Стратегии поделиться паролями для нескольких пользователей, таких как муж, жена?

766
Vincent Scheib

Мы с женой используем одни и те же учетные записи на многих веб-страницах, таких как музыка, видео и утилиты. Мы стремимся улучшить нашу систему, чтобы мы оба могли войти в одни и те же аккаунты. Наши цели:

  1. Повсеместный доступ к определению и добавлению паролей.
    • Мы используем много компьютеров, и нам нужен доступ из разных мест.
  2. Нет инструмента управления программным обеспечением или услуг. (например, RoboForm).
    • Мы не собираемся складывать все яйца в одну корзину, уязвимую для взлома.
    • Мы хотим получить доступ без установки программного обеспечения, если мы гость на другом компьютере.
  3. Довольно прост в использовании без запоминания большого количества секретов.
    • Мы можем справиться с запоминанием нескольких чисел или списка из 10 слов или около того.

Примеры, которые мы хотим побить:

  1. Простой текстовый файл, размещенный на веб-сервере.
    • Очевидно, слишком большой риск для безопасности.
  2. Простой текстовый файл, размещенный за сайтом совместной работы на основе входа, например, частная вики.
    • Становясь лучше, частная вики позволяет легко ее обновить. Но все еще слишком уязвимы, так как все пароли являются открытым текстом.
  3. Обфусцированный текстовый файл, размещенный на сайте совместной работы.
    • Хорошо, теперь мы говорим, но как это запутать?
      1. Запомните трехсимвольный префикс пароля, после этого запишите только уникальные биты.
        - Если кто-то знает один пароль и находит список, остальные очевидны.
      2. Вы лучше идея здесь .
2
Lastpass - путь surfasb 12 лет назад 1
Я использую Google Docs для хранения подсказок к паролю, я напишу первые несколько символов моего пароля. Я не очень ценю свою безопасность для многих онлайн-досок объявлений или подписок на медиа-сайты, такие как netflix. cloneman 12 лет назад 0
«Нет инструмента управления программным обеспечением или услуг». Это делает это в значительной степени неопровержимым, по крайней мере, не по теме. Ƭᴇcʜιᴇ007 12 лет назад 0
[Не доверяйте системе паролей, которую вы разрабатываете сами] (http://blog.agilebits.com/2012/11/08/dont-trust-a-password-management-system-you-design-yourself/) является соответствующая мысль здесь. Программный инструмент может легко сделать вещи доступными на гостевом компьютере (например, 1password Anywhere или LastPass). Alan Shutko 12 лет назад 0

2 ответа на вопрос

1
Everett

Выберите имя учетной записи, которое вы всегда будете использовать. Вы оба согласны с этим.

Пароль построен так:

Выберите «корневой» пароль для первых 8 символов. Три символа являются строчными буквами. Два символа являются заглавными буквами. Остальные символы - это цифры и символы на клавиатуре.

Эти 8 символов всегда используются в пароле. Далее вы решаете, куда вы собираетесь поместить трех дополнительных символов. Либо в начале, либо в конце восьмерки, которую вы изначально придумали. Как только вы узнаете, будут ли они префиксом или постфиксом, вы должны решить, что это такое.

Это зависит от веб-сайта или службы, к которой вы подключаетесь. Если бы вы подключались к веб-сайту AT & T, вы бы добавили att или ATT к своему первоначальному 8-символьному паролю.

Таким образом, вы оба знаете пароль пользователя root. Вы знаете, какие три символа будут добавлены в зависимости от того, что вы защищаете паролем. Вы знаете, куда они пойдут. И каждый пароль, который вы используете, отличается, но его легко запомнить.

Вы также никогда не должны говорить ничего, кроме: «Эй, я создал аккаунт в LinkedIn сегодня». Вам никогда не придется записывать пароль, делиться паролем (потому что у вас есть система, которая определяет пароль), и вы можете хранить список местоположений учетной записи в открытом тексте.

Я занимаюсь этим уже 15 лет, и НИКОГДА из-за этого не было проблем с безопасностью. Вы можете проверить мой профиль для моих учетных данных, если вы беспокоитесь.

