Mengubah kata sandi dasar untuk situs yang berbeda

Dengan sejumlah besar situs web yang memerlukan pendaftaran atau memberikan manfaat untuk mendaftar, tidak mungkin untuk menggunakan perangkat dan mengingat kata sandi unik untuk setiap akun yang kita miliki. Solusi yang mungkin adalah pengelola kata sandi. Namun, adakah cara untuk membuat kata sandi yang tidak harus diingat, tetapi sebaliknya dapat dengan mudah diambil sesuai kebutuhan, tanpa menggunakan program yang terpisah?

Arah pemikiran saya adalah sebagai berikut: perangkat kata sandi inti (dengan cadangan untuk situasi "tidak lebih dari 16 karakter"). Gunakan komponen situs web yang dipilih sebelumnya - misalnya, nama situs, mengambil kata sandi inti "kata sandi", dan menggunakan huruf "yahoo" untuk membentuk kata sandi yahoo, "ypasswordo". Tentu saja, ini tidak optimal, karena perubahan URL situs web, terutama situs web yang jarang digunakan, yang kebetulan persis seperti yang pada akhirnya saya kemungkinan akan berhenti mengunjungi dan lupa kata sandinya.

Adakah yang bisa saya gunakan dari situs web mana pun yang saya daftarkan sehingga saya yakin tidak akan berubah setelah beberapa saat, dan akan berbeda dari situs ke situs?

EDIT : Karena pertanyaan saya tampaknya tidak jelas, saya akan memberikan contoh. Bayangkan bahwa semua situs web yang pernah dibuat memiliki ID yang terkubur dalam kode sumbernya. Itu tidak harus unik, hanya perlu tidak akan pernah berubah dan hadir di semua, atau setidaknya sebagian besar. Seseorang dapat menjalankan algoritma sederhana pada ID itu dan menambahkan kata sandi inti untuk menghasilkan kata sandi untuk akun itu, yang bisa dengan mudah diperoleh 10 tahun kemudian hanya dengan mengetahui algoritme. Apakah ada bagian dari situs web yang tidak mungkin berubah, tidak sama di setiap situs web di luar sana (tumpang tindih adalah normal, asalkan tidak menyebabkan perputaran 5 kata sandi yang sama di semua akun)? Apakah ada cara untuk membuat dan kemudian mengambil kata sandi, tidak harus bergantung pada kode situs web sama sekali,

TL; DR : Sarankan metode yang, tanpa hafalan ekstra atau penggunaan program, dapat digunakan pada situs web acak apa pun untuk menghasilkan kata sandi yang digunakan dengan kepastian yang lengkap, atau setidaknya daftar hingga 10 kata sandi yang 100% benar. . Kata sandi yang dihasilkan tidak boleh sama di semua situs web dan harus minimal atau tidak ada risiko hilang, bahkan bertahun-tahun setelah pembuatan akun. Hasil akhirnya adalah kemampuan untuk mereproduksi kata sandi yang digunakan pada akun sekali pakai yang lama tidak aktif dari komputer mana pun, tanpa bergantung pada program yang diinstal atau pengelola kata sandi online atau membawa kata sandi. Kata sandi tidak harus gila aman, cukup unik.

passwords password-management password-generation

— Fadeway
sumber

Belajarlah untuk melakukan SHA di kepala Anda. Ini akan membuat ini jauh lebih mudah.

— Der Hochstapler

Saya tidak tahu bagaimana hash bekerja, tetapi saya harus mengingat elemen pengacak atau semua kata sandi akan berakhir dengan yang sama, jadi jangan pergi;)

— Fadeway

Jawaban:

Saya memiliki matriks kata sandi yang saya gunakan. Saya mencetaknya dan mengetuk bagian belakang kartu nama. Saya menggunakan matriks ini untuk menghasilkan kata sandi saya. Saya memiliki algoritma yang sangat baik yang saya gunakan berdasarkan sensitivitas data yang saya coba lindungi. Hanya saya yang tahu algoritma saya. Saya mungkin memiliki sesuatu yang sederhana seperti kata sandi akun SuperUser menjadi baris paling atas. Situs bank atau situs yang berurusan dengan uang mungkin merupakan paruh pertama kolom 1 dan paruh kedua kolom 2. Saya menggunakan matriks 8x8 sehingga saya dapat memenuhi kata sandi panjang minimum khas. Di situs yang mengharuskan saya untuk mengubah kata sandi setiap 2 minggu dengan batasan kata sandi yang dihafal 5-8, saya akan menggunakan matriks saya dan kemudian karakter khusus dari Shift 1 ke Shift 0. Di bawah ini adalah contoh yang mengerikan untuk matriks saya dan sepenuhnya acak. Saya mengalami kesulitan dan harus merujuk kembali ke itu untuk bulan pertama, tetapi setelah satu atau dua bulan, saya menghafal seluruh matriks dan sekarang tidak menggunakannya lagi. Namun, jika seseorang pernah mencuri dompet saya, itu tidak ada gunanya karena mereka tidak tahu algoritma saya digunakan untuk menghasilkan kata sandi. Dalambagian petunjuk dari situs web / program jika berlaku, saya akan meletakkan nama algoritma saya di sana; bank khusus, kompleks 1, kompleks 2, kompleks terbalik, dll.

masukkan deskripsi gambar di sini

Situs web ini akan menghasilkan matriks kata sandi untuk Anda jika Anda tidak ingin repot membuat sendiri.

— kobaltz
sumber

Dan apa yang Anda gunakan untuk mencari tahu algoritma mana yang telah Anda gunakan? Katakanlah, Anda memiliki bentuk paling sederhana, menggunakan satu baris. Bagaimana Anda tahu baris mana yang Anda gunakan untuk situs web itu? Kombinasi ini terbatas dan dapat habis dengan jumlah tebakan yang masuk akal jika Anda tahu metode mana yang Anda gunakan, tetapi saya rasa Anda tidak menggunakan itu setiap kali Anda mengunjungi kembali akun yang tidak aktif? Dan apa yang Anda lakukan jika situs web tidak memiliki bagian petunjuk (saya tidak ingat kapan terakhir kali saya melihat bidang seperti itu sebenarnya, dan saya mungkin tidak akan pernah melihatnya di reg membuang), untuk tentukan algoritma mana yang awalnya digunakan?

— Fadeway

Saya punya 10 algoritma. Berdasarkan sensitivitas data yang saya coba lindungi di situs web, saya akan menggunakan algoritma berdasarkan tingkat keamanan itu. Situs yang hanya memerlukan nama depan, nama belakang, dan email saya mendapat peringkat 1 yang tidak aman. Akun email adalah otomatis 5. Situs web bank adalah 10. Akun World of Warcraft adalah 8. Akun Facebook adalah 9.

— kobaltz

Saya pikir saya akan menggunakan ini jika tidak ada yang muncul. Ini adalah sistem yang membantu mengingat lusinan kata sandi dengan upaya minimal dan juga memperkirakan yang mana dari mereka yang paling mungkin telah digunakan, jadi sedikit cacat (banyak mencoba ulang pada akun lama, tetapi 100% kepastian untuk menemukannya pada akhirnya), tetapi banyak lebih baik daripada 10 kata sandi yang saya hafal saat ini :)

— Fadeway

Ini jelas bukan untuk semua orang, tetapi itu bekerja untuk saya.

— kobaltz

Saya mengerti pertanyaan Anda karena saya menambahkan awalan ke alamat email saya untuk melacak spam, misalnya saya masuk ke Amazon dengan di handle+amazon@gmail.commana handlenama pengguna email saya. Pertanyaan Anda agak mengarah ke arah yang sama.

Jika Anda ingin melanjutkan dengan ide Anda, gunakan kata sandi master yang cukup kuat seperti F_D_W_Y#00dan cukup tambahkan nama layanan dalam bentuk yang disederhanakan sebagai awalan. Itu membutuhkan menghafal formulir yang disederhanakan, seperti -yahooatau -google. Saya percaya sistem ini akan mengecewakan Anda hanya pada penggunaan yang sangat tinggi.

Namun, jika saya jadi Anda, saya lebih suka menggunakan sesuatu seperti 1Password untuk tetap di atas permainan kata sandi. Ini menghasilkan kata sandi acak dengan kekuatan yang jauh lebih baik daripada apa yang akan Anda dapatkan dari mencampur informasi situs web (kecuali jika Anda mencampur informasi alfanumerik dengan informasi diakritik, dalam hal ini kata sandi Yahoo Anda lebih suka terlihat y!pwd#2012, misalnya).

