Domanda:
Quante password servono per la sicurezza?
CykaBlyat
2017-11-18 03:46:19 UTC
view on stackexchange narkive permalink

Quindi mi chiedo quante password siano sufficienti per avere i miei dati al sicuro perché in questo momento ho 1 hard password per la posta & della banca (> 10 caratteri + numeri ecc.) e 1 password media per i giochi e 1 per i siti ombreggiati . Li tengo tutti memorizzati e non su carta / in un documento. È abbastanza?

Penso che keepassx dovrebbe andare bene per ricordare molte password sofisticate per molti siti.
No, ovviamente questo non è abbastanza vicino
`function enoughPasswords (numAccounts, numPasswords) {return numAccounts === numPasswords);`
@corsiKa `abbastanzaPasswords (10, 42)`
@mb21 uhhhh `appropriatePasswords (account) {valid = [];accounts.forEach (a => {if (! valid.includes (a.pass) && entropyBits (a.pass)> 40) valid.push (a.pass);});return valid.length === accounts.length;} `: doctorPERFECT:
@mb21 ciò significherebbe che devi avere diverse password per un account, il che potrebbe non essere una buona cosa.
Le password non sono sufficienti, non importa quante ne hai.Usa 2fa.
Sette risposte:
#1
+78
Anders
2017-11-18 03:50:36 UTC
view on stackexchange narkive permalink

No, non è abbastanza. Utilizzare la stessa password sia per la posta elettronica che per la banca è una cattiva idea. Se il tuo provider di posta elettronica è compromesso, significa che l'aggressore avrà accesso al tuo conto bancario e viceversa. Non lo vuoi.

Usa una password per sito. Non sarai in grado di memorizzarli tutti, ma non preoccuparti. Ecco a cosa servono i gestori di password.

Se vuoi che questo venga spiegato in un video con un ottupus animato, la Electronic Frontier Foundation ti ha coperto.

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (http://chat.stackexchange.com/rooms/69029/discussion-on-answer-by-anders-how-many-passwords-is-good-for-security).
#2
+18
Joe
2017-11-18 03:53:43 UTC
view on stackexchange narkive permalink

Una password per la banca e la posta.

Una password media per il gioco s .

Una per sito ombreggiato s .

Non riutilizzare le password!

Questa è una pessima pratica, se qualcuno scopre una delle tue password, hanno accesso a molti dei tuoi altri account. Ciò è particolarmente negativo quando si riutilizzano le password tra e-mail e conti bancari, come mostra il commento di @ Jeutnarg.

Meno di 10 caratteri è troppo basso. Scegli qualcosa di più alto, almeno> 15.

Utilizza una password univoca e complessa per ogni account e utilizza un gestore di password come Dashlane o LastPass così non dimentichi mai le tue password. La tua password principale per questi gestori di password dovrebbe essere molto forte; se viene scoperta la password principale, tutte le tue password sono note.

Posso consigliare LastPass, i loro account gratuiti sono dotati di funzionalità caricate e le app mobili sono fantastiche
Parlando specificamente di banca e posta, dovresti assolutamente evitare di avere un'unica password per la conferma E l'accesso.Come in, alcuni servizi (banche per uno) inviano e-mail di verifica dell'integrità quando rilevano un accesso da un indirizzo sconosciuto o modifiche significative sui conti.Se utilizzi la stessa password per la posta elettronica e per quel servizio, potresti sacrificare questa protezione / notifica.
E già che ci sei, dovresti abilitare l'autenticazione a due fattori sui siti Web che la supportano * soprattutto * se riutilizzi le password.
Sconsiglio vivamente di utilizzare la stessa password per e-mail e conti bancari.
#3
+8
David Foerster
2017-11-18 20:49:32 UTC
view on stackexchange narkive permalink

Zero è il numero corretto di password. Idealmente il sistema di autenticazione semplicemente conoscerà la tua identità senza alcuna prova attiva da parte tua per derivare un token di accesso . (Nella teoria dei calcoli questo tipo ipotetico di sistema è chiamato oracolo. )

Sfortunatamente, nessuno ha ancora trovato un tale metodo di autenticazione, quindi prendiamo il successivo miglior numero di password : one . Utilizzi un'unica password per sbloccare tutti i tuoi token di accesso che sono spesso, ma non necessariamente, password (si pensi ad esempio ai file chiave). Ora, in generale, non si desidera utilizzare lo stesso token di accesso per tutti i sistemi di autenticazione nel caso in cui uno di essi venga rubato e abusato per impersonarti agli occhi di altri sistemi. Ecco perché generi un diverso token di accesso (es. Una password) per ogni sistema di autenticazione indipendente .

Il sistema che gestisce e sblocca altri token di accesso in base al tuo unico password è chiamata catena di chiavi con il popolare caso speciale di un archivio di password che è una catena di chiavi per un singolo tipo di token di accesso, le password. Ci sono alcune buone applicazioni per l'archiviazione delle password che puoi configurare e utilizzare. Vedi le altre risposte per alcuni esempi.

