Frage:
Wie speichere ich Passwörter, die auf einem physischen Notizbuch geschrieben sind?
tmh
2015-12-22 18:30:43 UTC
view on stackexchange narkive permalink

Antworten auf die Frage " Wie sicher sind Passwortmanager wie LastPass?" legen nahe, dass das Speichern persönlicher Passwörter auf einem physischen Notizbuch eine vernünftige Option sein könnte:

I. kennen jemanden, der Password Safe nicht verwendet und stattdessen ein physisches Notizbuch mit seinen Passwörtern in verschleierter Form hat. Dieses Notizbuch ist offensichtlich viel sicherer gegen Malware ... Ob es einem höheren Risiko für Verlust / Diebstahl ausgesetzt ist, ist eine interessante Frage.

Offensichtlich ist es ein Stück Papier Sicher gegen Malware-Angriffe.

Voraussetzung ist ein Offline-Zugriff auf Anmeldeinformationen. Zum Beispiel ein kleines Notizbuch, in das Sie alle Ihre Sicherheitsdaten für alle Banken, Geschäfte, Websites, sogar Zahlenschlösser, Adressen und alle anderen Details schreiben, auf die Sie von jedem Ort in der zugreifen möchten Welt.

Außerdem kann es manchmal einfacher sein, Passwörter in einem Notizbuch nachzuschlagen - z Wenn Sie viel unterwegs sind, können Sie mithilfe einer Passwort-Manager-App Passwörter auf Ihrem Smartphone speichern. Dies bedeutet jedoch, dass Ihr Telefon ständig aufgeladen und betriebsbereit sein muss, was einen weiteren Fehlerpunkt darstellt.

Berücksichtigen Sie nun die Möglichkeit, dass ein Notebook verloren geht, vollständig gestohlen, zerstört oder zerstört wird Ansonsten möchte ich mich auf eine Frage konzentrieren:

Wie würden Sie Passwörter verschleiern (wie im ersten Zitat erwähnt), damit sie von jemandem, der dazu in der Lage ist, nicht einfach entschlüsselt werden können? Um einen Blick auf das Notizbuch zu werfen?

Andererseits muss der Algorithmus so einfach sein, dass der Besitzer des Notizbuchs seine eigenen Passwörter in fast kürzester Zeit entschlüsseln kann.

Bonusfragen:

Könnte ein solcher Algorithmus als mehr oder weniger sicher angesehen werden, selbst wenn er hier in der Informationssicherheit veröffentlicht wird oder Verschleierung immer Sicherheit bedeutet durch Dunkelheit (dh den Algorithmus selbst geheim halten)?

Könnte ein Verschleierungsalgorithmus so entworfen werden, dass es unmöglich oder unwahrscheinlich ist, die Passwörter zu entschlüsseln, selbst wenn ein hypothetischer Angreifer mindestens mehrere Stunden lang Zugriff auf das Notizbuch hätte? Oder würde dies natürlich der Anforderung widersprechen, dass der Eigentümer seine Passwörter schnell entschlüsseln kann?

"* Ohne Rücksicht auf die Möglichkeit, dass ein Notebook verloren geht, vollständig gestohlen, zerstört oder auf andere Weise körperlich beschädigt wird *" - weil wir vernünftige Vorsichtsmaßnahmen treffen, nehme ich an?
@ChrisH Das, und ich wollte vermeiden, dass die Frage als zu weit gefasst betrachtet wird. Sie können jedoch auch Aspekte der physischen Sicherheit in Ihrer Antwort erwähnen.
* Wie verschleiern Sie Passwörter? * Einfach. Sie schreiben Dinosaur Erotica und verstecken die Passwörter in der Mitte. Sie nehmen an, die Leute wären zu verlegen, um es zu lesen.
@Shantnu Das ist lustig, aber eigentlich eine gültige Antwort. Sie können Passwörter in jedem Text ausblenden. Wie Chris es ausdrückte: "* zu viele * Informationen in das Buch einfügen" Die Frage ist, wie würden Sie komplexere (mit Zahlen und Sonderzeichen) in einem gewöhnlichen Text verstecken?
Ein anderer Ansatz wäre, einen vorhandenen Text zu übernehmen, auszudrucken und zu entscheiden, dass beispielsweise der erste Buchstabe der ersten zehn Wörter in jedem Absatz ein Passwort bildet ... und dann einige Hinweise darauf zu hinterlassen, zu welchem ​​Konto ein Absatz gehört. .
Caesar-Chiffre mit einem Alphabet von A-Z, 0-9, ca [Großschreibung im Chiffretext und nicht verschlüsselte Sonderzeichen. Ja, es gibt nur 36 mögliche Schlüssel und ein Passwort könnte in wenigen Minuten brutal erzwungen werden. Oft (normalerweise?) Wird ein Konto für zu viele Versuche gesperrt, bevor ein Brute-Force-Angriff erfolgreich ist. Ein Brute-Force-Angriff ist auch nur möglich, wenn das Notebook kompromittiert ist, was durch die Frage (meistens) ausgeschlossen ist.
Zumindest um den vorübergehenden Blick zu verhindern, gibt es immer [Leonardo schriftlich] (http://legacy.mos.org/sln/Leonardo/LeonardoRighttoLeft.html)
@BobBrown „Oft (normalerweise?) Wird ein Konto für zu viele Versuche gesperrt, bevor ein Brute-Force-Angriff erfolgreich ist.“ - Dafür sind Offline-Angriffe gedacht.
Sie können alles, was Sie wollen, verschleiern und verschlüsseln, aber wenn es jemandem gelingt, ein Bild von einer Seite Ihres Notizbuchs aufzunehmen und mit nach Hause zu nehmen, ist das Spiel vorbei. Es gibt zwei Möglichkeiten, um Daten in Ruhe zu sichern: starke physische Zugriffsbeschränkungen und starke Kryptografie. Ersteres können Sie nicht haben, wenn Sie schnell und einfach auf das Notizbuch zugreifen möchten, und Sie können letzteres nicht haben, wenn Sie eine schnelle und nicht computergestützte Ableitung der einfachen Passwörter wünschen.
@BlacklightShining Ein Offline-Angriff impliziert, dass die Kennwort-Hashes des Zielsystems kompromittiert wurden. A) Ihre Sicherheit ist in diesem Fall wahrscheinlich sowieso ein Toast, und B) nur ein staatlicher Akteur (* Husten * NSA * Husten *) gefährdet wahrscheinlich sowohl die Passwort-Hashes * als auch * das kleine schwarze Buch.
@Dave-Spiele haben einen Rhythmus, eine Logik, Hinweise der anderen Schauspieler usw., um das Gedächtnis aufzufordern. Eine der Fähigkeiten, die Schauspieler benötigen, ist die Fähigkeit, sich Zeilen zu merken, was in vielen Fällen eine Schulung erfordert. Von den plausiblen Passwort-Ratschlägen ist das Auswendiglernen einer zufälligen Folge von Wörtern am nächsten an den Lernzeilen. Ein Schauspieler (oder besser ein Opernsänger, der nicht in einer Sprache kann, die er nicht kennt) könnte es wahrscheinlich tun. Aber nicht beim ersten Versuch, also müssten sie es vorübergehend schreiben. Der Rest von uns nicht so sehr.
@BobBrown Dies setzt voraus, dass die Personen, die das Zielsystem ausführen, tatsächlich kompetent sind. Wenn dies nicht der Fall ist, werden Listen mit Hashes (und möglicherweise auch E-Mail-Adressen) angezeigt.
Ich schlage vor, wenn jemand Sie kennt und Zugang hat, um das Buch zu stehlen, wäre es ein effektiver DOS-Angriff, es durch einen Aktenvernichter zu stecken. Ein Bag-Snatcher oder Mugger hätte den gleichen Effekt. Aber wie können Sie dann ein Backup sichern, wenn Sie eine angemessene physische Sicherheit für das Buch mit Verlusterkennung benötigen?
Ich habe den Vorteil, eine relativ dunkle Muttersprache zu haben, und außerdem kenne ich eine alte Schrift dafür, die im Mittelalter nicht mehr verwendet wurde und deutlich weniger als 1% der Muttersprachler bekannt ist. Wenn also jemand nicht dasselbe Erbe teilt * und * ein riesiger Geschichts-Nerd ist, wird er nicht einmal erkennen, was das Drehbuch und die Sprache sind. Wenn es ein gezielter Angriff wäre (wenn ich eine Berühmtheit oder ein wichtiger CEO oder politischer Führer wäre), würden sie es natürlich herausfinden, aber ansonsten ist es eine großartige Lösung gegen den Verlust des Notizbuchs und besonders gelegentliche Blicke von zufälligen Personen.
Verwenden Sie also die Zeilen des Spiels als Ihr Passwort, anstatt sich (nicht) zufälligen Text zu merken, dem das Rhythmus fehlt.
Viele Jahre lang (vor Passwort-Safes) habe ich sie in die Mitte meiner Telefonliste gesetzt, wie z. B. 'Tom G.: 321-555-1234', wobei Tom G. der Hinweis und die Telefonnummer das Passwort ist . Wer außer Ihnen weiß, dass Sie niemanden namens Tom kennen? Selbst nachdem ich Ihnen das Konzept erklärt habe, werden Sie nie wissen, welche meiner 200 Telefonnummern Passwörter und welche echte Personen sind. - Das ist etwas veraltet, ich weiß; aber vielleicht kann die Idee verbessert werden.
"* Ein Stück Papier ist gegen Malware-Angriffe geschützt *" - Sie haben zufällig keine Webcam an Ihren Computer angeschlossen?
"Dies bedeutet, dass Ihr Telefon ständig aufgeladen und betriebsbereit sein muss." Wie würden Sie Ihr Passwort verwenden, wenn Sie Ihr vertrauenswürdiges Gerät sowieso nicht dabei haben? Verwenden Sie einen mit Viren beladenen öffentlichen Computer? Das nicht vertrauenswürdige Telefon eines anderen ausleihen?
Miese Handschrift jemand?
@Bergi Ich bin mir nicht sicher, was ich sage. Schlagen Sie Malware mit einer Social-Engineering-Komponente vor?
@Michael: Nein, ich meinte, ein Angreifer könnte sich das Papier ansehen, wenn es in der Nähe der Kamera herumliegt.
Meine Taktik wäre, ein nicht verwandtes eindeutiges Codewort an ein von mir erstelltes Passwort anzuhängen, d. H. Passwort: p4ssw0rd, Codewort: Türgriff. Dann schreiben Sie das Codewort als eine Art Hinweis und schreiben die beiden in den Speicher. Niemand wird jemals in der Lage sein, Ihr Passwort auf diese Weise zu erraten oder zu entschlüsseln. Natürlich ist dieser Ansatz nutzlos, wenn Sie ein schlechtes Gedächtnis haben, weshalb Sie wahrscheinlich das Passwort zuerst aufschreiben!
Eine andere Möglichkeit wäre, einen Quellcode zu drucken oder ein vorhandenes Buch mit Quellcodelisten zu verwenden und Passwörter auf bestimmte Weise aus den Listen abzuleiten. Auf diese Weise erhalten Sie einige nicht alphanumerische Zeichen kostenlos. :) Auch das ist ziemlich ahnungslos, wenn Sie die ganze Zeit auf Websites wie StackOverflow surfen ...
Etwas, das mir durch den Kopf geht: Sie könnten ein wirklich billiges Smartphone kaufen, die Passwortverwaltungssoftware von einem sicheren Ort aus darauf installieren und es dann niemals mit etwas anderem als einem Netzkabel zur Wandsteckdose verbinden. Computer können Dinge viel schneller verschlüsseln oder entschlüsseln als alle papierbasierten Systeme.
In der jüngsten Ausgabe von c't, einem deutschen Computerbenutzermagazin, wird auch vorgeschlagen, Kennwörter auf Papier zu sichern: http://www.ct.de/1418092
Fünfzehn antworten:
Chris H
2015-12-22 19:38:57 UTC
view on stackexchange narkive permalink

