Изменение базового пароля для разных сайтов

717
Fadeway

С большим количеством веб-сайтов, которые требуют регистрации или предоставляют преимущества для регистрации, невозможно создать устройство и запомнить уникальный пароль для каждой имеющейся у нас учетной записи. Возможное решение - менеджер паролей. Тем не менее, есть ли способ генерировать пароли, которые не нужно запоминать, но вместо этого можно легко восстановить по мере необходимости, без использования отдельной программы?

Мое направление мысли следующее: устройство основного пароля (с резервной копией для ситуаций «не более 16 символов»). Используйте предварительно выбранный компонент веб-сайта - например, имя сайта, взяв основной пароль «пароль» и используя буквы «Yahoo» для формирования пароля Yahoo, «ypasswordo». Конечно, это не оптимально, так как меняются URL-адреса веб-сайтов, особенно те из них, которые используются в меньшей степени, и это, кстати, именно те, которые я, вероятно, в конечном итоге перестану посещать и забуду пароли.

Могу ли я использовать что-либо на любом веб-сайте, на котором я регистрируюсь, и могу быть уверен, что через некоторое время он не изменится и будет отличаться от сайта к сайту?

РЕДАКТИРОВАТЬ : Поскольку мой вопрос кажется неясным, я приведу пример. Представьте, что у всех когда-либо созданных веб-сайтов был скрыт идентификатор в их исходном коде. Он не должен быть уникальным, просто вряд ли он когда-либо изменится и будет присутствовать во всех или, по крайней мере, в подавляющем большинстве. Можно использовать простой алгоритм для этого идентификатора и добавить основной пароль, чтобы создать пароль для этой учетной записи, который можно легко получить через 10 лет, просто зная алгоритм. Есть ли какая-то часть веб-сайта, которая вряд ли изменится, не будет ли она одинаковой для всех веб-сайтов (перекрытие является нормальным, если оно не приводит к чередованию 5 одинаковых паролей для всех учетных записей)? Есть ли способ создания и последующего восстановления пароля, который вообще не должен зависеть от кода сайта,

TL; DR : Предложите метод, который без дополнительного запоминания или использования программы можно использовать на любом случайном веб-сайте для создания пароля с полной уверенностью, или, по крайней мере, список из 10 паролей, из которых один будет на 100% верным, Созданный пароль не должен быть одинаковым на всех веб-сайтах и ​​должен иметь минимальный риск или не быть потерян даже спустя годы после создания учетной записи. Конечным результатом должна быть возможность воспроизводить пароль, используемый в любой давно неактивной одноразовой учетной записи, с любого компьютера, независимо от установленных программ или сетевых менеджеров паролей или переноса паролей. Пароли не должны быть сумасшедшими, просто уникальными.

2
Научитесь делать ША в своей голове. Это сделает это намного проще. Der Hochstapler 12 лет назад 0
Я не знаю, как работают хэши, но мне нужно было бы либо запомнить элемент randomizer, либо все пароли в итоге окажутся одинаковыми, так что не ходите;) Fadeway 12 лет назад 0

3 ответа на вопрос

3
kobaltz

У меня есть матрица паролей, которую я использую. Я распечатал его и постучал по обратной стороне визитной карточки. Я использую эту матрицу для генерации своих паролей. У меня есть очень сложный алгоритм, который я использую, основываясь на чувствительности данных, которые я пытаюсь защитить. Только я знаю свои алгоритмы. У меня может быть что-то простое, например пароль учетной записи SuperUser, просто верхняя строка. Сайт банка или сайт, занимающийся деньгами, могут быть первой половиной столбца 1 и второй половиной столбца 2. Я использую матрицу 8x8, чтобы соответствовать типичным паролям минимальной длины. На сайтах, которые требуют, чтобы я менял свой пароль каждые 2 недели с ограничением 5-8 запомненных паролей, я буду использовать свою матрицу, а затем специальный символ от Shift 1 до Shift 0. Ниже приведен ужасный пример моей матрицы и полностью случайным образом. Мне было трудно, и мне пришлось вернуться к нему в течение первого месяца, но через месяц или два я запомнил всю матрицу и больше не использую ее. Однако, если кто-то когда-нибудь украл мой кошелек, это не принесет им никакой пользы, так как они не знают мой алгоритм, использованный для генерации пароля. вПодсказка разделы веб-сайтов / программ, если это применимо, я поставлю там имя моего алгоритма; специальный банк, комплекс 1, комплекс 2, обратный комплекс и т. д.

enter image description here

Этот веб-сайт создаст для вас матрицу паролей, если вы не хотите создавать свои собственные.

И что вы используете, чтобы выяснить, какой алгоритм вы использовали? Скажем, у вас есть самая простая форма, используя ряд. Как узнать, какую строку вы использовали для этого сайта? Комбинации ограничены и могут быть исчерпаны разумным количеством догадок, если вы знаете, какой метод вы использовали, но я считаю, что вы не прибегаете к этому каждый раз, когда посещаете неактивную учетную запись? И что вы делаете, если на сайте нет раздела с подсказками (я не могу вспомнить, когда в последний раз я видел такое поле на самом деле, и я, вероятно, никогда не увижу его в одноразовом регистре), чтобы определить, какой алгоритм использовался изначально? Fadeway 12 лет назад 0
У меня есть 10 алгоритмов. Исходя из чувствительности данных, которые я пытаюсь защитить на веб-сайте, я буду использовать алгоритм, основанный на этом уровне безопасности. Сайты, которым требуется только мое имя, фамилия и адрес электронной почты, получают рейтинг 1, что небезопасно. Учетные записи электронной почты автоматические 5. Банковские сайты - 10. У World of Warcraft - 8. Учетная запись Facebook - 9. kobaltz 12 лет назад 0
Я думаю, что я буду использовать это, если ничего не появляется. Это система, которая помогает запоминать десятки паролей с минимальными усилиями, а также оценивать, какой из них, скорее всего, использовался, с такой незначительной ошибкой (много попыток на старых учетных записях, но 100% -ная уверенность в том, что он в конечном итоге будет найден), но много лучше, чем мои текущие 10 запомненных паролей :) Fadeway 12 лет назад 0
Это определенно не для всех, но это работает для меня. kobaltz 12 лет назад 0
2
Fr.