#4
+5
tim
2017-11-18 05:27:47 UTC
view on stackexchange narkive permalink

Come altre risposte hanno sottolineato, riutilizzare le password è un male, poiché qualsiasi account che utilizza una password riutilizzata potrebbe essere compromesso.

Detto questo, potrebbe essere accettabile che tu riutilizzi le password per determinati servizi. In particolare, può andare bene riutilizzare password per siti ombreggiati o account usa e getta di cui non ti interessa affatto, purché tu sia consapevole che saranno compromessi.

Per una configurazione sicura, è necessario ricordare almeno le seguenti password:

  • Password di sistema: la password per l'utente root locale.
  • Password Manager: la password per il tuo password manager. Questo può quindi occuparsi di tutte le password utilizzate per i servizi Web.
  • Password di crittografia: la password utilizzata per crittografare il disco (questa non dovrebbe assolutamente essere la stessa della password di sistema o del gestore di password).

Idealmente, questo è tutto ciò di cui hai bisogno. In pratica, potresti voler accedere ai servizi su altri computer e potresti non voler fidarti di quei computer per gestire un'unità USB contenente i dati del tuo gestore di password o con la password per il tuo gestore di password basato sul web.

Qui è dove devi valutare personalmente usabilità e sicurezza.

Hai bisogno di accedere alla tua posta elettronica da computer non attendibili? E in tal caso, la tua e-mail è collegata ad account importanti (nel qual caso l'accesso al tuo account e-mail equivale probabilmente ad accedere a quegli account importanti)? In tal caso, potresti aver bisogno di una password aggiuntiva che devi ricordare per il tuo account e-mail (e potresti voler creare un secondo account e-mail per separare le preoccupazioni).

Se devi accedere ai giochi da computer non affidabili, potresti anche volere una password separata per questo. A seconda di quanto siano importanti per te questi account, la password deve essere più o meno complessa.

Lo stesso vale per qualsiasi altra password che potresti dover inserire in un computer non affidabile in cui non hai la possibilità di utilizzare un gestore di password in modo sicuro. Puoi provare a classificare questi account in base alla criticità e, se necessario, riutilizzare le password per gli account in cui non ti dispiace troppo una compromissione dell'account.

Non ho utilizzato gestori di password ma non dovrebbe essere possibile esportare solo una password specifica?Quindi potresti copiare solo i file di dati del gestore delle password per le password che devi utilizzare altrove sulla tua unità USB e lasciare le altre a casa?
@MichealJohnson sì, potresti esportare alcune password in un portachiavi più piccolo.
#5
+3
Damon
2017-11-18 16:26:26 UTC
view on stackexchange narkive permalink

La condivisione delle password funziona fino a quando un sito non viene compromesso o fino a quando non viene effettuato correttamente il phishing. A quel punto, sei nei guai.

L'aggressore ora conosce il tuo nome utente che probabilmente utilizzerai anche su un altro sito e (un hash salato di? Si spera !? ) la tua password. Con un po 'di fortuna riescono a capire la vera password dall'hash, ora sei davvero nei guai, dato che la stessa password funziona su molti siti. In ogni caso, anche se non riescono a trovare un altro sito dove l'hai usata, la password entrerà nel loro dizionario di password conosciute. Se non altro, la prossima volta renderà la ricerca con forza bruta un po 'meno bruta.
Nel caso di phishing con successo, non hai messo in gioco un account, ma molti.

Scrivere le password su carta è un male (anche se ammetto di averlo fatto per alcuni decenni), memorizzarle è più sicuro ma non funziona molto bene. Diamine, dimentico regolarmente il PIN di 4 cifre sulla mia carta di credito perché ne ho bisogno solo una volta all'anno. Cerca di capire quanto riesci a ricordare una stringa di 12 caratteri ragionevolmente casuale.

Finché è coinvolto un computer, non ti costa davvero nulla fare le cose correttamente. Ad esempio, KeePass insieme all'estensione web Kee (funziona su diversi browser di alto profilo) genererà - e ricorderà - password sufficientemente complesse per ogni singolo sito. E, all'interno di un browser, questa combinazione è una configurazione "funziona". Non preoccuparti mai più, non sprecare mai più un pensiero su quel problema. Funziona anche per altri programmi (non browser), solo leggermente meno confortevoli (copia-incolla, nessun riempimento automatico).

Le password generate sono di qualità molto migliore di qualsiasi password che potresti generare tu stesso o che potresti ricordare con successo. Quindi, non solo questo risolve il problema di condivisione, ma rende anche impossibile forzare la tua password. A meno che, naturalmente, il CIO di un determinato sito non sia un completo idiota come nel caso ad es. il portale della mia assicurazione sanitaria (Axa). Mentre insistono sull'identificazione postale per una sicurezza extra extra, rifiutano una password casuale a 256 bit casuale, insistono su regole stupide e hanno un parser che rifiuta ancora alcune password che rispettano le loro stupide regole. Quindi ti ritroverai con, hai indovinato, il 50% degli utenti che scelgono Fuckyou! 1 . Che, hai indovinato correttamente, rispetta le loro stupide regole.