In ungefährer Reihenfolge zunehmender Komplexität ( nicht Sicherheit und Methoden können kombiniert werden) sind hier einige Ideen aufgeführt, die für jeden, der mit Rätseln / Schreiben von Code / Mathematik vertraut ist, einfach sind. Eine vollständigere Idee finden Sie unten. NB: Wenn ich "geheim" sage, meine ich nicht in das Buch geschrieben. Diese sind alle einfach und am nützlichsten, um den zufälligen Dieb abzuhalten.

  • Haben Sie ein gespeichertes geheimes Element, das allen Passwörtern gemeinsam ist. *
  • Kleine Variante - ein geheimes Element, das sich leicht aus dem Namen / Benutzernamen der Website ableiten lässt.
  • Fügen Sie zu viele Informationen in das Buch ein, z. Sie müssen wissen, dass Sie die ersten 4 Zeichen jedes Passworts weglassen. *
  • Versetzen Sie das Konto und das Passwort um eine konstante Anzahl von Einträgen. *
  • Schreiben Sie niemals den vollständigen Benutzernamen, gerade genug, um ein Hinweis auf Sie zu sein.

* Diese Elemente weisen die erhebliche Sicherheitsanfälligkeit auf, die es einmal gab Die Verschleierung wird für einen Eintrag geknackt, sie wird automatisch für alle Einträge ohne weiteren Aufwand geknackt.

Wenn der genaue -Algorithmus veröffentlicht wird, handelt es sich eindeutig um ein Notizbuch -Dieb, der auch Anmeldeversuche per Skript ausführen könnte (oder natürlich ein Team), könnte den Algorithmus automatisch anwenden - oder alle veröffentlichten Algorithmen. Der Algorithmus vom Typ könnte beispielsweise veröffentlicht werden:

  • Rufen Sie aus dem angegebenen Kennwort die erste Ziffer x und die zweite y .
  • Zählen Sie x Zeichen ab dem ersten Satzzeichen (oder dem ersten Zeichen oder der ersten Ziffer).
  • Tauschen Sie dann die Groß- / Kleinschreibung des nächsten y aus
Buchstaben (oder vorangestellte y ) Buchstaben.
  • Erhöhen Sie für eine gespeicherte 4-stellige PIN die ersten vier Buchstaben um die Zahlen der Stecknadel (z. B. ) 1234 , angewendet auf a! Bcd , würde b! Dfh ergeben. Li

    • Natürlich könnten Sie:

    • Vertauschen Sie die Bedeutungen von x und y
    • Inkrementieren / Dekrementieren von x und y
    • Zählen Sie ab dem ersten Vokal .
    • Tauschen Sie die Fälle von y Konsonanten .
    • Ersetzen Sie die Ziffern durch die entsprechenden Buchstaben durch die alphabetische Position und umgekehrt.
    • Tauschen Sie die Ziffern gegen die Interpunktion auf derselben Taste aus (Sie müssen entweder sicher sein, auf welches Tastaturlayout Sie stoßen, oder Sie kennen Ihre eigene Tastatur sehr gut.)

