Strategien zum Teilen von Passwörtern für mehrere Benutzer, z. B. Ehemann und Ehefrau?

Strategien zum Teilen von Passwörtern für mehrere Benutzer, z. B. Ehemann und Ehefrau?

Meine Frau und ich verwenden für viele Webseiten, beispielsweise für Musik, Videos und Dienstprogramme, dieselben Konten. Wir möchten unser System verbessern, damit wir uns beide mit denselben Konten anmelden können. Unsere Ziele:

  1. Universeller Zugriff zum Festlegen und Hinzufügen von Passwörtern.
    • Wir verwenden viele Computer und benötigen von mehreren Standorten aus Zugriff.
  2. Kein Softwareverwaltungstool oder -dienst. (z. B. RoboForm).
    • Wir möchten nicht alles auf eine Karte setzen, da es anfällig für Hackerangriffe ist.
    • Wir möchten Zugriff ohne Installation von Software, wenn wir Gast an einem anderen Computer sind.
  3. Ziemlich einfach zu verwenden, ohne dass man sich viele Geheimnisse merken muss.
    • Wir können uns ein paar Zahlen oder eine Liste mit etwa 10 Wörtern merken.

Beispiele, die wir übertreffen möchten:

  1. Auf einem Webserver gehostete reine Textdatei.
    • Offensichtlich ein zu großes Sicherheitsrisiko.
  2. Einfache Textdatei, die hinter einer Login-basierten Kollaborationssite gehostet wird, z. B. einem privaten Wiki.
    • Es wird besser, private Wikis lassen sich leicht aktualisieren. Aber sie sind immer noch zu anfällig, da alle Passwörter im Klartext vorliegen.
  3. Auf einer Kollaborationssite gehostete, verschleierte Textdatei.
    • Ok, jetzt kommen wir ins Gespräch, aber wie können wir es verschleiern?
      1. Merken Sie sich ein 3-stelliges Passwortpräfix und schreiben Sie nur die eindeutigen Teile danach auf.
        – Wenn jemand ein Passwort kennt und die Liste findet, ist der Rest offensichtlich.
      2. Du hast hier eine bessere Vorstellung.

Antwort1

Ich weiß nicht, ob Sie darauf verzichten können, Software zu installieren, wenn Sie auf Nummer sicher gehen wollen.

Ich persönlich verwende Dropbox + Keepass. Keepass verschlüsselt meine Benutzernamen-/Passwortkombinationen und Dropbox synchronisiert diese Änderungen auf allen meinen Computern. Ich kann sogar unterwegs auf meinem (Android-)Telefon darauf zugreifen. Ich denke wirklich, dass das der beste Kompromiss von allen ist – denn selbst wenn jemand eine Kopie dieser Datei erhalten würde, vertraue ich Keepass genug, sodass der Bösewicht nicht (zumindest nicht leicht) darauf zugreifen könnte.

Wenn Sie WIRKLICH paranoid sind, können Sie encFS verwenden, um Ihrem Cloud-Laufwerk eine Verschlüsselungsebene hinzuzufügen (Windows -http://members.ferrara.linux.it/freddy77/encfs.html). Dies könnte jedoch kompliziert werden, wenn Sie unterwegs auf Ihre Anmeldeinformationen zugreifen möchten.

Ich bin gegen „Passworthinweise“, einfach weil ich meine Passwörter nach dem Zufallsprinzip generiere (normalerweise [eine bestimmte Anzahl] Zeichen, die eine Kombination enthalten, die ich mir leicht merken kann). Für manche Dinge verwende ich seit Jahren dasselbe Passwort. Aber diese Dienste bieten normalerweise OTP-Passwortunterstützung (wie Gmail). Das ist manchmal nervig, aber Sie wären ein Narr, wenn Sie die damit verbundene Sicherheit nicht nutzen würden.

