Ne osjećam se ugodno generirati nasumične lozinke za svaku uslugu, što bi me prisililo da se oslanjam na više od svojih memorije za održavanje pristupa, pa sam smislio alternativnu strategiju i želio bih čuti mišljenja o tome koliko je sigurna je.
Počinjem s podjelom usluga u tri razine:
- Najmanja briga: društveni mediji, forumi i druge stvari gdje netko tko pristupa računu ne može koštati novac. Oni dobivaju zajedničku zaporku - 8+ znakova nerječničke riječi (pojam odabran iz vlastite imenice u medijima pop kulture koji mi se sviđaju), l33t5p34k i s MJEŠOVITIM VELIKIM PISANJEM.
- e-trgovina: stvari kod kojih neovlašteni pristup znači da mi se može naplatiti: dobivaju isto kao i gore (različita osnovna riječ) plus sufiks od 2-3 znaka koji izvodim iz korijenske domene predmetne stranice na način koji mogu mentalno izračunati. Ovo znači imati različite hashove u različitim bazama podataka bez obzira na kvalitetu njihovog usoljavanja, au najgorem slučaju ako jedna lozinka procuri otvorenog teksta ne bi se odmah mogla ponovo upotrijebiti, tako da bi u curenju s mnogima od njih napadač, nadamo se, prešao na sljedeću lozinku kako bi je testirao na drugim usluge
- Kritične usluge: Apple/Google/Microsoft računi, gdje bi me kompromis mogao zaključati iz mog vlastitog uređaji - prisilio sam se zapamtiti nekih besmislica od 11 znakova (velika/mala slova/brojevi/simboli). Neka bude i rukom napisano na komadu papira koji je u mom fizičkom sefu za sigurnosnu kopiju.
- Bankarstvo: ovdje na neki način činim iznimku od pravila, budući da generiram nasumične lozinke za svaku bankarsku uslugu i ne znam ih bez gledanja. Zapisao sam ih i sve ostale kritične bankovne podatke u zaštićenu lozinkom (za otvaranje, ne za ograničenja) .docx Word dokument, što znači da bi trebao proći kroz niz PKBDF rundi prije nego što se rezultat upotrijebi za AES128 šifriranje doc. Datoteka nikada ne napušta moje uređaje (nema sigurnosne kopije u oblaku), osim pogona za penjanje u mom sefu.
Osim toga, koristim TOTP 2 faktor aut ako postoji, za e-trgovinu i više razine.
Mislite li da postoji neka kritična ranjivost u ovakvom OPSEC-u koju previđam, čak i ako nisam meta osobito visoke vrijednosti?
kaworu1986 je rekao:Ne osjećam se ugodno generirati nasumične lozinke za svaku uslugu, što bi me prisililo da se oslanjam na više od svojih memorije za zadržavanje pristupa, pa sam smislio alternativnu strategiju i želio bih čuti mišljenja o tome koliko je sigurna.
Kliknite za proširenje...
Ne možete imati sigurne lozinke za više računa ako se oslanjate samo na memoriju.
Koristite dobar upravitelj lozinki kao što je Bitwarden za važne račune. Za nevažne račune koristim samo duge automatski generirane lozinke u iOS-u.
Uvijek koristite MFA ako je dostupan i nikada ne koristite svoj telefonski broj kao drugi faktor.
Najbolji način je ići bez lozinke s Fido2 i Yubikeyjem, ali ne toliko usluga koje to podržavaju.
Nerječnička riječ s 8+ znakova (pojam odabran iz vlastite imenice u medijima pop kulture koji mi se sviđa), l33t5p34k i s MJEŠOVITIM VELIKIM PISANJEM
Kliknite za proširenje...