    Alle diese Operationen können per Definition per Skript ausgeführt werden. Aber der Notizbuchdieb müsste sich ein Skript besorgen (oder schreiben), das diese implementiert (und es ist sogar ohne ein geheimes Element ein ziemlich variabler Speicherplatz. Dann müssten sie die Passwörter eingeben (ein fehleranfälliger Prozess mit zufälligem Zugriff) (generierter Text), führen Sie das Skript über die Liste aus und versuchen Sie, sich mit den jetzt möglicherweise Tausenden von Kennwörtern pro Site anzumelden. Hoffen Sie, dass die Site nach mehreren fehlgeschlagenen Versuchen nicht gesperrt wird.

    Es Es lohnt sich, eine Sicherungsliste, auch wenn es sich nicht um eine Sicherungskopie des Buches handelt, als Liste der Websites zu führen, für die die Kennwörter geändert / Konten markiert werden sollten, wenn das Buch verloren geht.

    Wie bei vielen Sicherheitsmaßnahmen Maßnahmen, das Ziel muss sein, es zu viel Mühe zu machen, um einzubrechen. Indem Sie manuelle und skriptbasierte Anstrengungen kombinieren, tun Sie ziemlich viel dafür und erhöhen Ihre Chancen, dass sie aufgeben.

    Ich denke, eine Buchverschlüsselung mit handgeschriebenem Unsinnstext im Notizbuch als Schlüssel wäre ein ziemlich einfach zu verwendender, aber unklarer Weg, dies zu erreichen. Das Hauptrisiko dieser Systeme sind die allgegenwärtigen Kameras, die in so vielen Teilen der städtischen Welt vorhanden sind. Selbst Handykameras haben die Auflösung, Text aus überraschender Entfernung aufzunehmen. Betriebssicherheit wäre erforderlich, um das Buch in riskanten Situationen nicht zu öffnen und seinen Nutzen zu verringern.
    @JohnDeters eine Buchchiffre könnte funktionieren. Eine Sache, an die ich dachte, war die Notwendigkeit der Verschleierung, um nichts als das Buch und ein Gehirn zu benötigen. Vielleicht das Gehirn eines Puzzle-Fans. Im schlimmsten Fall würde CCTV sowohl das verschleierte Passwort als auch den Klartext während der Eingabe erfassen. Dies wäre auch ein Problem beim Kopieren eines Kennworts von einer Smartphone-App auf einen Computer.
    Hey Leute, ich dachte du wärst Informationssicherheitsexperten! Wenn mein Internetbanking-Administrator eine dieser Techniken anwenden würde, würde ich ihn verklagen. Diese ganze Frage sollte als "gefährlich" abgeschlossen werden, da alle Benutzer sie lesen und denken: "Großartig! Sie sagen, es ist in Ordnung, alle meine Passwörter auf ein Blatt Papier zu schreiben!"
    @vojta Ich denke, der erste Satz in der Frage - "Antworten auf die Frage" Wie sicher sind Passwortmanager wie LastPass? "Schlägt vor, dass das Speichern von ** persönlichen Passwörtern **" - macht deutlich, dass es sich nicht um Unternehmensebene handelt Sicherheit. :) :)
    @tmh schlagen Sie jetzt eine gute Frage vor: * Wie kann ein sicherheitsbewusster Systemadministrator alle seine Passwörter verfolgen? * Die Antwort wäre selbst für diejenigen von uns informativ, die dies nicht tun.
    @ChrisH Sie können diese Frage gerne stellen.
    Meine Vorschläge funktionieren nur für zufällige Zeichenfolgen. Wenn jemand das Buch in die Hände bekam, ein paar einfache Manipulationen versuchte und echte Wörter bekam, würde dies ihn ermutigen, es weiter zu versuchen, selbst wenn die Wörter (sagen wir) Anagramme Ihrer Passwörter waren.
    Kayot
    2015-12-22 23:04:02 UTC
    view on stackexchange narkive permalink

    Zu diesem Zweck habe ich eine Sprache erstellt. Keines der Symbole sieht so aus wie Englisch (keine Aussage, ob sie wie eine andere Sprache aussehen), es gibt keine Leerzeichen, mehrere Buchstaben fehlen, gemeinsame Muster werden zu einzelnen Symbolen (dis, ing usw.), um eine einfache Dekodierung zu verhindern. Es wird geschrieben von oben nach unten, von rechts nach links, in einem Raster ohne Linien, und ich habe jede Zeile mit Papierkorb aufgefüllt.

    Je nachdem, wie ich es speichere, verwende ich auch ein Schaltcode-Rad, das sich an die Platzierung der letzten Buchstaben anpasst. Wenn der zuletzt verwendete Buchstabe so etwas wie h (caseless system) ist, fügen Sie dem nächsten Buchstabencode-Rad 7 hinzu. Sie können die Code-Räder auf der Seite in den Papierkorb aufnehmen, um einen Angreifer weiter zu verwirren. Da Sie mehrere Code-Räder pro Seite erstellen und die Zahlen nach Belieben verschieben können, wird ein einfacher Angriff verhindert. Eine andere Möglichkeit besteht darin, Code-Räder zu überlappen. Wenn Sie faul sind, können Sie ein Zahlenmuster wie + 5, -2, + 3,6 wie eine PIN verwenden.

    Dies könnte gut funktionieren, vorausgesetzt, der Schlüssel für das Symbol, das dem Zeichen entspricht, wird nie veröffentlicht, und Sie verwenden komplexe Kennwörter anstelle von Passphrasen, sodass die statistische Analyse unwirksam ist.
    Wie lange müssen Sie ein Passwort entschlüsseln? Klingt so, als würde es einige Minuten dauern (was keine schlechte Sache ist, vielleicht nur ein bisschen unangenehm). Gute Lösung.
    Je mehr ich es benutzte (in der Mittelschule, um Notizen zu machen und eine verdammt gute Schnitzeljagd zu machen), desto schneller wurde ich. Nach ein paar Jahren in der Highschool konnte ich es mit einer Chiffre bei etwa der Hälfte meiner normalen Schreibgeschwindigkeit lesen und schreiben. Heute (12 Jahre später) benutze ich AES und USB-Sticks, damit ich verrostet bin und meine Originalpapiere darauf ausgraben müsste. Der erste Entwurf verwendete eine einzelne Linie mit verschiedenen Mustern. Später wurde es schick, dass gefälschte Linienbremsen so gemacht wurden, dass sie wie Musikzeichen aussahen. Gute Zeiten.
    Matthew
    2015-12-22 19:45:24 UTC
    view on stackexchange narkive permalink

    Eine grundlegende Methode, um die Auswirkung zu minimieren, dass jemand Passwörter durch einen Blick auf das Notizbuch herausfinden kann, besteht darin, ein Passwort pro Seite zu haben. Wenn Sie sich dieses ansehen, ist das alles, was er sehen kann.

    Eine andere Alternative wäre, eine Diceware oder eine ähnliche Liste zu haben und die Zahlen zu notieren. Es fügt der "Entschlüsselung" einen Schritt hinzu, da der rechtmäßige Eigentümer einen Querverweis mit einer Diceware-Liste erstellen muss, aber es würde wahrscheinlich einen Angreifer mit Zugriff auf das Notizbuch für eine kurze Zeit verlangsamen - sie müssten wahrscheinlich die Fotokopie erstellen vollständige Liste sowie alle standortspezifischen Nummern, um den Zugriff zu gewährleisten.