Я понимаю ваш вопрос, потому что я добавляю префикс к своему адресу электронной почты, чтобы отследить спам, например, я вхожу в Amazon, handle+amazon@gmail.comгде handleуказано мое имя пользователя электронной почты. Ваш вопрос идет в том же направлении.

Если вы хотите продолжить свою идею, используйте достаточно надежный мастер-пароль, такой как, F_D_W_Y#00и просто добавьте название сервиса в упрощенном виде к нему в качестве префикса. Это требует запоминания упрощенных форм, вроде -yahooили -google. Я считаю, что эта система подведет вас только при очень высоком использовании.

Однако на вашем месте я бы предпочел использовать что-то вроде 1Password, чтобы оставаться на вершине игры с паролями. Он генерирует случайные пароли с гораздо большей надежностью, чем то, что вы получите от повторного микширования информации на веб-сайте (за исключением случаев, когда вы ремикшируете буквенно-цифровую информацию с диакритической информацией, и в этом случае ваш пароль Yahoo! будет выглядеть y!pwd#2012, например).

Ваш проект звучит более рискованно, чем использование мастер-пароля и базы паролей. Браузеры, такие как Google Chrome, имеют недостатки в своих системах хранения паролей, что также оправдывает использование отдельной базы данных, которую можно безопасно резервировать. И конечно, любая система памяти тоже подвержена ошибкам.

Цель состоит в том, чтобы избежать пропуска менеджеров, как указано в вопросе. Это система, которая должна использоваться с каждым или большинством веб-сайтов. Использовать название сервиса не вариант, так как я лично использую по крайней мере один сравнительно крупный (1 миллион пользователей) веб-сайт, который изменил свое название за последние 5 лет, что значительно проще сделать с небольшим сообществом. Сложность пароля может создавать проблемы (они поддерживают символы?), И, как говорит нам xkcd, длина козырей нечитаема. Действительно важные учетные записи, которые могут быть атакованы без грубой силы, достаточно редки, чтобы запомнить их отдельно. Fadeway 12 лет назад 0
Сколько ваших служб сменили названия за пять лет? Если это всего лишь несколько, измените свой пароль, когда заметите изменение имени. Хорошей практикой является проветривание ваших паролей, какими бы сильными они ни были. Что касается длины, вы не можете достичь высокой надежности пароля ниже определенного порога. Обратите внимание, что на клавиатуре QWERTY требуется всего несколько секунд для ввода прописных и подчеркивающих знаков. Fr. 12 лет назад 0
5-8 лет назад я опробовал более сотни (буквально) онлайн-игр. Это оставило мне много одноразовых аккаунтов, о которых я больше не знаю. Если бы одна из этих игр сменила название, или если рег был связан с издателем, а игра сменила издателя, я бы никогда об этом не узнал и не заботился. Я всегда буду терять счет, хотя. Я, вероятно, больше не буду заниматься такой игрой, но с каждым веб-сайтом, требующим регистрации, учетные записи неизбежно создаются и забываются, иногда в течение одной недели. Поддерживать эти учетные записи невозможно. Fadeway 12 лет назад 0
Хорошо, теперь я понимаю вашу проблему. Вы не имеете дело с более чем обычным количеством услуг. Я не понимаю, как вам удастся задействовать больше, чем память, если вы хотите защищенную систему. Достаточно простого текстового списка имен и URL. Fr. 12 лет назад 0
Это не должно быть сумасшедшей безопасностью, большинство атак - обычная грубая проверка или проверка по словарю, против которой использование уникальных и длинных паролей обеспечивает иммунитет. Для немногих действительно важных сервисов пароль может быть запомнен, хотя редко встречается атака с какой-либо тщательностью, сфокусированной на одной учетной записи, даже на одной. Перенос списка паролей непрактичен, особенно для каждой учетной записи, когда-либо созданной. Fadeway 12 лет назад 0
Вздох. Статистически, вы, скорее всего, ошибетесь, пытаясь использовать запоминание, чем используя менеджер паролей, такой как Lastpass, который был разработан людьми, которые всю жизнь изучали ИТ-безопасность и криптографию. Высокомерие , , surfasb 12 лет назад 0
1
Melikoth

Я использую базовый пароль и часть сайта, на который я захожу. Например:

Сайт: amazon.com Базовый пароль: Turtle992% ^ Пароль для Amazon: AmaTurtle992% ^

Этот метод сохраняет пароль для каждого сайта уникальным и легко запоминается. Программное обеспечение не требуется.

Некоторые проблемы, связанные с этим методом, заключаются в том, что если кто-то знает базовый пароль, то будет раскрыт пароль для многих сайтов (точно так же, как если бы вы использовали один и тот же пароль для всех.) И некоторые веб-сайты по-прежнему не допускают пунктуацию или специальные символы как часть пароля (банки, я смотрю на вас), поэтому вы должны помнить, какие сайты не допускают пунктуацию.

Увидев другие ваши комментарии, похоже, что это не очень хороший выбор, так как часть пароля основана на URL. Melikoth 12 лет назад 0