Ma ahimè, ci sono cose che non puoi cambiare. Dovresti, tuttavia, affrontare l'argomento che puoi modificare.

Scrivere una password su un pezzo di carta non è la cosa peggiore che puoi fare.Lo faccio quando cambio una password per la quale non posso utilizzare un gestore di password, finché non ho appreso la nuova password.(L'amore ha costretto a cambiare regolarmente la password.) Ovviamente tengo sotto stretto controllo il pezzo di carta.Scegliere una password molto più semplice solo per ricordarti che probabilmente è peggio.
So esattamente dove si trova il mio foglio di carta.2000 miglia di distanza.
#6
-3
PePePlusPlus
2017-11-20 03:15:16 UTC
view on stackexchange narkive permalink

Non si tratta del numero di password. Ho una password di base, qualcosa di molto difficile da decifrare come "Y3DYFR34" che memorizzo semplicemente e un suffisso che aggiungo alla base. Quindi la mia password per stackoverflow sarebbe "Y3DYFR34_stackoverflow" e la mia password per l'email sarebbe "Y3DYFR34_email".

  • Protegge dai dump delle password
  • Facile da memorizzare
Si prega di registrarsi su questo [sito web gratuito di bassa qualità] (https://www.itisatrap.org/firefox/its-a-trap.html) Perché non proverò a cambiare il suffisso della password che fornisci a "stackoverflow "e prova ad accedere al tuo account ... _ (né nessuna delle centinaia di siti web in cui ti registri sarà mai compromessa per rubare le password inserite, né salverà effettivamente la password in chiaro) _
Per chiarire cosa ha scritto Ángel: questo non ti protegge dai dump delle password.È una pessima idea.Ottieni il peggio di entrambi i mondi: qualcuno che decifra una delle tue password le infrange tutte, ma non ottieni la comodità di poter utilizzare la stessa password su siti diversi.
Se un dump della password ha uno dei tuoi account che utilizza questo stile di password (diciamo quello Stack Overflow), non c'è nulla che impedisca a qualcuno di trovare quello che stai facendo e provare la password ovunque, sostituendo il nome del sito web per ogni sito web.vuoi davvero differenziare le tue password riutilizzate su diversi siti Web (seriamente, non riutilizzare le password), quindi almeno trova un'abbreviazione o un sinonimo univoco e usalo (es. sover, eletters), ma non dovresti farlo.
"Y3DF R34" non è difficile da decifrare, la mia macchina lo farebbe in circa 5 minuti.
@ Ángel è in realtà una pagina di phishing o proviene effettivamente da Mozilla?Firefox lo blocca, ma alcuni link al suo interno sembrano autentici
@Ooker È un sito di phishing di prova generico gestito da Mozilla.Ti parla solo dei pericoli del phishing e non ruba i tuoi dati.Firefox è molto probabilmente progettato per bloccarlo in modo da poter vedere se la protezione dal phishing del browser funziona correttamente.Nel tuo caso, ha funzionato.
Woah ... Chiariamo alcune cose perché mi è sembrata davvero un'ottima idea. Il suffisso "stackoverflow" è davvero stupido ma l'ho usato come esempio per spiegare meglio il mio metodo, si suppone che si usino abbreviazioni o sinonimi univoci.E chi analizzerebbe tutti i dati quando si verifica un dump della password, pensavo che il processo di furto dell'account fosse praticamente automatizzato? "Y3DYFR34" è davvero troppo semplice ma non ho detto che non puoi usare una base più dura come "_B86FvXCn7eP? W + m".
@PePePlusPlus il frutto più basso è infatti persone che usano esattamente la stessa password (anche se per un attacco automatico, sostituire "stackoverflow" con "gmail" sarebbe banale).Ma anche gli aggressori possono guardarlo.Ti fideresti che l'abbreviazione sia abbastanza resistente?Ci sono sistemi che lo fanno automaticamente usando un hash o un hmac._Questo_ è sicuro (si basa sulla resistenza all'hash preimage), ma il tuo schema probabilmente non lo è.
@Gilles non solo qualcuno che compromette un sito legittimo e decifra le sue password, devi anche prendere in considerazione i siti con intenti dannosi!https://www.xkcd.com/792/
#7
-4
Abhinaw Anand
2017-11-18 18:10:06 UTC
view on stackexchange narkive permalink

Se utilizzi la stessa password per tutti i tuoi siti, potrebbe essere compromessa. Dovresti usare anche maiuscolo minuscolo, caratteri alfanumerici e speciali e deve essere maggiore di 15 cifre.

Puoi creare qualsiasi tipo di combinazione per la password.

Posso vedere cosa stai ottenendo qui, ma non risponde alla domanda.La risposta suggerisce solo delle linee guida per una buona password e ripete quanto già spiegato in altre risposte.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...