    Wenn der Eigentümer jedoch sofort "entschlüsseln" kann, kann ein Angreifer eine bestimmte Zeit entschlüsseln. Wenn sie für eine Weile Zugriff haben, können sie ohne Ihr Wissen eine Kopie des Inhalts erstellen und daran arbeiten (indem Sie das Buch an einem Ort finden, den Sie zum Beispiel für sicher halten würden - vielleicht in Ihrem Haus, in dem Sie normalerweise Ihre Tasche aufbewahren (wo es natürlich herausgefallen sein könnte).

    Sie könnten sich an ein festes Teilkennwort erinnern und nur die variablen Teile notieren. In diesem Fall verlassen Sie sich jedoch darauf, dass keine der Websites, die Sie authentifizieren, gegen eine Verletzung verstößt. Sobald dies der Fall ist, müssen Sie den Teil als gefährdet betrachten und alle Kennwörter ändern, die ihn verwenden, so als hätten Sie dieselbe verwendet Passwort überall.

    Die sicherste Option könnte sein, einen physischen Safe zu haben, in dem das Notebook aufbewahrt wird und der nur geöffnet wird, wenn sich niemand in der Nähe befindet. Es scheint für die meisten Anwendungen ein wenig übertrieben zu sein, aber das ist so ziemlich die Methode, die für einige kritische Daten verwendet wird, wie z. B. DNS-Root-Signaturschlüssel.

    Bei einem Passwort pro Seite wäre das ein ziemlich großes Buch - meine KeePass-Datenbank enthält weit über 100 Einträge. Ein größeres Buch wäre schwerer zu sichern.
    100 Einträge würden nur 50 Blatt Papier benötigen, vorausgesetzt, Sie haben eines auf jeder Seite geschrieben, und das würde das einzelne Passwort, das Sie verwenden, und ein anderes offenlegen. Ein 96-seitiges Notizbuch bei A7 hat sicherlich ein Taschenformat, und Sie schreiben nur ein paar Wörter auf jede Seite (die Site und das Passwort) - Sie brauchen kein großes Buch. Von einem schnellen Google wäre http://www.whsmith.co.uk/products/pukka-pad-pocket-book-a7-wide-ruled-notebook-200-pages/33728902 ideal
    Ihr Faktor 2 macht einen Unterschied, ich gebe zu. Ich dachte an etwas wie [ein Notizbuch in Kreditkartengröße] (http://www.tokyopenshop.com/memorandum-card-p-241.html).
    Ich gehe davon aus, dass dies ab einem bestimmten Punkt unhandlich wird und Sie eine Anwendung mit passwortsicherem Typ verwenden, weil Sie frustriert sind, ein Notizbuch durchsuchen zu müssen!
    Eye Kneel
    2015-12-23 01:00:56 UTC
    view on stackexchange narkive permalink

    Schreiben Sie ein Tagebuch und binden Sie die Passwörter in die Einträge ein. Es wird nicht wie ein Passwortbuch aussehen. Jemand muss es lesen, um die falsch geschriebenen Wörter zu bemerken. Ich habe ein Adressbuch verwendet, in dem die Adressen, Telefonnummern und Postleitzahlen enger Freunde und Familienmitglieder PINs und Passwörter waren. Ich kenne die Adressen und Telefonnummern meiner Familienmitglieder, daher war es egal, ob sie falsch aufgezeichnet wurden.

    a CVn
    2015-12-23 19:06:09 UTC
    view on stackexchange narkive permalink

    Verwenden Sie eine Maske.

    Nein, im Ernst. Verwenden Sie so etwas wie mittelgroßen Karton, der im Bürobedarf oder in Hobbygeschäften erhältlich ist, um eine starre Gittermaske mit einer Größe von 30 x 6 Zeichen zu erstellen, und schneiden Sie zufällig platzierte Löcher für möglicherweise 40-50 Zeichen aus. (Sie können natürlich je nach Bedarf unterschiedliche Abmessungen auswählen.)

    Um ein Passwort aufzuschreiben, legen Sie die Maske auf Ihr Notizbuch und schreiben Sie die Länge des Passworts durch die ersten beiden Löcher (oder wählen Sie ein Sonderzeichen, das immer "dies ist das Ende des Passworts" bedeutet und das stattdessen am Ende schreibt), dann das Passwort selbst durch die verbleibenden Löcher (entweder in Längsrichtung oder zuerst pro Spalte, wieder Ihre Wahl), so viele wie nötig. Wenn Sie fertig sind, entfernen Sie die Maske und füllen Sie alle verbleibenden Zeichenplätze mit Müllzeichen aus. Je zufälliger, desto besser. Um dies zu vereinfachen, zeichnen Sie zunächst ein Raster in das Notizbuch, bevor Sie das Kennwort eingeben.

    Wenn Sie ein Kennwort lesen müssen, platzieren Sie einfach die Maske über dem Durcheinander der Zeichen und dem, was sichtbar bleibt ist das Passwort plus der zufällige Müll, den Sie zum Ausfüllen der Zeichenfelder verwendet haben, die nicht Teil des Passworts sind. (Zu diesem Zeitpunkt müssen Sie nur wissen, wie lang das Kennwort ist, daher das Abschlusszeichen oder die Anzahl der Zeichen.)

    Bewahren Sie die Maske sicher, aber getrennt vom Notizbuch auf, möglicherweise in Ihrer Brieftasche. Betrachten Sie die Maske als Ihre Art "Master-Passphrase".

    Dies schützt nicht wirklich vor einem Angreifer, der speziell auf Ihr Schema und vielleicht sogar auf Sie abzielt, aber es sollte ein angemessenes Maß an Sicherheit gegen jemanden bieten, der zufällig das Notebook in die Hände bekommt, während Sie einen geringen Overhead haben, wenn Sie es sind legitime Verwendung der Passwörter. Der Aufwand besteht hier darin, dass Sie ein neues Passwort in das Notizbuch eintragen. Dies ist häufig eine Situation, die Sie besser kontrollieren können (z. B. müssen Sie Ihr Bankpasswort wahrscheinlich nicht ändern, während Sie sich zufällig in einem Internetcafé befinden Land der Dritten Welt).

    Wenn Sie den Verschleierungsfaktor noch weiter verbessern möchten, können Sie dem Schema einen Versatz hinzufügen: Notieren Sie, wie viele Zeichen am Anfang überspringen wann Eingabe des Passworts.

    Wenn eine Kamera Ihr Notebook aufzeichnet, während Sie das Passwort eingeben, ist es genauso wahrscheinlich, wenn nicht sogar wahrscheinlicher, dass sie auch die Tastatur aufzeichnet, mit der Sie das Passwort eingeben An diesem Punkt haben Sie fast verloren, egal welches Schema Sie zum Verschleiern der aufgeschriebenen Passwörter verwenden.

    user72066
    2015-12-23 02:43:38 UTC
    view on stackexchange narkive permalink

    Es gibt viele bessere und sicherere Beispiele, aber ich dachte, ich würde eine Sache erwähnen, die ich in der Vergangenheit verwendet habe, nämlich Mnemonik in Form von Zeichnungen / Comics zur Darstellung von Passphrasen. Dies setzt jedoch voraus, dass Sie sich vage an die Passphrase erinnern können.

    Ein Beispiel könnte der Satz "Tommys Geburtstag ist am 23. März!" sein. Der Comic könnte aus einer Figur bestehen, an die Sie sich mental als "Tommy" erinnern und die seinen Geburtstag feiert, mit einer Pointe zu einem Papa-Witz (oder etwas mit einem Verweis auf die Site, die Sie verwenden) und datiert / signiert am 23. März. Sie können auch viele weitere Comics hinzufügen, die keine Kennwörter darstellen, um sie weiter zu verschleiern.