Tako,
Tr0ub4dor&3. Prilično sam siguran da je "Rocinante" u ovom trenutku na "standardnim" popisima za probijanje lozinki (također, očito ime Don Quijoteova konja; TIL), tako da nije jača osnovna riječ od "Trubador".Kada jedan od onih "najmanje zabrinjavajućih" računa bude hakiran i vaša zaporka procuri, ide na popise "poznatih lozinki" i isprobava se na svim drugim "najmanje zabrinjavajućim" stranicama. Dakle, kada ste upotrijebili tu zaporku na Bobovoj kući loših primjera ('jer je postojao vaš post stvarno potrebno odgovoriti na) bude hakirana, vaša Facebook lozinka je sada u divljini.
I što učiniti kada jedna od ovih usluga ne dopušta vašu zajedničku lozinku?
dobivaju isto kao i gore (različitu osnovnu riječ) plus sufiks od 2-3 znaka
Kliknite za proširenje...
Tako,
Tr0ub4dor&3ab. Neznatno sigurnije (nekoliko bitova), ali samo neznatno. I dalje je u suprotnosti s problemom "Bobove palačinke", gdje jedno nesigurno mjesto koje je hakirano može staviti verziju te lozinke na popise "poznatih lozinki" koji kruže; promjena par slova za Amazon nije velika stvar kada se pokušavate ušuljati.neke besmislice 11 znakova
Kliknite za proširenje...
Najbolja opcija do sada, ali još uvijek je u suprotnosti s problemom "teško za pamćenje". Plus: ako netko uspije dobiti offline kopiju DB-a, nije malo vjerojatno da će biti probijen.
Nije važno je li neka osoba sama po sebi meta posebno visoke vrijednosti. Mnogi proboji samo udare u sve u bazi podataka i vide što mogu provaliti prije nego što isteknu njihovi AWS krediti (ili bilo koje drugo vremensko ograničenje koje odaberu). Dakle: netko se dočepa milijun kombinacija e-pošte/lozinki sa stranice s lošom higijenom upravljanja PW-om i isproba ih protiv Facebooka, posreći mu se i uđe u vaš račun; sada imaju razne zabavne informacije o vama koje mogu upotrijebiti da pokušaju odgovoriti na sigurnosna pitanja ako stvarno žele, ili mogu samo poslati nekoliko neželjenih poruka svim vašim prijateljima; to vas možda neće izravno koštati, ali koliko ćete vremena potrošiti da odgovorite ljudima koji vas pitaju zašto se bavite hawkingom... hm, "dodaci za zabavu za odrasle"... Odjednom?
Koristite uglednog upravitelja lozinkama. Sigurnost je teška, a ljudi mnogo pametniji od nas obojice zajedno više puta pozivaju na korištenje renomiranog upravitelja zaporki kao najbolji/jedini način da imate dobre šanse za promjenu lozinke između trenutka kada je najavljeno kršenje i vaša lozinka je probijena. Sve drugo je sigurnost kroz opskurnost, koja nije ni jedno ni drugo.
kaworu1986 je rekao:Koristite li Facebook kao primjer
Kliknite za proširenje...
Koristim samo Facebook kao primjer, iako ga širina "mojih" podataka koje mi stavlja na raspolaganje kad sam prijavljen čini posebno sočnom metom.
kaworu1986 je rekao:To je ipak poanta - da, obrnuti inženjering algoritma koji sam smislio za izvođenje dodatnih dva bis nije težak, ali to nije nešto što netko želi samo probajte sve u bazi podataka i vidite što mogu provaliti prije nego im ponestane AWS kredita će učiniti, jer bi se morali usredotočiti samo na moju jednu lozinku umjesto da isprobaju sljedeću na popisu da vide hoće li ih prijaviti gdje god ciljaju.
Kliknite za proširenje...
Napadač vjerojatno neće krenuti na vas osobno (i sami ste rekli da "niste posebno vrijedna meta"). Ono što će učiniti jest krenuti za njim svi na smetlištu.
