Ändern eines Basispassworts für verschiedene Sites

708
Fadeway

Bei der großen Anzahl von Websites, die eine Registrierung erfordern oder einen Vorteil für die Registrierung bieten, ist es unmöglich, für jedes Konto, das wir haben, ein eindeutiges Passwort zu verwenden. Eine mögliche Lösung ist der Passwortmanager. Gibt es eine Möglichkeit, Passwörter zu generieren, die nicht gespeichert werden müssen, sondern bei Bedarf einfach abgerufen werden können, ohne ein separates Programm verwenden zu müssen?

Meine Denkrichtung ist folgende: Gerät ein Kernkennwort (mit einem Backup für die Situation "nicht mehr als 16 Zeichen"). Verwenden Sie eine vorab ausgewählte Komponente der Website, z. B. den Namen der Site. Nehmen Sie das Kernpasswort "password" und verwenden Sie die Buchstaben "yahoo", um das Yahoo-Passwort "ypasswordo" zu bilden. Dies ist natürlich nicht optimal, da sich die URLs der Website ändern, insbesondere die weniger genutzten Websites, die übrigens genau die sind, für die ich wahrscheinlich nicht mehr komme, und die Passwörter vergessen.

Gibt es etwas, das ich von jeder Website, auf der ich mich registriere, verwenden kann, die sicher ist, dass sie nach einer Weile nicht geändert wird und von Website zu Website unterschiedlich ist?

EDIT : Da meine Frage unklar erscheint, gebe ich ein Beispiel. Stellen Sie sich vor, dass alle Websites, die jemals erstellt wurden, eine ID im Quellcode enthalten. Es muss nicht einzigartig sein, es muss nur unwahrscheinlich sein, dass es sich jemals ändert und in allen oder zumindest in der großen Mehrheit präsent ist. Man könnte einen einfachen Algorithmus für diese ID ausführen und ein Kernkennwort hinzufügen, um ein Kennwort für dieses Konto zu erstellen, das nach zehn Jahren ebenso einfach durch Kenntnis des Algorithmus erhalten werden kann. Gibt es einen Teil einer Website, der sich unwahrscheinlich ändert, ist er nicht auf allen Websites gleich (Überlappung ist normal, solange er nicht dazu führt, dass 5 gleiche Passwörter für alle Konten verwendet werden)? Gibt es eine Möglichkeit, ein Passwort zu erstellen und später abzurufen, muss es überhaupt nicht vom Code der Website abhängen.

TL; DR : Schlagen Sie eine Methode vor, die ohne zusätzliche Speicherung oder Programmnutzung auf jeder beliebigen Website verwendet werden kann, um das verwendete Kennwort mit absoluter Sicherheit zu erstellen, oder zumindest eine Liste mit bis zu 10 Kennwörtern, von denen eines zu 100% wahr ist . Das erzeugte Passwort sollte nicht für alle Websites gleich sein und sollte auch nach der Erstellung eines Kontos nur minimal oder gar nicht verloren gehen. Das Endergebnis sollte die Möglichkeit sein, das Kennwort, das in einem langlebigen Konto zur Wegwerfung verwendet wird, von jedem Computer aus zu reproduzieren, ohne von installierten Programmen oder Online-Kennwort-Managern oder dem Mitführen der Kennwörter abhängig zu sein. Die Passwörter müssen nicht absolut sicher sein, nur einigermaßen eindeutig.

2
Lerne, SHA in deinem Kopf zu machen. Das wird das viel einfacher machen. Der Hochstapler vor 12 Jahren 0
Ich weiß nicht, wie Hashes funktionieren, aber ich müsste mich entweder an ein Randomizer-Element erinnern oder alle Passwörter werden gleich sein, also nicht weitergehen;) Fadeway vor 12 Jahren 0