    Für jemanden, der vorbeigeht, ist dies lediglich Ihr Skizzenbuch. Die meisten Menschen sind nicht daran interessiert, Kritzeleien von einem schlechten Karikaturisten zu stehlen, und würden insbesondere nicht erwarten, dass es sich um ein Buch mit Passwörtern handelt. Für den Fall, dass jemand es stiehlt und Ihr System kennt, muss er immer noch verstehen können, wie Sie Ihre eigenen Zeichnungen mental verarbeiten, was größtenteils subjektiv sein wird. Dies kann auch verhindert werden, indem in jeder Zeichnung Füllinformationen hinzugefügt werden, um dem Kennwort für jeden, der versucht, es zu entschlüsseln, Rauschen hinzuzufügen. Wenn Sie Fantasie mögen, können Sie dies sogar noch weiter vorantreiben, indem Sie mentale "Gesetze" darüber erlassen, worauf es in Ihrer Fantasiewelt ankommt, die Sie durch Comics / Zeichnungen darstellen.

    Wie gesagt, es gibt viel bessere Möglichkeiten, Passwörter physisch zu speichern, aber dies kann für Leute funktionieren, die Mnemonics gut verwenden, und es kann auch wirklich Spaß machen!

    Mike Scott
    2015-12-22 23:10:27 UTC
    view on stackexchange narkive permalink

    Es war einmal, als ich die verschiedenen PINs für meine Kredit- und Bankkarten notierte. Ich habe sie in Basis 9 konvertiert und dann irgendwo in jeder Zahl eine falsche zusätzliche 9 hinzugefügt. Ich denke, das war ziemlich sicher, aber natürlich funktioniert es nur für vollständig numerische Passwörter wie PINs.

    jth
    2015-12-23 02:36:49 UTC
    view on stackexchange narkive permalink

    Ich bin auf mehrere Versuche mit einer brieftaschengroßen Referenzkarte gestoßen, die als Chiffretext für Ihr Passwort verwendet wird. Ein Beispiel: http://www.passwordcard.org/en

    Ich würde keines davon verwenden, aber wenn ich es tun würde, würde ich mehr Zeit mit meinem verbringen mentales Modell, wie ich mein Passwort abgeleitet habe, das eine ausreichende Verschleierung bieten sollte, damit Sie die Karte und das Passwort wahrscheinlich nicht gleichzeitig erwerben können. Wenn Sie darüber besorgt wären, müssten Sie einen Weg finden, um Ihre Chiffre zu verschieben. "Die Zeilennummer ist die Telefonnummer mit dem dritten Zeichen im Domainnamen dieser Site. Die Spalte ist das vorletzte Zeichen, das im Alphabet in eine numerische Position umgewandelt wurde." Google.com ist also O = 6 auf dem Wähltastenfeld. Die sechste Zeile, die Spalte ist G = 7, also die siebte Spalte. Entscheiden Sie dann einen anderen Faktor für die Anzahl der Zeichen und die Art und Weise, wie Sie lesen oder wie Sie die einzelnen Zeichen verschieben. Diagonale, bis 1 & über 2 usw.

    Zumindest mit dieser Lösung können Sie das "Notizbuch" verlieren und später ersetzen, und Sie komplizieren die Dinge nicht übermäßig, wenn Sie versuchen, eine zu finden sicheres Schema. Wenn ich Ihnen meine "Karte" mit den Zeichen gegeben habe, die ich tatsächlich verwendet habe, sind die Chancen, dass Sie mit einer bestimmten Website an der richtigen Stelle beginnen und die richtige Richtung, Länge usw. wählen, vernachlässigbar.

    Beachten Sie, dass Sie zum Ersetzen der öffentlichen Karte die Kartennummer sicher gespeichert haben müssen, damit Sie sich möglicherweise auf dem ersten Platz befinden. Anstatt die öffentlichen Karten zu verwenden (die leicht ersetzt werden können), würde ich meine eigene Liste verwenden und eine Kopie behalten. Vielleicht könnten Sie die Liste auf ein allgemeines Werk stützen, z. B. die Verwendung der in Shakespeares Stück X angezeigten Ordnungsbuchstaben, wenn Sie auf Seite Y beginnen (achten Sie jedoch auf die Häufigkeit der Buchstaben). Auf diese Weise können Sie im schlimmsten Fall die Liste aus einer Kopie von Shakespeares Stücken reproduzieren.
    In beiden Fällen erstellen Sie eine Kopie. Die Notizbuchseite mit handgeschriebenen "zufälligen" Daten (haha) kann ebenfalls verloren gehen. Es wäre jedoch trivial, die Nummer der Karte in Ihrer Brieftasche oder an einer beliebigen anderen Stelle zu verstecken, an der diese Nummer allein als Index für Ihre Passwortkarte erkennbar wäre. In jedem Fall ist die Kernprämisse dieser Frage an erster Stelle ziemlich lächerlich.
    Dronz
    2015-12-23 03:29:45 UTC
    view on stackexchange narkive permalink

    Ich verwende mnemonische Hinweise. Also erfinde ich ein Passwort, das ich aus den Hinweisen konstruieren kann, und speichere die Hinweise dann nur auf Papier. Die Hinweise könnten ein Gekritzel oder ein Teil einer Zeichnung sein oder etwas, das mich daran erinnert, wie mein Passwort lautet. Oder das erinnert mich an den Teil, den ich nicht auswendig gelernt habe. Ohne zu wissen, was meine Assoziationen sind, scheint es für jemanden ziemlich schwierig zu sein, meine Passwörter anhand meiner Hinweise herauszufinden.

    Zählt Sicherheit durch Auswendiglernen als Sicherheit durch Dunkelheit? Mir scheint, dass dies im Kontext der Frage so weit davon entfernt ist, wie es wahrscheinlich ist, da es sich um ein Passwortsystem handelt und es eine Möglichkeit ist, das Ableiten des Passworts durch einen Blick auf das Notizbuch zu verhindern, es sei denn, jemand kennt mich so gut sie können irgendwie aus meinen Hinweisen ableiten. Ich bin mir ziemlich sicher, dass ich einige Passwörter erfinden kann, die nicht einmal die Leute, die mich am besten kennen, jemals ableiten können, obwohl dies mehr Absicht erfordert, eine Passphrase zu erstellen, die eine seltsame Kombination von Dingen ist, für die mein einziger Kontext darin besteht, mich an den Satz I zu erinnern erfunden -

    Beispiel - ein abstraktes Gekritzel mit vielen Symbolen und Passwörtern, und ich wähle eine Stelle für einen Teil davon, wo es eine kleine Kurve gibt, und in einer Richtung gibt es drei kleine Markierungen und dann eine lange, aber sie unterscheiden sich nicht von den vielen anderen Kringeln und Punkten und so weiter. Aber ich kann mich erinnern, dass sie der Teil waren, mit dem ich mich an mein Passwort erinnerte. Die Kurve erinnert mich an einen Körperteil, und die ersten beiden Wörter sind dieser Körperteil in zwei verschiedenen Sprachen. Dann sind die drei Markierungen eine dreifarbige Phrase, an die ich mich erinnern werde, wie "yo ho ho" und der Schrägstrich ist eine letzte Bemerkung, an die ich mich auch erinnern werde, wie YOW!. So kann ich mich immer an "gomitoelbowyohohoYOW!" Erinnern ... aber ich glaube nicht, dass irgendjemand anders wissen wird, wo in meinem Doodle nachzuschauen ist, geschweige denn dieses Passwort abzuleiten.

