Frage:
Gibt es eine Methode zum Generieren von standortspezifischen Passwörtern, die in meinem eigenen Kopf ausgeführt werden können?
Mnementh
2010-12-19 23:14:35 UTC
view on stackexchange narkive permalink

Ich habe kürzlich über Passwortsicherheit nachgedacht. Mein Ziel ist es, meist zufällige Passwörter zu haben, die für jede Site unterschiedlich sind. Sie sollten sich aber auch ohne Notizen oder ähnliches an sie erinnern (oder sie neu generieren) können. Wenn ich wirklich zufällige Passwörter verwende (die von einem Passwortgenerator generiert wurden), kann ich mich nur an wenige erinnern. Viel weniger als die Anzahl der Webkonten, die ich habe. Einfachere Passwörter sind oft leichter zu erraten.

Ich dachte, ein Kompromiss könnte aus leicht zu erlernenden Regeln und einem geheimen Hauptkennwort bestehen, um aus dem Namen der Site ein Kennwort zu generieren. Angenommen, Sie haben ein Passwort für ebay und amazon. Diese Methode sollte zwei verschiedene Passwörter für 'ebay' und 'amazon' generieren. Aber ich sollte auch in der Lage sein, den Prozess in meinem Kopf durchzuführen, ohne Unterstützung durch Software oder sogar Papier und Bleistift. Häufig verwendete Passwörter, an die ich mich direkt erinnern werde. Aber diejenigen, die selten benutzt und vergessen werden, könnten mit einer solchen Methode rekonstruiert werden. Kennt jemand eine solche Methode?

BEARBEITEN : Das, wonach ich frage, sollte die Sicherheit verbessern, indem für jede Site / Maschine / jedes Programm unterschiedliche Kennwörter erstellt werden, aber auch alle beibehalten werden sie unvergesslich. Ein Passwort-Safe ist nett, aber es ist noch wahrscheinlicher, dass Sie die Site-Passwörter vergessen. Wenn Sie Ihr Geschäft verlieren oder es beschädigt ist, haben Sie ein Problem. Auch ALLE Passwörter können auf einmal kompromittiert werden! Und am Ende ist mein lokaler Passwort-Safe nicht verfügbar, wenn ich an der Maschine eines Freundes bin.

Sehr ähnlich zu dieser [Frage] (http://security.stackexchange.com/questions/662/what-is-your-way-to-create-good-passwords-that-can-actually-be-remembered).
Nein, das ist eine Methode, um ein Passwort zu generieren. Es ist jedoch keine Option, immer dasselbe Kennwort zu verwenden, und es ist sehr schwer, sich ein anderes Kennwort zu merken, das selbst mit einer der Methoden generiert wurde, auf die verwiesen wird. Erinnerst du dich an ein Passwort auf einer Website, das du in den letzten zwei Jahren nicht besucht hast?
Die von [Yann Esposito] (http://yannesposito.com/Scratch/en/blog/Password-Management/) und John beschriebene Technik würde großartig funktionieren, wenn es nur [eine Hash-Funktion gäbe, die man ohne Computer berechnen kann? ] (http://crypto.stackexchange.com/questions/765/is-there-a-simple-hash-function-that-one-can-compute-without-a-computer).
Sie haben alle Ihre Fakten über ein Passwort sicher ** falsch **.1) Der Sinn eines Passwort-Safes besteht darin, sich Ihre Passwörter überhaupt nicht zu merken.Leicht zu merkende Passwörter sind falsche Passwörter. 2) Sie * machen * immer Backups auf anderen physischen Geräten und / oder so etwas wie Google Drive / Dropbox usw. 3) Nicht, das * einzige * ** sehr starke ** Passwort, an das Sie sich erinnern müssen, istfür das Passwort sicher und es muss stark genug sein, um unzerbrechlich zu sein.Auch Passwort-Safes verwenden eine so große Anzahl von Runden zum Hashing, dass das brutale Forcen unglaublich langsam ist (z. B. 1 Passwort pro Sekunde anstelle von Milliarden).
4) Sie bewahren nicht alle Ihre Passwörter in einem einzigen Passwort sicher auf.Zum Beispiel habe ich zwei davon, eine für allgemeine Dinge und eine für Bankgeschäfte usw. 5) Sie haben immer eine Live-CD auf Ihrem USB-Stick. Wenn Sie also bei Ihren Freunden sind, starten Sie Ihr Betriebssystem und greifen auf Ihre Konten zuvon dort ... viel sicherer als über ein nicht vertrauenswürdiges Betriebssystem auf sie zuzugreifen (sie können immer noch einen Hardware-Keylogger haben ...).Sie können den Kennwortmanager auch einfach auf dem Schlüssel belassen und von dort aus verwenden, ohne Ihr eigenes Betriebssystem zu starten, dies ist jedoch weniger sicher.
Elf antworten:
#1
+17
nealmcb
2010-12-20 02:33:00 UTC
view on stackexchange narkive permalink

