Ich weiß, dass die Regel keine eigene Krypto / kein eigenes Protokoll erfindet. Deshalb möchte ich wissen, ob es ein bekanntes Protokoll für einen Client gibt, der sich selbst sichert.
Die Das Problem, das im Bereich Security Engineering auftritt, wird als "Greedy Password" -Modell bezeichnet. Jede Website, die Sie besuchen, ist der Meinung, dass dies die einzige Website im gesamten Web ist, und es ist in Ordnung, Sie zu bitten, komplexe Kennwörter zu verwalten / sich daran zu erinnern. Siehe auch Peter Gutmanns Engineering Security .
Sie können tun, was @ MechMK1 vorschlägt, und den Passwort-Manager verwenden. Das Problem ist, dass es nur das Passwortproblem verschiebt und die Verwaltung ein wenig vereinfacht. Sie müssen zu einem bestimmten Zeitpunkt immer noch ein echtes Passwort verwenden. In einem Risikomanagement-Framework haben Sie das Risiko reduziert, aber nicht beseitigt.
Sie sollten für jedes nicht kritische Konto Wegwerfkennwörter verwenden. Ich persönlich verwende Strong Random Password Generator, um zufällige 32-Byte-Passwörter für jede gierige Site zu generieren. Humorvoll - auf krankhafte Weise - können einige Websites nicht mit langen oder komplexen zufälligen Passwörtern umgehen. Bei einigen Websites geben Sie ein schwächeres Kennwort an.
Sobald Sie sich bei einer Website angemeldet haben, erhalten Sie ein Token (Cookie) für die Website, für das Sie das Kennwort nicht mehr benötigen. Wenn Sie das Kennwort erneut eingeben müssen, lassen Sie es vom Browser aus dem Anmeldeinformationsspeicher eingeben.
Wenn sich das Kennwort nicht im Anmeldeinformationsspeicher befindet, führen Sie einfach den Vorgang "Kennwortwiederherstellungskennwort" durch. Die Site sendet Ihnen eine E-Mail, und Sie können den Vorgang verwenden, um ein anderes Wegwerfkennwort festzulegen. Ich verwende es ständig für abgelaufene Cookies.
Der in der E-Mail des Wiederherstellungsprozesses gesendete Link wird als "Selbstauthentifizierende URL" bezeichnet. Ich glaube, Python verwendet eine ähnliche, um Pakete zu authentifizieren. Siehe auch Peter Gutmanns Engineering Security .
Mehrere Konten sind wichtig genug, dass Sie ein echtes Passwort benötigen. Zum Beispiel Ihr Firmenkennwort und Ihr E-Mail-Kontokennwort {Gmail | Yahoo | Hotmail | Apple | Microsoft | etc}. Verwenden Sie für sie ein sicheres Passwort und notieren Sie es, damit es nicht verloren geht oder vergessen wird. Dann stecken Sie das Passwort in Ihre Brieftasche oder Geldbörse. Richten Sie 2FA für die kritischen Konten ein, damit der Angreifer sowohl Ihr Kennwort als auch Ihr OTP / Token benötigt.
Einige Dienste, wie Spotify, erwägen, alle Kennwörter insgesamt zu entfernen. Sie passen den "Password Recovery Process" für die Authentifizierung an. Wenn Sie sich anmelden möchten, geben Sie Ihre E-Mail-Adresse ein und Sie erhalten einen Link für ein Token. Sie benötigen kein Kennwort mehr - Sie benötigen lediglich ein E-Mail-Konto.
Die größte Bedrohung ist der Netzwerkangreifer, der es nicht geschafft hat, über Ihren Monitor zu gelangen und Ihre Haftnotizen zu lesen. Wenn sie in Ihren Passwort-Manager oder Browser-Anmeldeinformationsspeicher eindringen, lassen Sie sie so viele Wegwerfpasswörter sammeln, wie sie möchten.
Ich suche nach Möglichkeiten, wie ich mein Passwort zuvor ändern kann Senden an den Server ... Ich dachte daran, Hash (Passwort + Service) an die Server zu senden.
Wenn Sie diese Art von Dingen ausführen möchten (Risikoanalyse, Angriffsmodellierung usw.) ), dann sollten Sie Peter Gutmanns Engineering Security lesen. Seine Doktorarbeit studierte Sicherheit und Benutzerverhalten. Sein Buch ist eine Behandlung für den Aufbau sicherer und sicherer Systeme.