3 Antworten auf die Frage

3
kobaltz

Ich habe eine Passwortmatrix, die ich verwende. Ich habe es auf die Rückseite einer Visitenkarte gedruckt und angetippt. Ich verwende diese Matrix, um meine Passwörter zu generieren. Ich habe einen sehr festgelegten Algorithmus, den ich aufgrund der Empfindlichkeit der Daten, die ich schützen möchte, verwende. Nur ich kenne meine Algorithmen. Ich kann etwas einfaches wie Superuser Konto-Kennwort nur die oberste Reihe haben. Eine Bank-Site oder eine Site, die mit Geld zu tun hat, kann die erste Hälfte von Spalte 1 und die zweite Hälfte von Spalte 2 sein. Ich verwende eine 8x8-Matrix, damit ich typische Kennwörter mit minimaler Länge erfüllen kann. Auf Websites, bei denen ich mein Passwort alle 2 Wochen mit einer rollierenden Passworteinschränkung von 5-8 ändern muss, verwende ich meine Matrix und dann ein Sonderzeichen von Shift 1 bis Shift 0. Im Folgenden finden Sie ein schreckliches Beispiel für meine Matrix zufällig. Ich hatte eine schwere Zeit und musste den ersten Monat darauf zurückgreifen, aber nach ein oder zwei Monaten hatte ich die gesamte Matrix auswendig gelernt und benutze sie jetzt nicht mehr. Wenn jedoch jemand meine Geldbörse gestohlen hat, würde dies nichts bringen, da er nicht weiß, wie mein Algorithmus zur Generierung des Passworts verwendet wird. In demHinweis Abschnitte der Websites / Programme, falls zutreffend, werde ich meinen Algorithmusnamen dort angeben; Spezialbank, Komplex 1, Komplex 2, umgekehrter Komplex usw.

enter image description here

Diese Website erstellt eine Kennwortmatrix für Sie, wenn Sie sich nicht die Mühe machen möchten, sich eine eigene zu bilden.

Und was verwenden Sie, um herauszufinden, welchen Algorithmus Sie verwendet haben? Angenommen, Sie haben die einfachste Form, indem Sie eine Zeile verwenden. Woher wissen Sie, welche Zeile Sie für diese Website verwendet haben? Die Kombinationen sind begrenzt und können mit einer vernünftigen Anzahl von Vermutungen erschöpft werden, wenn Sie wissen, welche Methode Sie verwendet haben. Ich denke jedoch, dass Sie nicht jedes Mal darauf zurückgreifen, wenn Sie ein ruhendes Konto besuchen. Und was tun Sie, wenn die Website keinen Hinweisabschnitt hat (ich kann mich nicht erinnern, wann ich zuletzt ein solches Feld gesehen habe, und ich werde es wahrscheinlich nie auf einer Wegwerfregistrierung sehen), bis bestimmen, welcher Algorithmus anfangs verwendet wurde? Fadeway vor 12 Jahren 0
Ich habe 10 Algorithmen. Aufgrund der Sensibilität der Daten, die ich auf der Website zu schützen versuche, verwende ich einen Algorithmus, der auf dieser Sicherheitsstufe basiert. Websites, die nur meinen Vornamen, meinen Nachnamen und meine E-Mail-Adresse benötigen, erhalten ein Ranking von 1, das nicht sicher ist. E-Mail-Konten sind eine automatische 5. Bank-Websites sind eine 10. World of Warcraft-Konto ist eine 8. Facebook-Konto ist eine 9. kobaltz vor 12 Jahren 0
Ich denke, ich werde das verwenden, wenn nichts anderes erscheint. Es ist ein System, mit dessen Hilfe sich Dutzende von Passwörtern mit minimalem Aufwand merken und auch abschätzen können, welche davon am wahrscheinlichsten verwendet wurden, also etwas fehlerhaft (viele Wiederholungen bei alten Konten, aber 100% ige Sicherheit, sie schließlich zu finden), aber sehr viel besser als meine derzeit rotierenden 10 gespeicherten Passwörter :) Fadeway vor 12 Jahren 0
Es ist definitiv nicht für jeden etwas, aber es funktioniert für mich. kobaltz vor 12 Jahren 0
2
Fr.

Ich verstehe Ihre Frage, weil ich meiner E-Mail-Adresse ein Präfix hinzufüge, um Spam aufzuspüren, z. B. melde ich mich bei Amazon mit handle+amazon@gmail.comdem handleE-Mail-Benutzernamen an. Ihre Frage geht etwas in die gleiche Richtung.

Wenn Sie mit Ihrer Idee fortfahren möchten, verwenden Sie ein relativ starkes Hauptkennwort wie F_D_W_Y#00und fügen Sie den Namen des Dienstes in vereinfachter Form als Präfix hinzu. Dies erfordert das Auswendiglernen der vereinfachten Formen wie -yahoooder -google. Ich glaube, dieses System wird Sie nur bei sehr hoher Auslastung versagen.

Wenn ich Sie wäre, würde ich lieber etwas wie 1Password verwenden, um auf dem Passwortspiel zu bleiben. Es generiert zufällige Passwörter mit einer viel besseren Stärke als das Remixing von Website-Informationen (außer, wenn Sie alphanumerische Informationen mit diakritischen Informationen remixen. In diesem Fall würde Ihr Yahoo! -Passwort beispielsweise eher so aussehen y!pwd#2012).

Ihr Projekt klingt riskanter als die Verwendung eines Hauptkennworts und einer Kennwortdatenbank. Browser wie Google Chrome haben Mängel in ihren Kennwortspeichersystemen, die auch die Verwendung einer separaten Datenbank rechtfertigen, die sicher gesichert werden kann. Und natürlich ist jedes Speichersystem auch fehlbar.