    Stephane
    2015-12-22 19:21:48 UTC
    view on stackexchange narkive permalink

    Sie haben ein anderes Bedrohungsmodell für schriftliche Dokumente als für elektronische, aber die Art und Weise, wie Sie damit umgehen, ist ziemlich bekannt: Beschränken und überwachen Sie den physischen Zugriff.

    Es spielt keine Rolle, ob es sich um nukleare Startcodes oder die Kombination des Vorhängeschlosses Ihres kleinen Schwestertagebuchs handelt, außer auf die Art und Weise, wie Sie diese Kontrolle durchführen.

    Dies bedeutet auch Wenn Sie diese Daten schützen möchten, sollten Sie sie nicht einfach verschleiern, sondern verschlüsseln. Eine Möglichkeit besteht darin, die Daten mit einem Kennwort zu verschlüsseln, den Chiffretext als QRCode zu drucken und diesen zu speichern. Es bietet Ihnen jedoch keinen großen Vorteil gegenüber einer ordnungsgemäßen Zugriffskontrolle: Es ist sicherlich sicherer, aber es ist ziemlich unpraktisch in der Verwendung und wird Sie wahrscheinlich scheitern, wenn Sie es tatsächlich benötigen.

    Ihr Vorschlag, die verschlüsselten Daten als QR-Code zu verschlüsseln und zu speichern, setzt voraus, dass Sie über ein leistungsfähiges, vertrauenswürdiges Gerät verfügen, das die QR-Codes lesen und entschlüsseln kann. Es ist keine wirkliche Verbesserung, eine Passwortdatenbank auf dem Smartphone oder einem gleichwertigen Gerät zu speichern.
    Es verringert das Bedrohungsmodell des OP: Jemand, der beim Lesen der Zeitung über die Schulter blickt (oder genauer gesagt, eine zweistufige Anforderung für den Zugriff auf den Klartext: Der physische Zugriff reicht nicht aus). Was ich / wirklich / vorschlage, ist jedoch, mich nicht darum zu kümmern und mich auf eine gute physische Zugangskontrolle zu konzentrieren
    Selbst eine recht einfache Verschleierung schützt vor Schulter-Surfen, mit Ausnahme von Dieben mit fotografischem Gedächtnis. Die physische Zugangssicherheit auf dem Niveau von Kreditkarten ist angemessen, alles darüber hinaus wäre schwierig. Mit einer Kreditkarte haben Sie die Karte und eine kleine geheime Information - ich schlage in meiner Antwort eine gleichwertige, hoffentlich verbesserte vor. Was die Kreditkarten haben, ist, dass dies kein einfaches Mittel ist, um sie zu stornieren. Auch die Erkennung von Betrug kann für Passwörter nicht angenommen werden.
    Ich denke, wir sollten an dieser Stelle einen höheren Standard anstreben als "es schützt Ihr Notizbuch vor Ihrem jungen Bruder". Verschleierung war und wird niemals ein angemessener Allzweckschutz sein, kann aber definitiv ein falsches Sicherheitsgefühl hervorrufen. Was ist, wenn der Betrachter einfach eine Phne hat? Oder eine Brille? oder ist ein Wachmann mit einer Kamera? Durch die Verschleierung wird ein hohes Maß an Komplexität für sehr wenig zusätzlichen Schutz hinzugefügt.
    Jetzt ist CCTV ein echtes Problem - sehen Sie, wie oft PIN-Tastaturen angezeigt werden. Einige ziemlich angesehene Leute auf dem Gebiet sagen seit Jahren, dass das tatsächliche Aufschreiben von Passwörtern ein guter Ansatz ist. Daher erscheint es sinnvoll, nach Möglichkeiten zu suchen, sich gegen ziemlich einfache Angriffe zu verteidigen. Bei Versuchen, Menschen dazu zu bringen, Onlinedienste zu nutzen, ob sie es mögen oder nicht, kann Offline-Sicherheit ein guter Ansatz sein. Ohne auf Stereotypen zurückzugreifen, können wir sicher alle an Leute denken, die kein Smartphone haben und aufgrund von Malware keine Passwort-Datenbank auf ihrem PC ausführen sollten.
    @ChrisH Für die Verwendung des Kennworts ist ein leistungsfähiges, vertrauenswürdiges Gerät erforderlich, das auf die Ressource zugreifen kann, der das Kennwort entspricht.
    @BlacklightShining. Es gibt Vertrauen und es gibt Vertrauen. Webmail auf dem Computer eines Freundes auf Reisen ist beispielsweise ein ganz anderer Fall als das Bankgeschäft in einem Internetcafé. Es gibt viele Fälle, in denen es sich lohnt, ein geringes Risiko einzugehen, dass ein Konto kompromittiert wird, oder das Risiko, sich nicht anzumelden, größer ist als das Risiko, sich an einem nicht vertrauenswürdigen Computer anzumelden (Hotelautomat zum Drucken von E-Tickets, die nur verfügbar sind a Tag vor dem Flug und ohne den man nicht fliegen konnte).
    Eric Johnson
    2015-12-22 22:53:03 UTC
    view on stackexchange narkive permalink

    Schreiben Sie Ihre Passwörter mit unsichtbarer Tinte.

    Nehmen Sie ein normales Buch oder ein Notizbuch, das einem anderen Zweck diente (Schulnotizen), und schreiben Sie Ihre Passwörter mit einer Tinte, die nur mit a sichtbar ist, an den Rand UV-Licht. Jeder, der sich das Notizbuch / Buch ansieht, geht davon aus, dass es so ist, wie es scheint, solange Sie noch Zugriff auf die Passwörter haben.

    Hinweis: Ich weiß nicht, wie lange unsichtbare Tinte auf Papier verwendet wird .

    Ich vermute, dass Sie ein lila Licht auf das Notizbuch werfen, um diesem einen kleinen Hinweis zu geben!
    Sie müssten die Passwörter privat anzeigen, aber wenn das Buch offen auf Ihrem Schreibtisch liegt, kann niemand wissen, dass es Ihr Passwortbuch ist. Das UV-Licht wird auf Ihre Person oder weit vom Notebook entfernt gehalten, um keine Aufmerksamkeit zu erregen.
    Ich würde es in der Tat etwas unpraktisch finden, mich jedes Mal, wenn ich ein Passwort nachschlagen wollte, auf eine UV-Lichtquelle und Privatsphäre zu verlassen. Unsichtbare Tinte kann jedoch hilfreich sein, wenn Sie eine Sicherungskopie des Notebooks erstellen möchten, die Sie nicht regelmäßig konsultieren müssen.
    JDługosz
    2015-12-23 19:12:16 UTC
    view on stackexchange narkive permalink

    In der 7. Klasse ließ uns unsere Klasse ein Tagebuch schreiben. Ich habe einen einfachen Code verwendet, der neuartige Symbole für Buchstaben verwendet, und das auf der Rückseite vermerkt. Aber ich habe es bald auswendig gelernt und leicht direkt geschrieben.

    Die Verwendung neuartiger Symbole ist weniger verwirrend als die Verwendung einer Substitutions-Chiffre der Buchstaben. Tatsächlich ist es ziemlich einfach.

    Es verschleiert, kann aber mit normalen Techniken zerstört werden ... wenn Sie normalen englischen (oder was auch immer) Text haben! Bei Passwörtern mit zufälligen Buchstaben ist dies ziemlich sicher, es sei denn, Sie haben die Möglichkeit, einige Einträge zu unterbrechen und die Ergebnisse zum Lesen anderer zu verwenden. Dies kann verbessert werden, indem mehrere Einträge vorhanden sind und eine andere versteckte Methode verwendet wird, um zu wissen, welche richtig ist.