Wenn Sie wirklich gegen die Verwendung von Software sind, würde ich Ihnen empfehlen, die Site selbst zu hosten und dabei eine SSL-basierte Basisauthentifizierung zu verwenden. Vorausgesetzt, die Datei ist im Klartext – ich würde NIEMANDEM meine Anmeldeinformationen auf einem öffentlich zugänglichen System anvertrauen. (Ich würde mir selbst nicht einmal die besagte Klartextdatei anvertrauen.) Obwohl Ihre Basisauthentifizierung mit Brute Force geknackt werden könnte, bin ich sicher, dass Sie einige interessante Gegen-Hacking-Techniken anwenden könnten. Und SSL würde verhindern, dass irgendjemand in der Mitte Ihre Daten lesen kann. Ein selbst signiertes Zertifikatkönnteaus, aber Sie sollten besser sicherstellen, dass Sie der Internetverbindung vertrauen, mit der Sie verbunden sind.

Jetzt, wo ich darüber nachdenke – Sie könnten etwas noch Interessanteres tun (und ich wäre daran interessiert, einen Prototyp zusammenzustellen). Dieses System im Backend würde eine Textdatei verschlüsselt speichern. Wenn Sie es über Ihren Webbrowser aufrufen, werden Sie in einem Nachrichtenfeld nach dem „Passwort“ (oder einfacher gesagt dem Schlüssel) gefragt. Nach Eingabe dieses Schlüssels wird die Datei per AJAX angefordert und versucht, sie mit diesem Schlüssel zu entschlüsseln. Auf diese Weise – während sie „im Klartext“ gesendet wird – würde ein Typ in der Mitte nur die verschlüsselte Datei erhalten und sie würde sofort entschlüsselt. Dies sollte in jedem Browser (auch auf Mobilgeräten) funktionieren.

Antwort2

Wählen Sie einen Kontonamen, den Sie immer verwenden werden. Sie sind sich beide darüber einig.

Das Passwort ist wie folgt aufgebaut:

Wählen Sie für die ersten 8 Zeichen ein „Root“-Passwort. Drei Zeichen sind Kleinbuchstaben. Zwei Zeichen sind Großbuchstaben. Die restlichen Zeichen sind Zahlen und Symbole auf der Tastatur.

Diese 8 Zeichen werden immer im Passwort verwendet. Als nächstes entscheiden Sie, wo Sie drei weitere Zeichen einfügen. Entweder am Anfang oder am Ende der acht, die Sie sich ursprünglich ausgedacht haben. Sobald Sie wissen, ob sie ein Präfix oder ein Postfix sein sollen, müssen Sie entscheiden, was sie sind.

Dies hängt von der Website oder dem Dienst ab, mit dem Sie sich verbinden. Wenn Sie sich mit der Website von AT&T verbinden, fügen Sie Ihrem ursprünglichen 8-stelligen Passwort att oder ATT hinzu.

Auf diese Weise kennen Sie beide das Root-Passwort. Sie wissen, welche drei Zeichen hinzugefügt werden, die für das, was Sie mit einem Passwort schützen, spezifisch sind. Sie wissen, wo sie hinkommen. Und jedes Passwort, das Sie verwenden, ist anders, aber leicht zu merken.

Außerdem müssen Sie nie mehr sagen als: „Hey, ich habe heute ein LinkedIn-Konto erstellt.“ Sie müssen nie wieder ein Passwort aufschreiben, das Passwort weitergeben (weil Sie ein System haben, das das Passwort definiert) und Sie können eine Liste der Kontostandorte im Klartext aufbewahren.

Ich mache das seit 15 Jahren und hatte deswegen NIE einen Sicherheitsfehler. Wenn Sie besorgt sind, können Sie meine Anmeldeinformationen in meinem Profil überprüfen.

Sie können das System nach Bedarf ändern. Verwenden Sie immer eine 3 statt eines E (einfache Ersetzung). Schreiben Sie den ortsbezogenen Teil (das dreistellige Präfix/Postfix) immer rückwärts oder mit unterschiedlicher Groß- und Kleinschreibung.

Ich habe über 200 Konten, KEINE PASSWÖRTER AUFGESCHRIEBEN ODER IRGENDWO GESPEICHERT, und ich habe nie eines vergessen. Bildbeschreibung hier eingeben

verwandte Informationen