Također je sasvim moguće - čak i vjerojatno - da žele što više vjerodajnica koje mogu dobiti. Provaljivač lozinki možda neće mariti za pristup bilo kojoj drugoj usluzi per-se, ali o mogućnosti prodaje ogromnog popisa kombinacija korisničkog imena/prijave/lozinke nekom drugom tko bi možda želio ući u neku drugu uslugu. Odnosno: u ruke dobijem smetlište iz "Bobove palačinkarnice". Proveo sam 3-dnevni vikend na AWS-u razbijajući što više tih lozinki (na tuđi novčić, jer držim nekoliko rezervnih AWS vjerodajnica naokolo), zatim objavite popis od 5000 kombinacija e-pošte/korisničkog imena/lozinke (s možda još tisuću hasheva koje nisam mogao razlučiti) za prodaju na Dark Web; Svaki od 5 ljudi plaća mi 100 dolara za popis (legitimno nemam pojma za što bi ti popisi mogli ići), a ja sam 500 dolara bogatiji. Ne pokušavam ući ni u jednu posebnu uslugu, ali tih 5 ljudi vjerojatno jest.
Ključ ovoga je da napadač može proći kroz moguće lozinke stvarno brzo i paralelno. Bilo je masovna kršenja lozinki koji su zapravo u upotrebi - od stare dobre "password123" do "Tr0ub4dor&3" do "Av2ivifEW`Axl6X&T1r>\7
Ali, kažete: ako su lozinke presoljene, zašto je to važno? To je važno iz dva razloga. Prvo, zato što nemate mogućnosti osigurati da bilo koja nasumična stranica na kojoj trebate otvoriti račun zapravo doda svoje lozinke (ili ih čak hashira, umjesto da pohranjuje otvoreni tekst). Drugo, zato što je sasvim moguće da se neki algoritam raspršivanja - ili određena implementacija - pokvari u tu svrhu: ili je toliko brzo da se izračuna da soljenje ne utječe značajnije na brzinu pucanja ili je nešto pošlo po zlu i sol se ne koristi pravo.
Jedino pravo rješenje je pretvarati se da niti jedna stranica ne ubacuje svoje lozinke i koristiti dobar generator zaporki za generiranje svi vaših lozinki za vas. I, za generiranje a jedinstvena lozinka za svako mjesto... i koristiti dubinsku obranu korištenjem 2FA gdje je to ponuđeno; daleko je od lijeka za sve, ali teško je zamisliti 2FA shemu koja je gora od nekorištenja nijedne.
Molim, Molim idi ponovno pročitaj to XKCD strip (i hitovi uglednih web stranica google pretraživanje za "trebam li koristiti upravitelja lozinkama" i eventualno Shannon Entropija) dok se ne uvjerite da bilo koji algoritam za generiranje lozinki osim "upotrijebite uglednog upravitelja lozinki za generiranje jedinstvene lozinke po stranici" neodrživ je za bilo što osim za glavnu zaporku vašeg upravitelja lozinki i eventualno za račun na koji biste se trebali prijaviti prije nego što vaš PW upravitelj bude dostupan, te da čak i tada svaka takva lozinka treba imati jedinstvenu lozinku tipa "ispravna spojnica za konjske baterije" (imajte na umu da kockice može pomoći s tim). Usput, upotrijebite 6 riječi.
Nisam siguran da bih se želio osloniti na svoje pamćenje da bih se prisjetio svih stranica u određenom sigurnosnom prstenu ili pouzdano promijenio stranice između sigurnosnih prstenova, tj. niskoprivatno mjesto koje dodaje Paypal naplatu za kupnju nekih manjih pogodnosti koje odlučite dobiti.
Da, vaše razine i sitni komadići dodatne entropije ograničavaju radijus eksplozije curenja. Znate li što ga još više ograničava? Nema dijeljenih lozinki s gotovo nultom dijeljenom entropijom.
uredi: i samo da pokrijemo osnovnu riječ + stvar entropije: mnogo programa za probijanje lozinki ima specifične načine rada samo za ovaj uzorak
