Minha esposa e eu usamos as mesmas contas em muitas páginas da web, como música, vídeo e utilitários. Queremos melhorar nosso sistema para que ambos possamos fazer login nas mesmas contas. Nossos objetivos:
- Acesso onipresente para determinar e adicionar senhas.
- Usamos muitos computadores e precisamos de acesso de vários locais.
- Nenhuma ferramenta ou serviço de gerenciamento de software. (por exemplo, RoboForm).
- Não pretendemos colocar todos os nossos ovos na mesma cesta, vulneráveis a hackers.
- Queremos acesso sem instalação de software se formos convidados em outro computador.
- Bastante fácil de usar sem memorizar muitos segredos.
- Podemos memorizar alguns números ou uma lista de cerca de 10 palavras.
Exemplos que queremos superar:
- Arquivo de texto simples hospedado em um servidor web.
- Obviamente, é um risco de segurança muito grande.
- Arquivo de texto simples hospedado em um site de colaboração baseado em login, por exemplo, um wiki privado.
- Cada vez melhor, o wiki privado torna mais fácil atualizá-lo. Mas ainda é muito vulnerável, pois todas as senhas são em texto simples.
- Arquivo de texto ofuscado hospedado no site de colaboração.
- Ok, agora estamos conversando, mas como ofuscar isso?
- Memorize um prefixo de senha de 3 caracteres, anote apenas os bits exclusivos depois disso.
- Se alguém conhece uma senha e encontra a lista, o resto é óbvio. - É melhor você ter uma ideia aqui.
- Memorize um prefixo de senha de 3 caracteres, anote apenas os bits exclusivos depois disso.
- Ok, agora estamos conversando, mas como ofuscar isso?
Responder1
Não sei se você conseguirá evitar a instalação de software se quiser estar seguro.
Pessoalmente, eu uso Dropbox + keepass. Keepass criptografa minhas combinações de nome de usuário/senha e o dropbox sincroniza essas alterações em todos os meus computadores. Posso até acessá-lo no meu telefone (Android) quando estiver em trânsito. Eu realmente acho que é a melhor troca de todos os mundos - porque mesmo que alguém conseguisse uma cópia desse arquivo - eu confio no Keepass o suficiente para que o bandido não consiga entrar nele (pelo menos facilmente).
Se você é REALMENTE paranóico, pode usar o encFS para adicionar uma camada de criptografia à sua unidade na nuvem (Windows -http://members.ferrara.linux.it/freddy77/encfs.html). No entanto, isso pode ficar complicado se você quiser acessar suas credenciais em trânsito.
Eu seria contra "dicas de senha" simplesmente porque pessoalmente eu gero minhas senhas aleatoriamente (geralmente [algum número de] caracteres contendo alguma combinação que considero fácil de lembrar). Para algumas coisas, uso a mesma senha há anos. Mas esses serviços geralmente fornecem suporte a senha OTP (como o Gmail). O que às vezes é chato, mas você seria um tolo se não aproveitasse a segurança que ele oferece.
Se você realmente é contra o uso de software, eu recomendaria hospedar você mesmo com um site habilitado para SSL com autenticação básica. Supondo que o arquivo esteja em texto simples - eu não confiaria em NINGUÉM minhas credenciais em um sistema acessível publicamente. (Eu nem confiaria em mim mesmo com o referido arquivo de texto simples.) Embora sua autenticação básica possa ser forçada de forma bruta - tenho certeza que você poderia usar algumas técnicas interessantes de contra-hacking. E o SSL impediria que alguém intermediário pudesse ler seus dados. Um certificado autoassinadopoderiaé suficiente, mas é melhor você confiar na conexão de Internet à qual está conectado.
Agora que estou pensando nisso, você poderia fazer algo ainda mais interessante (e seria interessante montar um protótipo). Este sistema no backend armazenaria um arquivo de texto criptografado. Quando você acessa seu navegador da web, ele solicita uma caixa de mensagem para a "senha" (ou mais simplesmente a chave). Ao fornecer esta chave ele solicitará via AJAX o arquivo e tentará descriptografá-lo usando a referida chave. Dessa forma - enquanto ele é enviado "de forma clara", um intermediário obteria apenas o arquivo criptografado e ele seria descriptografado na hora. Isso deve funcionar em qualquer navegador (incluindo celular).
Responder2
Selecione um nome de conta que você sempre usará. Vocês dois concordam com isso.
A senha é construída assim:
Escolha uma senha “root” para os primeiros 8 caracteres. Três caracteres são letras minúsculas. Dois caracteres são letras maiúsculas. Os caracteres restantes são números e símbolos no teclado.
Esses 8 caracteres são sempre usados na senha. Em seguida, você decide onde colocará três caracteres adicionais. No início ou no final dos oito que você criou originalmente. Depois de saber se eles serão um prefixo ou um postfix, você terá que decidir o que são.
Isso se baseia no site ou serviço ao qual você está se conectando. Se você estivesse se conectando ao site da AT&T, adicionaria att ou ATT à sua senha original de 8 caracteres.
Dessa forma, vocês dois saberão a senha do root. Você sabe quais três caracteres serão adicionados que são específicos para o que você está protegendo com senha. Você sabe para onde eles estão indo. E cada senha que você usa é diferente, mas fácil de lembrar.
Você também nunca precisa dizer nada além de “Ei, criei uma conta no LinkedIn hoje”. Você nunca precisará anotar uma senha, compartilhá-la (porque você tem um sistema que define a senha) e poderá manter uma lista de locais de contas em texto não criptografado.
Faço isso há 15 anos e NUNCA tive uma falha de segurança por causa disso. Você pode verificar minhas credenciais em meu perfil se estiver preocupado.
Você pode modificar o sistema conforme necessário. Sempre use 3 em vez de E (substituição simples). Sempre faça a parte baseada na localização (o prefixo/postfix de três letras) ao contrário ou com letras maiúsculas variadas.
Tenho mais de 200 contas, NENHUMA SENHA ESCRITA OU ARMAZENADA EM QUALQUER LUGAR, e nunca esqueci nenhuma.