Interessante Frage. Hier ist ein neues, hoffentlich besseres Brainstorming. Vorsichtsmaßnahme.

Generieren Sie zwei gute, sichere Zufallskennwörter, die Sie in den Speicher schreiben.

Nehmen Sie die Buchstaben des Site-Namens nacheinander. Wenn der Buchstabe ein Vokal ist, verwenden Sie den entsprechenden Buchstaben aus dem ersten Passwort. Andernfalls verwenden Sie, wenn es sich um einen Konsonanten handelt, den entsprechenden Buchstaben aus dem zweiten Kennwort.

ZB. Angenommen, Ihre Passwörter lauten (von apg) hicIrfyic9 und FritwoivAuv0.Für die Site stackexchange sind die ersten beiden Buchstaben ein Konsonant, sodass Sie das "Fr" aus dem zweiten Passwort verwenden. Als nächstes kommt ein Vokal, also verwenden Sie "c" aus dem ersten Passwort. Machen Sie weiter und Sie erhalten "FrctwfivA9".

Wenn Sie wirklich besorgt sind, dass jemand mehrere Ihrer Passwörter findet und das Muster herausfindet, können Sie eine Methode hinzufügen, um jedes der Passwörter zuerst kreisförmig zu drehen, oder so. oder verschieben Sie sie durch das Alphabet oder was auch immer, aber es ist leicht möglich, zu paranoid und verwirrt zu werden ...

Sie können dies auf Ihren normalen Computern bequem codieren, wenn Sie dazu aufgefordert werden Sie für die zugrunde liegenden Passwörter, können sie aber trotzdem langsamer aus dem Speicher an Kiosken verwenden. Ich bin nicht davon überzeugt, dass diese allgemeine Idee den Aufwand wert ist, aber vielleicht unter bestimmten Umständen.

Eine gute Sache bei dieser Methode ist, dass sie völlig zufällig aussieht. Wenn Sie also nicht von jemandem als spezifisches Ziel ausgewählt wurden, ist es sehr unwahrscheinlich, dass sie geknackt wird.
(Zwei Geheimnisse, durch Vokal / Konsonanten vertauscht) A) Nicht sehr auslaufsicher.Wenn eine Site das Passwort verliert, wird durchschnittlich etwa die Hälfte Ihres Geheimnisses enthüllt.Nach ein paar Lecks kann das verbleibende Geheimnis so klein sein, dass ein Angreifer eine brutale Gewalt an noch nicht durchgesickerten Stellen versuchen könnte.B) Durch Drehen des Site-Namens vor oder des Kennworts nach wird der Schutz für den Fall eines Lecks erhöht.Nach einem "zweiten" Leck ist das Ausmaß der Rotation bekannt und die Halbwertszeit Ihres Geheimnisses ist dieselbe wie ohne Rotation.
#2
+11
Rory Alsop
2010-12-20 01:03:50 UTC
view on stackexchange narkive permalink

Ich habe eine zweiseitige Antwort darauf -

Sie können dies tun, und eine häufig angegebene Methode umfasst einen auf der Website basierenden Abschnitt und einen auf der Zeit basierenden Abschnitt. Sie können ein Passwort wie blahblahebay2010 erstellen, das wahrscheinlich wiederhergestellt werden kann, wenn Sie in ein paar Jahren darüber nachdenken. Tut was Sie wollen.