    Everett
    2015-12-24 03:21:26 UTC
    view on stackexchange narkive permalink

    Regel Nummer eins: SCHREIBEN SIE IHR PASSWORT NICHT AUF

    In den späten 60er Jahren begannen Unternehmen, Großrechner zu verwenden. Dies war ein neues Geschäftskonzept. Der Geschäftsinhaber würde jemanden finden, der eine Eignung hat (siehe eine College-Klasse, in der er tatsächlich einen Computer gesehen hat) und ihn (unter Androhung einer Kündigung) bitten, der Systemadministrator zu werden. Dem neuen Administrator werden ein Login und ein Passwort zur Verfügung gestellt. Dies war ein neues Konzept für viele Menschen. Also haben sie das Passwort für alle Fälle notiert.

    Mehrere Personen haben den Mainframe unter demselben Konto verwendet. Das Problem war, dass jemand alles für einen Stapelprozess konfigurierte, später zurückkam, um ihn zu beenden, und entdeckte, dass jemand anderes alles für seinen Stapelprozess eingegeben und neu konfiguriert hatte. Es war nicht sehr effizient. Es wurden Konten eingerichtet und Anmeldungen und Passwörter ausgegeben. Und natürlich wurden die Passwörter aufgeschrieben.

    In den 80er Jahren war es an der Zeit, Computer auf die Schreibtische der Menschen zu stellen. Sie waren alle über ein Netzwerk mit dem Mainframe verbunden. Auf diese Weise mussten Sie nicht von Ihrem Schreibtisch weggehen, um die Ergebnisse der Arbeit zu erhalten, die Sie vom Mainframe ausführen ließen. Es gab den Leuten auch gerade genug Pferdestärken an ihren Schreibtischen, um einige der Aufgaben zu erledigen, die sie vom Mainframe erledigen ließen. Viele Systeme benötigten Passwörter mit acht Zeichen, um zu verhindern, dass einfache, beliebte Passwörter erraten werden. Da Passwörter jetzt komplexer waren (oh, sieh mal, das Passwort hat 8 Zeichen und niemand würde es erraten), haben die Leute sie aufgeschrieben.

    In den 90ern gab es diese neue Modeerscheinung, über die sich alle freuten . Es hieß Interwebs, nein, intertoobz, nein, warte ... Internet. Und Systeme wurden verbunden. Wir könnten sofort eine E-Mail senden, anstatt eine schreiben und verschicken zu müssen. Also haben wir angefangen, Buchstaben, Zahlen und Zeichen in unseren 8-stelligen Hochsicherheitskennwörtern zu verwenden ... die wir noch aufschrieben.

    In den ... Sollten (?) haben wir angefangen, online zu bankieren, einzukaufen und zu schulen. Wir haben Konten erstellt und dasselbe Kennwort verwendet, um sie alle zu schützen. Und um sicherzustellen, dass wir dieses Passwort nicht vergessen haben, haben wir es aufgeschrieben.

    Hier sind wir im Jahr 2015. Die durchschnittliche Person hat 30 verschiedene Anmeldungen und Passwörter, an die sie sich erinnern muss. Sie sollten 15 Zeichen lang sein und keine sprachbasierten Wörter enthalten, die Symbole, Zahlen sowie Groß- und Kleinbuchstaben enthalten. Es gibt auch eine Liste von Dingen, die sie unbedingt nicht sein sollten.

    Nun, ich verstehe, dass wir 5 Jahrzehnte damit verbracht haben, Menschen zu trainieren, um gegen Regel Nummer eins zu verstoßen. Ich verstehe auch, dass die Leute Veränderungen und Technologie hassen.

    Es ist mir egal, was die Entschuldigung ist. Ja, Malware ist eine Überlegung. Wenn Sie jedoch eine echte Risikoanalyse durchführen, ist Malware kein so großes Risiko wie das Aufschreiben Ihres Passworts. Sie denken vielleicht, Sie sind unglaublich schwierig, ein System zu finden, mit dem Sie Ihr Passwort verbergen können.

    Ich muss nur ein Foto von einer Seite aufnehmen, und ich habe so lange Zeit, bis ich Ihr Passwort knacken muss. Sobald ich Ihr System herausgefunden habe, kann ich auf alles in dem Buch eingehen. Deshalb ist dies eine inakzeptable Antwort. Ein Computer ist eine bessere Lösung als Sie. Wenn dies nicht der Fall wäre, würden Regierungen keine Computer verwenden, um Passwörter zu erstellen und zu steuern.

    Nach dieser Logik scheint es auch keinen guten Grund zu geben, die auf einem Computer gespeicherten Passwörter zu verschlüsseln. Alles was es braucht ist eine Kopie des Chiffretextes, und Sie haben so lange Zeit, wie Sie die Passwörter knacken müssen. Eine "echte Risikoanalyse" kann mehrere Bedrohungen abdecken, für die das Aufschreiben Ihres Passworts ein akzeptabler Weg ist, um diese Risiken zu mindern.
    Dies ist nicht nur keine Antwort, es ist eine lange Geschichte, die nichts mit der gestellten Frage zu tun hat.
    @schroeder nein, du hast recht. Wir sollten den Leuten nur sagen, dass sie ihre Passwörter aufschreiben sollen. Wir haben keine Beweise dafür, dass es eine schlechte Idee ist, und wir haben definitiv keine Beweise dafür, dass es völlig anders ist, als sie in einem verschlüsselten System zu speichern, das kontrolliert wird, weil es eine Verschlüsselung verwenden würde, die genauso einfach zu knacken ist. Schlagen Sie den logischen Irrtum der Zweideutigkeit nach.
    Stellen Sie sich für einen Moment vor, Sie sitzen vor Gericht. Sie erklären, warum Sie Passwörter auf diese "verschlüsselte" Weise notiert haben. Zuerst stellen sie jemanden auf den Stand, der klar macht, dass die Verschlüsselung eine öffentliche Überprüfung erfordert. Sie demonstrieren das Problem mit der Annahme, dass Sie die Verschlüsselung (WEP) kennen. Dann setzt die Verteidigung die Stand-Experten ein, die behaupten, dass den Leuten seit Jahren gesagt wurde: "Schreiben Sie es nicht auf." Wird das Unternehmen die Haftung dafür übernehmen, dass Sie etwas Dummes tun? Nicht wahrscheinlich. Ist es meine Aufgabe, jemandem zu helfen, etwas zu tun, das im wahrsten Sinne des Wortes schlecht ist?
    Ich werde nicht einmal anfangen, die logischen Fehler aufzuzählen, in die Sie geraten sind. Lassen Sie es mich einfach machen. Dies beantwortet die Frage nicht und der Großteil der Antwort ist für Ihre Schlussfolgerung irrelevant. Bestenfalls ist Ihre erste Zeile ein nützlicher Kommentar.
    @schroeder Der Zweck der Geschichte ist es zu demonstrieren: Wir wussten, welche Regel Nummer eins vor 55 Jahren war. Wir haben 55 Jahre damit verbracht, es zu verletzen und den Menschen beizubringen, es zu verletzen. Jetzt haben wir also eine Diskussion, in der wir die Verletzung noch weiter rationalisieren. Wir geben schlechte Ratschläge, die jemanden für die Verwendung haftbar machen würden. Das ist ein Fakt. Also erzähl mir bitte immer wieder, wie ich falsch liege.
    Also ... halten Sie Ihre geschriebenen Passwörter nicht auf Ihrem Monitor fest? Ich verstehe, dass es einfacher ist, auf einmal gefundene geschriebene Passwörter zuzugreifen, aber ich denke, dass die meisten Menschen außerhalb eines Geschäftsszenarios eher ihre Konten an Keylogger verlieren würden, als ein Notebook mit einer gewissen Verschleierung zu stehlen. Ich verstehe jedoch Ihre Frustration und stimme zu, dass sich geschriebene Passwörter nicht gut in eine allgemeine Büroumgebung einfügen lassen.
    In einer Unternehmensumgebung würde ich immer einen Passwort-Manager verwenden. Ich stimme nicht nur zu, dass es sicherer ist, es ist auch oft der Fall, dass man mit einer ganzen Reihe von Passwörtern umgehen muss, bei denen alles, was handgeschrieben ist, wirklich unpraktisch wird. Auf der anderen Seite verfügt eine Geschäftsumgebung über eine ordnungsgemäße Infrastruktur: Sie können sich auf Backups, Verfügbarkeit von Geräten usw. verlassen. Wenn es um persönliche Passwörter, Reisen usw. geht, können die Anforderungen einfach anders sein ... Sie möchten es wahrscheinlich nicht Bauen Sie eine komplette IT-Infrastruktur auf, um Ihre Passwörter zu schützen.
    Was ist die Lektion von 55 Jahren?Hmm .. Ich kann mich nicht erinnern, dass Millionen von Benutzern, die ihr Passwort aufgeschrieben haben, etwas Schlimmes passiert sind.Ich erinnere mich, dass Millionen von Benutzern ihre Passwörter von Computern gestohlen haben.
    @JohnWu Von dem Computer gestohlen, der den Zugriff kontrolliert ... ja.Das Aufschreiben Ihres Passworts würde Sie nicht davor schützen, da das Passwort (in einem Hash-Format) auf dem System gespeichert ist, auf das Sie zugreifen möchten.Sie haben also nicht wirklich einen Sinn mit diesem Kommentar.
    tmh
    2015-12-27 14:16:42 UTC
    view on stackexchange narkive permalink