Das Ziel ist, Passmanager zu vermeiden, wie in der Frage angegeben. Es ist ein System, das mit jeder oder den meisten Websites verwendet werden kann. Die Verwendung des Servicenamens ist keine Option, da ich persönlich mindestens eine vergleichsweise große Website (1 Mio. Benutzer) benutze, die in den letzten 5 Jahren ihren Namen geändert hat, was bei einer kleineren Community wesentlich einfacher ist. Die Komplexität der Passwörter kann zu Problemen führen (unterstützen sie Symbole?), Und wie Xkcd sagt, sind Trumps der Länge nicht lesbar. Wirklich wichtige Konten, die ohne Bruteforce angegriffen werden können, sind selten genug, um sie separat in Erinnerung zu behalten. Fadeway vor 12 Jahren 0
Wie viele Ihrer Dienste haben ihren Namen in fünf Jahren geändert? Wenn es nur eine Handvoll ist, ändern Sie Ihr Passwort, wenn Sie die Namensänderung bemerken. Es ist empfehlenswert, Ihre Passwörter zu lüften, egal wie stark sie sind. In Bezug auf die Länge können Sie unter einem bestimmten Schwellenwert keine hohe Passwortstärke erreichen. Beachten Sie, dass die Eingabe von Großbuchstaben und Unterstrichen auf einer QWERTY-Tastatur nur wenige Sekunden dauert. Fr. vor 12 Jahren 0
Vor 5-8 Jahren habe ich mehr als hundert (buchstäblich) Online-Spiele ausprobiert. Das hat mir viele wegwerfende Berichte gebracht, von denen ich keine Kenntnis mehr habe. Wenn eines dieser Spiele seinen Namen geändert hat oder wenn die Registrierung verlagsgebunden war und das Spiel den Herausgeber geändert hat, würde ich das nie erfahren oder interessieren. Ich werde das Konto jedoch immer verlieren. Ich werde mich wahrscheinlich nie wieder mit so einem Spiel beschäftigen, aber mit jeder Website, die eine Registrierung verlangt, werden Konten unvermeidlich erstellt und vergessen, manchmal innerhalb einer Woche. Es ist nicht möglich, diese Konten zu führen. Fadeway vor 12 Jahren 0
Okay, jetzt bekomme ich dein Problem. Sie haben nicht mehr als die übliche Anzahl von Diensten. Ich verstehe nicht, wie Sie mehr als nur Speicher benötigen, wenn Sie ein sicheres System wünschen. Eine Klartextliste mit Namen und URLs würde ausreichen. Fr. vor 12 Jahren 0
Es muss nicht verrückt sicher sein, die meisten Angriffe sind einfache Bruteforce- oder Wörterbuchüberprüfung, bei denen die Verwendung einzigartiger und langer Passwörter Immunität gewährt. Für die wenigen wirklich wichtigen Dienste kann das Passwort in Erinnerung bleiben, obwohl es selten vorkommt, dass der Angriff auf ein einziges Konto gerichtet ist, selbst wenn nur ein einziges Konto verwendet wird. Das Mitführen einer Liste von Passwörtern ist unpraktisch, insbesondere für jeden Account, der jemals erstellt wurde. Fadeway vor 12 Jahren 0
Sigh. Statistically, you are more likely to make a mistake trying to use memorization than using a password manager like Lastpass, which was designed by people who have studied IT security and cryptography all their lives. The arrogance. . . surfasb vor 12 Jahren 0
1
Melikoth

Ich verwende ein Basispasswort und einen Teil der Site, bei der ich mich anmelde. Zum Beispiel:

Website: amazon.com Basispasswort: Turtle992% ^ Passwort für Amazon: AmaTurtle992% ^

Diese Methode hält das Passwort für jede Site eindeutig und ist leicht zu merken. Keine Software erforderlich

Einige Probleme bei dieser Methode sind, dass, wenn jemand das Basiskennwort kennt, das Kennwort für viele Websites angezeigt wird (in der gleichen Weise, als würden Sie dasselbe Kennwort für alles verwenden.) Einige Websites lassen jedoch keine Interpunktion oder Sonderzeichen zu Zeichen als Teil des Passworts (Banken, ich schaue Sie an), müssen Sie sich also merken, welche Websites keine Interpunktion zulassen.

Nachdem Sie Ihre anderen Kommentare gesehen haben, scheint dies keine gute Wahl zu sein, da ein Teil des Passworts auf der URL basiert. Melikoth vor 12 Jahren 0

Verwandte Probleme