Allerdings würde ich es nicht empfehlen - Sie sollten kein System verwenden, das bedeutet, dass Ihr Passwort ausgearbeitet werden kann. Okay, Sie sind vielleicht kein großes Ziel - aber vielleicht möchte jemand Ihre Passwörter brechen ... Wenn Sie also einen Algorithmus basierend auf der Website verwenden, verringern Sie die Stärke des Passworts drastisch. Verwenden Sie stattdessen Password Safe, um alle Ihre Passwörter zu speichern (die sehr lang, komplex, unvergesslich usw. sein können), und merken Sie sich nur das eine sichere Passwort, um sie zu schützen.

Normale Passwortgeneratoren verwenden auch einen Algorithmus, um das Passwort zu generieren. Kann eine solche Generierungsmethode nicht durch die Aufnahme eines Geheim- / Master-Passworts, das der Generierung zugrunde liegt, sicherer gemacht werden? Ich denke nicht, dass Master-Passwort + ortsspezifisches + Jahr genug ist, aber würde nicht eine Art Hash-Funktion für die Kombination der drei funktionieren?
@Mnementh Es geht mehr um die Komplexität, die Sie in Ihrem Kopf erreichen können, um sich ein oder zwei Jahre später daran zu erinnern. Sie konnten einfach nichts annähernd so Komplexes wie die Tools zur Passwortgenerierung verwenden. Mit Tools wie Password Safe ist es nur sehr sinnvoll, das Risiko zu vermeiden, dass Sie sich Ihr Passwort nie merken und in den kommenden Jahren den Zugriff verlieren.
Deshalb bitte ich um eine Methode, um das Passwort zu reproduzieren. Ich kann das Passwort vergessen, habe aber eine Methode, um es zurückzubekommen. :-)
#3
+11
Thomas Pornin
2013-02-03 02:19:01 UTC
view on stackexchange narkive permalink

Wenn Sie nur unterschiedliche Kennwörter für die verschiedenen Sites möchten, hängen Sie den Site-Namen einfach an ein gemeinsames "Basis" -Kennwort an. Z.B. Sie erinnern sich an die Basis "7g93hrew9" und dann lauten Ihre Passwörter 7g93hrew9ebay, 7g93hrew9amazon, ...

Natürlich ist dies nicht zufriedenstellend. Dieses Beispiel soll zeigen, was Sie tatsächlich wollen: Sie wollen keine "anderen" Passwörter, Sie wollen Passwörter, so dass das Wissen über mehrere von ihnen nicht das Erraten des Passworts für eine andere Site ermöglicht. Kryptografisch möchten Sie, dass Ihr Passwortgenerator eine Pseudozufallsfunktion ist, die den Site-Namen als Eingabe verwendet und das Site-spezifische Passwort ausgibt.

Es gibt einige empirische Beweise dafür Es ist nicht möglich, eine PRF zu erstellen, die ein Mensch (vernünftigerweise) in seinem Kopf berechnen kann. Wenn Sie sich kryptografische Hash-Funktionen ansehen, sind die sehr schnellen (MD4, MD5 ...) defekt, die weniger schnellen (SHA-1) etwas geschwächt und die starken (SHA-256) sind langsamer. Wenn Sie sich die Anzahl der Elementaroperationen ansehen, sehen Sie eine Art Cut-Off um 1000 Ops für das Hashing eines kleinen Blocks. Ein ähnlicher Cutoff wird beim SHA-3-Wettbewerb beobachtet. Es sieht so aus, als müsste ein Mindestmaß an Arbeit ausgeführt werden, um Sicherheit zu erreichen, und dieser Betrag beträgt mindestens einige Hundert Operationen, was für ein durchschnittliches menschliches Gehirn zu viel ist.

