Das Teilen von Passwörtern funktioniert, bis eine Site kompromittiert wird oder bis Sie erfolgreich phishing sind. Zu diesem Zeitpunkt sind Sie in Schwierigkeiten.
Der Angreifer kennt jetzt Ihren Benutzernamen, den Sie wahrscheinlich auch auf einer anderen Site verwenden werden und (ein gesalzener Hash von? Hoffentlich!?). ) Ihr Passwort. Mit etwas Glück schaffen sie es, das tatsächliche Passwort aus dem Hash herauszufinden. Jetzt sind Sie wirklich in Schwierigkeiten, da dasselbe Passwort auf vielen Websites funktioniert. Selbst wenn es ihnen nicht gelingt, eine andere Site zu finden, auf der Sie sie verwendet haben, wird das Kennwort in das Wörterbuch der bekannten Kennwörter aufgenommen. Wenn nichts anderes, wird die Brute-Force-Suche beim nächsten Mal etwas weniger Brute-Force-Suche durchführen.
Wenn Sie erfolgreich phishing-fähig sind, haben Sie nicht ein Konto auf dem Spiel, sondern viele.
Das Schreiben von Passwörtern auf Papier ist schlecht (obwohl ich zugeben muss, dass ich das seit einigen Jahrzehnten mache). Das Auswendiglernen ist sicherer, funktioniert aber nicht so gut. Ich vergesse sogar regelmäßig die 4-stellige PIN auf meiner Bankkarte, weil ich sie nur einmal pro Jahr brauche. Stellen Sie fest, wie gut Sie sich an eine relativ zufällige Zeichenfolge mit 12 Zeichen erinnern können.
Solange ein Computer beteiligt ist, kostet es Sie nichts, die Dinge richtig zu machen. Zum Beispiel generiert KeePass zusammen mit der Kee-Web-Erweiterung (funktioniert in mehreren hochkarätigen Browsern) ausreichend sichere Passwörter für jede einzelne Site - und merkt sich diese. Und innerhalb eines Browsers ist diese Kombination ein "Just Works" -Setup. Mach dir nie wieder Sorgen, verschwende nie wieder Gedanken über dieses Problem. Es funktioniert auch für andere (Nicht-Browser-) Programme, nur etwas weniger komfortabel (Kopieren, Einfügen, kein automatisches Ausfüllen).
Die generierten Passwörter sind von viel besserer Qualität als jedes Passwort, das Sie selbst generieren oder an das Sie sich möglicherweise erfolgreich erinnern. Dies löst nicht nur das Problem der Freigabe, sondern macht es auch unmöglich, Ihr Passwort brutal zu erzwingen. Es sei denn natürlich, der CIO eines bestimmten Standorts ist ein kompletter Idiot, wie dies z. das Portal meiner Krankenversicherung (Axa). Während sie aus Gründen der zusätzlichen Sicherheit auf einer postalischen Identifizierung bestehen, lehnen sie ein zufälliges 256-Bit-Zufallskennwort ab, bestehen auf albernen Regeln und haben einen Parser, der immer noch einige Kennwörter ablehnt, die ihren dummen Regeln entsprechen. Sie haben also erraten, dass 50% der Benutzer Fuckyou! 1
wählen. Was, wie Sie richtig erraten haben, ihren dummen Regeln entspricht.
Aber leider gibt es Dinge, die Sie nicht ändern können. Sie sollten sich jedoch an den isseus wenden, den Sie ändern können.