Вы можете изменить систему по мере необходимости. Всегда используйте 3 вместо E (простая замена). Всегда делайте основанную на местоположении часть (трехбуквенный префикс / постфикс) в обратном порядке или с различной капитализацией.

У меня есть более 200 учетных записей, никаких паролей, написанных или хранящихся где-либо, и я никогда не забывал ни одного. enter image description here

Это не будет работать для веб-сайтов, которые требуют, чтобы вы изменили пароль через некоторое время. Например, у вас есть rootATT сегодня, но завтра вы должны сбросить пароль. Теперь это rootATT2 - как бы вы сообщили об этом изменении и убедились, что это rootATT2? В старости (хорошо - я не стар) иногда забываю, что меняю пароли. Nathan Adams 12 лет назад 0
Конечно, это будет. Если пароль не работает в первый раз (после того, как он был изменен без моего ведома об этом), я бы попробовал первую измененную версию. Моя система будет включать в себя то, что изменения тоже. Поскольку вы уже согласились на изменение, вы знаете, что попробовать. НИКАКОЙ веб-сайт не блокирует вас для одного сбоя пароля. То, что вы описали, это именно то, что я делаю. И это работало 15 лет. Everett 12 лет назад 0
И если мне нужно было сообщить об изменении пароля, так как система уже обратилась к следующей итерации, все, что нужно сказать, это «эй, пароль AT & T изменился сегодня». Everett 12 лет назад 0
1
Nathan Adams

Я не знаю, удастся ли вам избежать установки программного обеспечения, если вы хотите быть в безопасности.

Лично я использую Dropbox + keepass. Keepass шифрует мои комбинации имени пользователя и пароля, а dropbox синхронизирует эти изменения на всех моих компьютерах. Я даже могу получить к нему доступ на своем (Android) телефоне, когда я в пути. Я действительно считаю, что это лучшая сделка из всех миров - потому что даже если кто-то и получит копию этого файла, - я верю, что хранитель достаточно того места, куда плохой парень не сможет проникнуть в него (по крайней мере, легко).

Если вы ДЕЙСТВИТЕЛЬНО параноик, вы можете использовать encFS, чтобы добавить слой шифрования на ваш облачный диск (Windows - http://members.ferrara.linux.it/freddy77/encfs.html ). Однако это может стать сложным, если вы хотите получить доступ к своим учетным данным, находясь в пути.

Я был бы против «подсказок к паролю» просто потому, что лично я генерировал свои пароли случайным образом (обычно [некоторое количество] символов, содержащих некоторую комбинацию, которую я нахожу легко запомнить). Для некоторых вещей я использовал один и тот же пароль годами. Но эти службы обычно предоставляют поддержку паролей OTP (например, gmail). Что иногда является болью, но вы были бы дураком, если бы не воспользовались безопасностью, которую он обеспечивает.

Если вы действительно против использования программного обеспечения, я бы порекомендовал сам хост с сайтом с базовой аутентификацией SSL. Предполагая, что файл в виде простого текста - я бы никому не доверял свои учетные данные в общедоступной системе. (Я бы даже не доверял себе этот простой текстовый файл.) Хотя ваш базовый аутентификатор может быть грубым - я уверен, что вы могли бы использовать некоторые интересные методы контакодирования. А SSL помешает кому-то посередине прочитать ваши данные. Самоподписанного сертификата может быть достаточно, но вам лучше убедиться, что вы доверяете подключению к Интернету, к которому вы подключены.

Теперь, когда я думаю об этом - вы могли бы сделать что-то еще более интересное (и мне было бы интересно собрать прототип вместе). Эта система в бэкэнде будет хранить зашифрованный текстовый файл. Когда вы заходите через свой веб-браузер, он запрашивает у вас окно сообщения для «пароля» (или, проще говоря, ключа). После предоставления этого ключа он запросит через AJAX файл и попытается расшифровать его, используя указанный ключ. Таким образом, пока он послан «в открытом виде», парень посередине получит только зашифрованный файл, и он будет расшифрован на лету. Это должно работать в любом браузере (включая мобильный).

Похожие вопросы