Daher fürchte ich dass es keine gute Antwort auf Ihre Frage gibt.

#4
+9
Yaur
2011-05-23 08:11:49 UTC
view on stackexchange narkive permalink

Verwenden Sie eine tabula recta, die einen einfachen Algorithmus kombiniert, der nur Wissen mit einem physischen Token verwendet, bei dem nur Sie Kennwörter so lange erstellen müssen, wie Sie möchten.

#5
+2
Chris Allen Lane
2011-05-22 23:56:47 UTC
view on stackexchange narkive permalink

Aus der Sicht der "Wetware" ist hier ein interessantes Buch, das Sie vielleicht gerne lesen:

Das Erinnerungsbuch

Es ist eines der klassischen Bücher auf Gedächtnistraining. Ich habe es jetzt ein paar Mal gelesen und finde die Techniken sehr effektiv. Es liegt auf der Hand, dass Sie, wenn Sie Ihr Gedächtnis auf ein ausreichendes Niveau trainieren können, problemlos beliebige Passwörter verwenden können. (Dies scheint zumindest für mich zu funktionieren.)

Das Buch enthält ein Kapitel über das Auswendiglernen zufälliger Zeichenfolgen (oder zumindest die Version in meinem Regal), daher könnte es sehr hilfreich sein

Auch persönlich finde ich das phonetische NATO-Alphabet hilfreich. Aus irgendeinem Grund fällt mir "Alpha" leichter ein als "A" (zum Beispiel).

Ich hoffe, das ist hilfreich.

#6
+2
john
2011-05-23 00:08:54 UTC
view on stackexchange narkive permalink

Warum einen Algorithmus ausführen, um ortsspezifische Kennwörter in Ihrem Kopf abzuleiten, oder sich alle Kennwörter merken, wenn Sie dazu ein einfaches Javascript verwenden können?

Dies ist kein Thema, wenn Sie dies wirklich möchten Berechnen Sie Dinge in Ihrem Kopf, aber ich werde es trotzdem vorschlagen:

Für meine Passwörter verwende ich ein benutzerdefiniertes Javascript, das dem hier verfügbaren ähnlich ist: http://www.supergenpass.com

Die allgemeine Idee ist, dass Sie eine Webseite mit einem Skript erstellen oder die mobile Version der obigen Seite verwenden - nicht das Lesezeichen (siehe Diskussion unten).

Das Skript würde Akzeptieren Sie zwei Parameter: ein Hauptkennwort und die URL einer Website (im Fall des Bookrmarklets wird die URL automatisch abgerufen).

Anschließend werden einige Krypto-Berechnungen basierend auf diesen Parametern durchgeführt (im Wesentlichen erstellt und Hash, zB base64-md5 über die Verknüpfung des Hauptkennworts und der URL und dies 10-mal oder so oft Sie möchten) und gibt ein ortsspezifisches, langes Passwort mit hoher Entropie aus, das Sie kopieren und in yo einfügen Ihr Formularfeld.

Sie müssen es nicht einmal sehen oder sich Ihre Passwörter merken, und sie werden nirgendwo wie in einem Passwort-Safe gespeichert, sondern werden rechtzeitig generiert. Sie erinnern sich nur an Ihr Master-Passwort und sind fertig.

Ich weiß nicht einmal, welches Passwort ich für jede Site verwende, und damit bin ich ziemlich zufrieden.