    Der Vollständigkeit halber nur zur Kommentierung der Frage:

    Verwenden Sie einen vorhandenen Text oder ein vorhandenes Buch und leiten Sie von dort Passwörter ab.

    Ausdrucken einen Artikel oder ein Buch mitnehmen, vorzugsweise eines, das in den Umgebungen, in denen Sie das "Notizbuch" verwenden möchten, keinen Verdacht erregt.

    Legen Sie einen Algorithmus fest, wie Sie Kennwörter ableiten aus dem Text im Buch. Etwas wie "Nehmen Sie aus den ersten zehn Wörtern eines bestimmten Absatzes den ersten Buchstaben und setzen Sie sie zusammen, um das Passwort zu bilden" ist wahrscheinlich etwas zu einfach, aber Sie werden sicherlich einen persönlichen Algorithmus finden, der etwas schwieriger zu erraten ist.

    Um Kennwörter (dh Teile des Textes) Konten zuzuordnen, haben Sie grundsätzlich zwei Optionen, die jedoch auch kombiniert werden können:

    • Wählen Sie für ein Konto eine Passage aus von Text, der sich irgendwie auf das Thema des Kontos bezieht. Dies erfordert ein wenig Kreativität. Zum Beispiel könnte der Teil einer Kurzgeschichte, in dem die Hauptfigur einen Brief an ihre Freundin sendet, darauf hinweisen, dass das Passwort für Ihr E-Mail-Konto dort versteckt ist.
    • Fügen Sie Haftnotizen oder ähnliches in das Buch ein. Markieren Sie Teile des Textes und schreiben Sie Notizen daneben. Es ist völlig normal, dass jeder, der einen Text studiert, ihn mit allen Arten von Anmerkungen besprüht. Besonders wenn Sie dieses Buch ständig mitnehmen, ist dies am plausibelsten. Achten Sie darauf, dass Ihre Notizen nicht zu deutlich machen, dass eine Passage ein Passwort enthalten kann. Markieren Sie möglicherweise auch einige Teile des Textes, die keine Passwörter enthalten, um die Aufmerksamkeit auf sich zu ziehen.

    Es könnte etwas seltsam wirken, wenn Sie mit denselben herumlaufen Buch für die nächsten zehn Jahre. Passwörter sollten jedoch ohnehin von Zeit zu Zeit geändert werden. Holen Sie sich also nach einiger Zeit ein neues Buch, bereiten Sie es wie oben vorgeschlagen vor und ändern Sie Ihre Passwörter.

    Als Bonus möchten Sie möglicherweise ein Buch auswählen, das Quellcodelisten oder andere technische Teile enthält. Die Idee dahinter ist, dass sie natürlich aus vielen speziellen (nicht alphanumerischen) Zeichen bestehen. Auf diese Weise können Sie leichter ein Passwort mit Sonderzeichen aus dem Text ableiten.

    HopefullyHelpful
    2017-03-14 21:12:48 UTC
    view on stackexchange narkive permalink

    Schreiben / drucken Sie ein Stück Papier mit vollen Zeichen oder verwenden Sie ein bereits geschriebenes Buch oder einen alten Aufsatz aus der Schule, merken Sie sich eine Position und ein Muster und fertig.

    5000 Zeichen passen auf eine Seite, es gibt 5000 ^ n verschiedene Muster, die Sie möglicherweise annehmen könnten. Mit 0 Informationen ist das Papier also schwerer zu knacken als ein einfacher Brute-Force-Angriff auf das Passwort selbst.

    Wenn die Anzahl der Kennwortversuche nicht stark begrenzt ist, müssen Sie auch Sonderzeichen und Kleinbuchstaben auf das Papier drucken oder alternativ ein langes Kennwort haben.

    Sie können dies auch tun Einige falsche Markierungen / falsche Rätsel / falsche Wörter auf dem Papier, um einen Angreifer dazu zu verführen, sich anzumelden und Sie möglicherweise zu alarmieren / zu informieren.

    Dies wird hauptsächlich durch die Antwort von jth abgedeckt
    Ich bin anderer Meinung, obwohl der Ansatz ähnlich ist, ist er nicht der gleiche, auch meiner ist prägnanter.Die Passwortkarte hat nur 228 Zeichen und stammt aus dem Internet.Auch das Schema ist dumm, es fordert Sie tatsächlich auf, sich 2 Dinge zu merken, die noch schwerer zu merken sind als 1 Symbol für den Start Ihres Passworts.Es wird auch empfohlen, ein dumm einfaches Muster zu verwenden.Es ist leicht brutal durchsetzbar.
    Sie haben vergessen, dass Sie sich an das * Muster * in Ihrem Schema erinnern müssen - sobald Sie dies tun, sinkt Ihre Entropie und es spielt keine Rolle, wie viele Zeichen Sie haben, es ist leicht brutal durchsetzbar.Außerdem ist die Karte tragbar ... Diese Antwort unterscheidet sich nicht wesentlich.
    Nun, die Basis ist viel höher und die Menge an möglichen Mustern, an die man sich leicht erinnert, ist viel höher, weil mehr Auswahlmöglichkeiten bestehen.Das heißt, meine Antwort ist in jeder Hinsicht deutlich besser.Und ein Blatt Papier oder Buch ist auch leicht tragbar.Und wenn Sie Ihr Master-Passwort so oft verwenden, dass Sie sich mit lastpass on the go in jedes Social-Media-Konto einloggen, spielt Ihr Passwort wahrscheinlich sowieso keine Rolle.Die Entropie der Karte ist tatsächlich niedriger als die von Brute Force bei ASCII-Passwörtern. Meine Antworten sind tatsächlich höher, selbst wenn Sie den Speicher für das Muster auf ein Minimum reduzieren.


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...