) per cose private. Oppure inseriscilo nel mezzo.

Sono a rischio di incendio se ritieni che questa sia una cattiva pratica, ma non ho mai incontrato qualcuno che indovina le mie password e non ho mai avuto bisogno di scriverle .

Non abbiamo più bisogno di provare a indovinare la tua password!
Non c'è modo che tu possa indovinare, ah merda ...;)
Il vero problema sarebbe se utilizzi questo schema per iscriverti a un sito che non crittografa / hash la tua password. O il sito stesso, o l'autore dell'attacco di quel sito, potrebbero leggere la tua password - e sarebbe piuttosto banale capire il tuo schema in base a questo, e poi usarlo per un sito diverso. Anche se è un rischio equo, faccio qualcosa di simile ... :)
Penso che questa sia la risposta migliore senza allungare troppo il psw.
@AviD se pensi che lo schema "baseword" + "gm" sia troppo semplice, puoi aumentare la complessità dell'algoritmo. Ho una parola base simile a Everett ma il mio algoritmo prevede la sostituzione di lettere in determinate posizioni e l'aggiunta di numeri in determinate posizioni in base al numero di caratteri nel dominio del sito. Voilà, brevi password complesse uniche che sono facili da ricordare.
#35
-1
sublimepua
2012-05-28 04:58:18 UTC
view on stackexchange narkive permalink

Il mio metodo non è in alcun modo indistruttibile, principalmente perché si basa sulla sicurezza attraverso l'oscurità, ma è meglio del riutilizzo delle password e non si basa sul fatto che si ricordi molto. Eseguo una ripetizione dell'url del sito in questione con una password lunga di mia scelta. In questo modo, ricordi solo una password, ma la compromissione dell'archivio password di un sito non compromette gli altri accessi. Questo ha il potenziale per infinite variazioni. Potresti fare l'URL seguito dall'indirizzo IP, l'URL invertito, l'URL tradotto in spagnolo, ecc. Ecc.

#36
-1
Lewis
2013-05-05 14:36:11 UTC
view on stackexchange narkive permalink

Utilizzo una password lunga che posso digitare dalla memoria ogni volta che ho creato ricordando uno specifico percorso a zig-zag sulla tastiera, uno che passa attraverso lettere, numeri e simboli, quindi toccando il tasti che compongono quel percorso nel ritmo di un pattern di batteria da una mia traccia post-dubstep preferita, spostando alcuni caratteri a seconda di dove si trovano i rullanti in quel pattern di batteria.

'percorso' a ciò che uso, ma puoi vedere quanto sia complessa una password che questa tecnica ti rende, e con un po 'di pratica è abbastanza memorabile:

  \] = {- p) o9I8u&y6T5r $ e3W2q  

Quindi per diverse applicazioni di solito aggiungerò alla fine la mia vecchia password Hotmail che ho inventato quando avevo 11 anni, o la mia data di nascita al contrario, o qualcosa di simile quello che posso ricordare facilmente.

#37
-1
Paolo Perego
2010-11-20 04:03:34 UTC
view on stackexchange narkive permalink

Lascia che tu scelga un verso dalla tua canzone preferita nella storia o solo in questo periodo di tempo.

Prendi una frase a caso, crea una permutazione CamEl cAse, puoi persino usare una sostituzione di set di caratteri di script kiddie to m4k3 1t l00k1ng così CoMpl3X e difficile da indovinare.

Idealmente, scrivi una frase in inglese, come: questa mattina sono così blu. In realtà la tua password può essere: Th1S M0rn1Ng I 4M s0 Blu3.

Facile da ricordare e dopo qualche input anche facile da digitare.

#38
-2
tasmaniski
2011-09-19 14:19:52 UTC
view on stackexchange narkive permalink

Il mio metodo consiste nel cambiare alcune lettere con numeri simili e ogni nuova parola inizi con le maiuscole.

ad esempio: Th1sIsGreatPassw0rd!

i = 1,

0 = o

e in corrispondenza di "!" o qualcos'altro.

La maggior parte dei cracker di password (john the ripper, ecc.) Controlla automaticamente le sostituzioni di numeri comuni. Se ricordo correttamente le statistiche, questa tecnica aggiunge meno di 20 secondi al tempo necessario per decifrare una password.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...