Beachten Sie diese Diskussion darüber, wie viel Sicherheit Sie tatsächlich von Supergenpass erhalten: http://akibjorklund.com/2009/supergenpass-is-not-that-secure
Ich kenne die Seite, die Sie erwähnen, aber hey, ich habe nicht gesagt, dass ich Supergenpass verwende, ich verwende meine eigene Version, normalerweise ohne Lesezeichen. Das theoretische Risiko ist jedoch sehr gering: Man muss gezielt auf Supergenpass abzielen, um etwas zu sammeln, und Noscript mildert die meisten theoretischen Angriffe ab, da Lesezeichen-Code vertrauenswürdig ist.
@john, Ich verstehe nicht, warum Ihre Version grundlegend besser wäre; Es scheint, als wäre es immer noch anfällig für dieselben Angriffe. Klingt so, als ob Sie sich durch Dunkelheit auf Sicherheit verlassen. Vielleicht werden Sie nicht angegriffen, weil sich niemand um Sie kümmert. Vielleicht ist dies für Ihren eigenen Gebrauch vollkommen in Ordnung - aber ich würde es anderen nicht als großartige Lösung empfehlen.
@D.W. Ja, ich stimme zu, dass es Sicherheit durch Dunkelheit ist, wenn Sie Lesezeichen verwenden. Deshalb verwende ich sie nicht. Der Punkt meiner Antwort war, dass Sie etwas Kluges tun können, ohne sich auf das Speichern von Passwörtern oder Schemata verlassen zu müssen, sondern nur die Zeit zu berechnen. Ich werde die Antwort bearbeiten, um Verweise auf Lesezeichen zu entfernen.
@D.W. Ich habe die Antwort bearbeitet und hoffe, es ist jetzt besser. Ich glaube immer noch, dass es eine großartige Lösung für das alltägliche Problem der Passwortverwendung ist, wenn Sie das Passwort auf einer separaten Seite erstellen und kopieren und einfügen.
Es wird gesagt, dass eine Chrome-Supergenpass-Erweiterung das von akibjorlklund festgestellte Problem behebt. Ich sehe drei Chrome-Erweiterungen dafür. Nicht klar, welches am besten ist und wie sicher diejenigen sind, die das Hauptkennwort während der Sitzung speichern. Vorschläge?
#7
+1
sdanelson
2010-12-20 02:00:38 UTC
view on stackexchange narkive permalink

Ich empfehle nicht, so etwas zu tun, aber für Tritte und Kichern ist hier eine Methode.

Passwort = Verketten ((C - Länge (y) - Länge (x)), PascalCase (x ), wiederhole (".", (Länge (y)% 2) +1))

Wobei:

C = Zahlenkonstante> 3 Stellen
y = signifikant Text der URL für die Site
x = Wort, das Sie mit der Site verknüpfen

Beispiel:

C = 1234
y = security.stackexchange
x = Dunkelheit

Passwort = Verketten ((1234 - 22 - 9), "Dunkelheit", ".")

Passwort = 1203 Sicherheit.

Offensichtliche Schwäche ist das Sie müssen sich an ein Wort erinnern, das Sie mit der Site verknüpfen würden. Und bevor jemand in meinem Beispiel dazu Stellung nimmt, sage ich nicht, dass security.se dunkel ist. Ich weise darauf hin, dass Dunkelheit! = Sicherheit. Und nein, ich verwende dies nicht für meine Passwörter.

#8
+1
David Andersson
2016-08-23 06:55:36 UTC
view on stackexchange narkive permalink

2014 stellte Manuel Blum einen Algorithmus vor, der im Kopf berechnet werden kann und zum Generieren von Passwörtern geeignet ist. http://scilogs.spektrum.de/hlf/mental-cryptography-and-good-passwords ( Mentale Kryptografie und gute Passwörter )

Beschreibung: Ihr Geheimnis ist eine Zuordnung von Buchstaben zu Ziffern und eine Zuordnung von Ziffern zu Ziffern. Es ist wichtig, dass sie ziemlich "zufällig" sind. Es ist eine anfängliche Anstrengung erforderlich, um diese Zuordnungen auswendig zu lernen. Das Generieren eines Kennworts erfordert jedoch nur Modulo 10-Arithmetik.

Auszug:

Nennen Sie Ihre Zuordnung von Buchstaben zu Ziffern f. Sie könnten beispielsweise f (a) = 8, f (b) = 3, f (c) = 7 usw. haben. Da es mehr Buchstaben als Ziffern gibt, werden einige Buchstaben derselben Ziffer zugeordnet.

