Strategien zum Teilen von Passwörtern für mehrere Benutzer, z. B. Ehemannfrau?

827
Vincent Scheib

Meine Frau und ich verwenden dieselben Konten auf vielen Webseiten wie Musik, Video und Dienstprogrammen. Wir möchten unser System verbessern, damit sich beide bei denselben Konten anmelden können. Unsere Ziele:

  1. Ubiquitärer Zugang zum Ermitteln und Hinzufügen von Passwörtern.
    • Wir verwenden viele Computer und benötigen Zugriff von mehreren Standorten aus.
  2. Kein Software Management Tool oder Service. (zB RoboForm).
    • Wir wollen nicht alle unsere Eier in einen Korb legen, der anfällig für Hacking ist.
    • Wir möchten ohne Installation von Software auf einen anderen Computer zugreifen.
  3. Ziemlich einfach zu bedienen, ohne sich viele Geheimnisse merken zu müssen.
    • Wir können ein paar Zahlen speichern oder eine Liste von 10 Wörtern oder so.

Beispiele, die wir zu schlagen suchen:

  1. Nur Textdatei, die auf einem Webserver gehostet wird.
    • Offensichtlich ein zu großes Sicherheitsrisiko.
  2. Nur-Text-Datei, die hinter einer Login-basierten Collobrations-Site gehostet wird, z. B. ein privates Wiki.
    • Immer besser, privates Wiki macht es einfach, es zu aktualisieren. Aber immer noch zu anfällig, da alle Passwörter aus reinem Text bestehen.
  3. Auf der Website für die Zusammenarbeit gehostete Textdatei.
    • Ok, jetzt reden wir, aber wie soll man das verschleiern?
      1. Merken Sie sich ein 3-stelliges Passwort-Präfix, schreiben Sie danach nur die eindeutigen Bits auf.
        - Wenn jemand ein Passwort kennt und die Liste findet, ist der Rest offensichtlich.
      2. Sie haben eine bessere Idee hier .
2
Lastpass ist der Weg zu gehen surfasb vor 11 Jahren 1
Ich verwende Google-Dokumente zum Speichern von Kennworthinweisen. Ich schreibe die ersten paar Zeichen meines Kennworts. Ich schätze meine Sicherheit für viele Online-Messageboards oder Abonnements für Medien-Websites wie Netflix nicht wirklich cloneman vor 11 Jahren 0
"Kein Software-Management-Tool oder -Dienst." Das macht das ziemlich unbeantwortbar, zumindest nicht themenbezogen. Ƭᴇcʜιᴇ007 vor 11 Jahren 0
[Vertrauen Sie keinem Passwortsystem, das Sie selbst entwerfen] (http://blog.agilebits.com/2012/11/08/dont-trust-a-password-management-system-you-design-yourself/) entsprechender Gedanke hier. Ein Software-Tool kann Dinge auf einem Gastcomputer (z. B. 1password Anywhere oder LastPass) leicht verfügbar machen. Alan Shutko vor 11 Jahren 0

2 Antworten auf die Frage

1
Everett

Wählen Sie einen Kontonamen aus, den Sie immer verwenden werden. Beide sind sich darin einig.

Das Passwort ist wie folgt aufgebaut:

Wählen Sie ein "root" -Passwort für die ersten 8 Zeichen. Drei Zeichen sind Kleinbuchstaben. Zwei Zeichen sind Großbuchstaben. Die restlichen Zeichen sind Zahlen und Symbole auf der Tastatur.

Diese 8 Zeichen werden immer im Passwort verwendet. Als Nächstes entscheiden Sie, wo Sie drei zusätzliche Zeichen einfügen möchten. Entweder am Anfang oder Ende der Acht, die Sie ursprünglich entworfen haben. Sobald Sie wissen, ob es sich um ein Präfix oder ein Postfix handelt, müssen Sie entscheiden, was es ist.

Dies basiert auf der Website oder dem Dienst, zu dem Sie eine Verbindung herstellen. Wenn Sie eine Verbindung zur AT & T-Website herstellen, fügen Sie att oder ATT zu Ihrem ursprünglichen 8-Zeichen-Passwort hinzu.

Auf diese Weise kennen Sie beide das root-Passwort. Sie wissen, welche drei Zeichen hinzugefügt werden, die spezifisch für das sind, was Sie mit einem Kennwort schützen. Sie wissen, wohin sie gehen werden. Und jedes Passwort, das Sie verwenden, ist anders, aber leicht zu merken.

Sie müssen auch nie mehr sagen als "Hey, ich habe heute einen LinkedIn-Account erstellt." Sie müssen sich niemals ein Kennwort aufschreiben, das Kennwort freigeben (weil Sie über ein System verfügen, das das Kennwort definiert), und Sie können eine Liste der Kontospeicherorte in Klartext führen.

Ich mache das seit 15 Jahren und hatte NIEMALS einen Sicherheitsfehler. Sie können mein Profil auf meine Anmeldeinformationen überprüfen, wenn Sie sich Sorgen machen.