Proyek Anda terdengar lebih berisiko daripada menggunakan kata sandi master dan basis data kata sandi. Peramban seperti Google Chrome memiliki kekurangan dalam sistem penyimpanan kata sandi mereka yang juga akan membenarkan menggunakan database terpisah yang dapat dicadangkan dengan aman. Dan tentu saja, semua sistem memori juga bisa salah.

— Fr.
sumber

Tujuannya adalah untuk menghindari manajer lulus, sebagaimana dinyatakan dalam pertanyaan. Ini adalah sistem yang harus dapat digunakan dengan setiap, atau sebagian besar, situs web. Menggunakan nama layanan bukanlah suatu pilihan, karena saya secara pribadi menggunakan setidaknya satu situs web yang relatif besar (1 juta pengguna) yang telah mengubah namanya dalam 5 tahun terakhir, sesuatu yang secara signifikan lebih mudah dilakukan dengan komunitas yang lebih kecil. Kompleksitas kata sandi dapat menimbulkan masalah (Apakah mendukung simbol?), Dan seperti yang dikatakan xkcd kepada kami, panjang truf tidak dapat dibaca. Akun yang benar-benar penting yang dapat diserang non-bruteforce cukup langka untuk diingat secara terpisah.

— Fadeway

Berapa banyak layanan Anda yang berganti nama dalam lima tahun? Jika hanya segelintir, ubah kata sandi Anda saat Anda melihat perubahan nama. Ini adalah praktik yang baik untuk mengeluarkan kata sandi Anda sekuat apa pun. Sedangkan untuk panjang, Anda tidak dapat mencapai kekuatan kata sandi yang tinggi di bawah batas tertentu. Perhatikan bahwa hanya perlu beberapa detik untuk mengetikkan huruf besar dan garis bawah pada keyboard QWERTY.

— Fr.

5-8 tahun yang lalu, saya mencoba lebih dari seratus (secara harfiah) game online. Ini membuat saya memiliki banyak akun sekali pakai yang tidak saya sadari. Jika salah satu dari game itu berganti nama, atau jika reg adalah terikat dengan penerbit dan game mengubah penerbit, saya tidak akan pernah belajar atau peduli tentang itu. Saya akan selalu kehilangan akun. Saya mungkin tidak akan memulai permainan seperti itu lagi, tetapi dengan setiap situs web menuntut pendaftaran, akun pasti dibuat dan dilupakan, kadang-kadang dalam satu minggu. Tidak layak mempertahankan akun tersebut.

— Fadeway

Baiklah, sekarang saya mengerti masalah Anda. Anda tidak berurusan dengan lebih dari jumlah layanan yang biasa. Saya tidak melihat bagaimana Anda akan mengelola lebih dari memori yang terlibat jika Anda menginginkan sistem yang aman. Daftar nama dan URL teks biasa sudah cukup.

— Fr.

Itu tidak harus gila aman, sebagian besar serangan adalah bruteforce atau kamus sederhana, yang menggunakan kata sandi unik dan panjang memberikan kekebalan. Untuk beberapa layanan yang sangat penting, kata sandi dapat diingat, meskipun jarang adalah serangan dengan jumlah ketelitian yang terfokus pada satu akun, bahkan pada mereka. Membawa daftar kata sandi tidak praktis, terutama untuk setiap akun yang pernah dibuat.

— Fadeway

Saya menggunakan kata sandi dasar dan bagian dari situs tempat saya masuk. Sebagai contoh:

Situs web: amazon.com Kata sandi dasar: Turtle992% ^ Kata sandi untuk Amazon: AmaTurtle992% ^

Metode ini membuat kata sandi untuk setiap situs unik dan mudah diingat. Tidak diperlukan perangkat lunak.

Beberapa masalah dengan metode ini adalah bahwa jika seseorang mengetahui kata sandi dasar, maka kata sandi untuk banyak situs akan terungkap (sama seperti jika Anda menggunakan kata sandi yang sama untuk semuanya.) Dan beberapa situs web masih tidak mengizinkan tanda baca atau khusus karakter sebagai bagian dari kata sandi (bank, saya melihat Anda) sehingga Anda harus ingat situs mana yang tidak mengizinkan tanda baca.

— Melikoth
sumber

Setelah melihat komentar Anda yang lain, sepertinya ini tidak akan menjadi pilihan yang sangat baik karena sebagian kata sandi didasarkan pada url.

— Melikoth