Sei g die Funktion, die jede Ziffer an die nächste in Ihrer Permutation sendet. Wenn Ihre Permutation also 0298736514 war, dann ist g (0) = 2, g (2) = 9, g (9) = 8 usw.

Hier erfahren Sie, wie Sie die Methode zum Generieren von Kennwörtern verwenden.

  1. Konvertieren Sie den Namen Ihres Kontos in eine Folge von n Buchstaben.

  2. Verwandeln Sie diese Buchstabenfolge mit in eine Folge von Ziffern Ihre Karte f. Nennen Sie diese Ziffernfolge a0a1a2… an.

  3. Berechnen Sie b1, die erste Ziffer Ihres Passworts, indem Sie a1 und an hinzufügen, die letzte Ziffer nehmen und die Permutation g anwenden. In Symbolen ist b1 = g ((a1 + an) mod 10).

  4. Berechnen Sie die nachfolgenden Ziffern mit bj = g ((bj-1 + aj) mod 10).

  5. ol>

Siehe Kommentar von Gnurf auf der verlinkten Seite für einige Nachteile dieser Methode und der meisten anderen Methoden.

#9
+1
Zaakiy Siddiqui
2016-08-23 07:51:39 UTC
view on stackexchange narkive permalink

Hier gibt es einige gute Antworten, aber wenn Sie sich einen Algorithmus vorstellen können, der dies in Ihrem Kopf tut, besteht die Möglichkeit, dass der Algorithmus bereits Teil bestehender Exploit-Toolsets ist. :-)

#10
  0
KnightOfNi
2014-02-28 03:42:08 UTC
view on stackexchange narkive permalink

Sie können ein schwaches Kennwort verwenden, das mit der Site-URL als PSK verschlüsselt ist. Sie könnten die Verschlüsselung leicht duplizieren, aber jeder Angreifer würde es sehr schwer haben, Ihr Passwort zu erhalten, da er zuerst knacken müsste, jedoch der Login Ihr Passwort verschlüsselt und dann die PSK der Verschlüsselung, die er nach dem Entschlüsseln erhalten würde, brutal erzwingen würde. Es würde unglaublich lange dauern.

#11
  0
Thanatos The Hellfire Dawn
2016-08-15 12:37:08 UTC
view on stackexchange narkive permalink

Dies kann in Ihrem Kopf etwas schwierig sein, wenn Sie nicht daran gewöhnt sind, Diagrammwerte zu speichern, sondern für den in Binär konvertierten Intentnamen der Site festgelegt werden können. Summieren Sie dann jedes Beispiel "1". Site: facebookBin: 01100110 01100001 01100011 01100101 01100010 01101111 01101111 01101011 Summe: 43442665Der Trick ist das, was danach kommt, wie das Austauschen von Paaren mit Gesang usw., fac4b66k, oder wenn Sie Hex gut kennen, konvertieren Sie einfach jeden Buchstaben in Hex (66 61 63 65 62 6f 6f 6b) und verwenden Sie ihn mit einigen saltyou muss nicht alles konvertieren, nur einen Teil, der als Swap oder Basis von einem Pass verwendet werden soll

A) Der erste Schritt, das Zählen von Bits, würde dazu führen, dass Buchstaben einer Ziffer zwischen 3 und 6 zugeordnet werden. Nur vier verschiedene Werte.Und die meisten Buchstaben, etwa 2/3 davon, würden einem von nur zwei Werten (4 und 5) zugeordnet.Es ist nicht mehr viel Zufälligkeit übrig.Leicht brutal gezwungen.B) Das Hinzufügen eines Salzes, wenn es klar ist oder ständig verstümmelt wird, hilft nicht, wenn eine Site Ihr Passwort durchgesickert ist.Ein Angreifer kann dann Ihre Passwörter auf allen anderen Websites leicht erraten.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...