我和我的妻子在許多網頁上使用相同的帳戶,例如音樂、影片和實用程式。我們正在尋求改進我們的系統,讓我們都能夠登入相同的帳戶。我們的目標:
- 無所不在地確定和添加密碼。
- 我們使用許多計算機,並且需要從多個位置進行存取。
- 沒有軟體管理工具或服務。 (例如RoboForm)。
- 我們不想把所有的雞蛋都放在一個容易受到駭客攻擊的籃子裡。
- 如果我們是另一台電腦上的訪客,我們希望無需安裝軟體即可進行訪問。
- 相當容易使用,無需記住很多秘密。
- 我們可以記住一些數字,或 10 個單字左右的清單。
我們希望擊敗的例子:
- 託管在 Web 伺服器上的純文字檔案。
- 顯然存在太大的安全風險。
- 託管在基於登入的協作網站(例如私人維基)後面的純文字檔案。
- 變得更好,私人維基使任何人都可以輕鬆更新它。但仍然太容易受到攻擊,因為所有密碼都是純文字。
- 協作網站上託管的模糊文字檔案。
- 好的,現在我們正在討論,但是如何混淆它?
- 記住 3 個字元的密碼前綴,只記下後面的唯一位元。
- 如果有人知道一個密碼並且找到了列表,那麼其餘的都是顯而易見的。 - 你最好的主意在這裡。
- 記住 3 個字元的密碼前綴,只記下後面的唯一位元。
- 好的,現在我們正在討論,但是如何混淆它?
答案1
我不知道如果您想保證安全,是否可以不安裝軟體。
就我個人而言,我使用 Dropbox + keepass。 Keepass 會加密我的使用者名稱/密碼組合,而 Dropbox 會在我的所有電腦上同步這些變更。當我在旅途中時,我甚至可以在我的(Android)手機上訪問它。我真的認為這是最好的權衡 - 因為即使有人確實獲得了該文件的副本 - 我對 keepass 足夠信任,以至於壞人無法進入它(至少很容易)。
如果您真的很偏執,您可以使用 encFS 為您的雲端硬碟添加一層加密(Windows -http://members.ferrara.linux.it/freddy77/encfs.html)。但是,如果您想在旅途中存取您的憑證,這可能會變得複雜。
我反對“密碼提示”只是因為我個人隨機生成密碼(通常[一些]字元包含一些我認為很容易記住的組合)。對於某些事情,我多年來一直使用相同的密碼。但這些服務通常提供 OTP 密碼支援(如 gmail)。有時這很痛苦,但如果你不利用它提供的安全性,那就太愚蠢了。
如果您確實反對使用軟體,我建議您使用啟用基本驗證 SSL 的網站進行自我託管。假設該文件是純文字形式 - 我不會相信任何人在可公開存取的系統上擁有我的憑證。 (我什至不相信自己所說的純文字檔案。)雖然你的基本身份驗證可能是暴力強制的 - 我相信你可以做一些有趣的反黑客技術。 SSL 會阻止中間人讀取您的資料。自簽名證書可以足夠了,但您最好確保您信任所連接的網路連線。
現在我正在考慮 - 你可以做一些更有趣的事情(並且我會對將原型放在一起感興趣)。該系統的後端會儲存一個加密的文字檔案。當您透過網頁瀏覽器開啟時,它會提示您輸入「密碼」(或更簡單的金鑰)的訊息框。提供此金鑰後,它將透過 AJAX 請求檔案並嘗試使用所述金鑰進行解密。這樣,當它「以明文形式」發送時,中間的人只會獲得加密的文件,並且會即時解密。這應該適用於任何瀏覽器(包括行動裝置)。
答案2
選擇您將始終使用的帳戶名稱。你們倆都同意這一點。
密碼是這樣建構的:
選擇前 8 個字元的“root”密碼。三個字元均為小寫字母。兩個字元都是大寫字母。其餘字元是鍵盤上的數字和符號。
密碼中始終使用這 8 個字元。接下來,您決定在哪裡放置三個額外的角色。無論是在你最初想出的八個的開頭還是結尾。一旦你知道它們是前綴還是後綴,你就必須決定它們是什麼。
這基於您要連接的網站或服務。如果您要連接到 AT&T 的網站,您需要將 att 或 ATT 新增至您的原始 8 字元密碼。
這樣你們兩個就知道root密碼了。您知道將添加哪三個特定於您要保護的密碼的字元。你知道他們要去哪裡。您使用的每個密碼都不同,但很容易記住。
您也只需說「嘿,我今天建立了一個 LinkedIn 帳戶」。您永遠不必寫下密碼、共享密碼(因為您有一個定義密碼的系統),並且可以以明文形式保存帳戶位置清單。
我已經這樣做了 15 年,從未因此而發生過安全故障。如果您擔心的話,可以檢查我的個人資料以獲取我的憑證。
您可以根據需要修改系統。始終使用 3 代替 E(簡單替換)。始終向後執行基於位置的部分(三個字母前綴/後綴),或使用不同的大小寫。
我有 200 多個帳戶,沒有在任何地方寫入或儲存密碼,而且我從未忘記過一個。