Sie können das System nach Bedarf ändern. Verwenden Sie immer eine 3 anstelle von E (einfache Ersetzung). Führen Sie den ortsbezogenen Teil (das aus drei Buchstaben bestehende Präfix / Postfix) immer rückwärts aus oder ändern Sie die Großschreibung.

Ich habe über 200 Konten, KEINE PASSWORTE, DIE ÜBERALL GESCHRIEBEN ODER GESPEICHERT WERDEN, und ich habe nie eines vergessen. enter image description here

Dies funktioniert nicht für Websites, bei denen Sie das Kennwort nach einiger Zeit ändern müssen. Zum Beispiel haben Sie heute rootATT, aber morgen müssen Sie das Passwort zurücksetzen. Nun ist es rootATT2 - wie würden Sie diese Änderung kommunizieren und sicherstellen, dass Sie rootATT2 kennen? In meinem Alter (ok - ich bin nicht alt) vergesse ich manchmal, dass ich Passwörter ändere. Nathan Adams vor 11 Jahren 0
Sicher wird es. Wenn das Passwort beim ersten Mal nicht funktioniert (nachdem es geändert wurde, ohne dass ich davon Kenntnis hatte), würde ich die erste geänderte Version versuchen. Mein System würde auch die Änderung beinhalten. Da Sie der Änderung bereits zugestimmt haben, wissen Sie, was Sie probieren sollen. KEINE Website sperrt Sie für einen Kennwortfehler. Was Sie beschrieben haben, ist genau das, was ich tue. Und es hat 15 Jahre gearbeitet. Everett vor 11 Jahren 0
Und wenn ich eine Passwortänderung mitteilen musste, da das System bereits die nächste Iteration angesprochen hat, muss nur gesagt werden: "Hey, das AT & T-Passwort hat sich heute geändert." Everett vor 11 Jahren 0
1
Nathan Adams

Ich weiß nicht, ob Sie die Software nicht installieren können, wenn Sie sicher sind.

Persönlich verwende ich Dropbox + Keepass. Keepass verschlüsselt meine Benutzername / Passwort-Kombinationen und Dropbox synchronisiert diese Änderungen auf allen meinen Computern. Ich kann sogar über mein (Android-) Telefon darauf zugreifen, wenn ich unterwegs bin. Ich glaube wirklich, dass dies der beste Handel aller Welten ist - denn selbst wenn jemand eine Kopie dieser Datei erhalten hätte, vertraue ich darauf, dass der Bösewicht (zumindest leicht) nicht in die Lage kommen würde.

Wenn Sie wirklich paranoid sind, können Sie mit encFS Ihrem Cloud-Laufwerk eine Verschlüsselungsebene hinzufügen (Windows - http://members.ferrara.linux.it/freddy77/encfs.html ). Dies kann jedoch kompliziert werden, wenn Sie unterwegs auf Ihre Anmeldeinformationen zugreifen möchten.

Ich wäre gegen "Passworthinweise", einfach weil ich zufällig meine Passwörter generiere (normalerweise [einige Anzahl] Zeichen, die eine Kombination enthalten, die ich mir leicht merken kann). Für einige Dinge habe ich jahrelang dasselbe Passwort verwendet. Diese Dienste bieten jedoch normalerweise Unterstützung für OTP-Kennwörter (wie Google Mail). Was manchmal schmerzhaft ist, aber Sie wären ein Dummkopf, um die Sicherheit, die sie bietet, nicht zu nutzen.

Wenn Sie wirklich gegen die Verwendung von Software sind, würde ich Self-Host mit einer für SSL-basierten Site empfehlen. Angenommen, die Datei ist in Klartext - ich würde niemandem meine Anmeldeinformationen auf einem öffentlich zugänglichen System anvertrauen. (Ich würde mich selbst mit dieser einfachen Textdatei nicht anvertrauen.) Während Ihre grundlegende Authentifizierung brutal erzwungen werden könnte - ich bin mir sicher, dass Sie einige interessante Gegen-Hacking-Techniken anwenden könnten. Und SSL würde verhindern, dass jemand in der Mitte Ihre Daten lesen kann. Ein selbstsigniertes Zertifikat kann ausreichen. Sie sollten jedoch der Internetverbindung, mit der Sie verbunden sind, vertrauen.

Nun, da ich darüber nachdenke - Sie könnten etwas noch interessanteres machen (und ich wäre interessant, wenn ich einen Prototyp zusammenstellen würde). Dieses System im Backend würde eine verschlüsselte Textdatei speichern. Wenn Sie über Ihren Webbrowser aufgerufen haben, werden Sie aufgefordert, eine "Messagebox" für das "Passwort" (oder einfach für den Schlüssel) einzugeben. Nach der Bereitstellung dieses Schlüssels fordert er über AJAX die Datei an und versucht, mit diesem Schlüssel zu entschlüsseln. Auf diese Weise - während es "im Klartext" gesendet wird, würde ein Kerl in der Mitte nur die verschlüsselte Datei erhalten, und es würde sofort entschlüsselt werden. Dies sollte in jedem Browser (einschließlich Handy) funktionieren.

Verwandte Probleme