¿Cuál es una buena estrategia mental para generar contraseñas seguras y memorables para cuentas familiares compartidas sin un servicio de terceros?

Hay un problema cada vez mayor con las contraseñas. A medida que las computadoras se fortalecen, las contraseñas deben ser más largas y menos “lógicas” para que no se rompan mediante la estrategia de fuerza bruta.

Tengo un enfoque mucho más simple. Lastpass: la última contraseña que debes recordar
Descargo de responsabilidad: no tengo ningún interés personal en lastpass. Soy un usuario premium feliz por unos 5 años.

Cuando usa lastpass, puede usar una contraseña completamente genérica, tan larga y complicada como lo necesite, y luego simplemente compartir esta contraseña entre los miembros de la familia (o cualquier otra persona) con seguridad. Ni siquiera necesita dar la contraseña a otras personas si no lo desea. Hay una opción para que LastPass inicie sesión automáticamente, sin darle al usuario la contraseña completa.

Considero que este es un método mucho más simple y mucho más seguro que crear una “convención”.

ACTUALIZAR:
Como he tenido una larga discusión con Ryan en los comentarios a continuación, y terminé escribiendo un largo conjunto de instrucciones sobre cómo implementar lastpass como solución familiar, pensé en pegarlo aquí:

1) Todas tus contraseñas van en lastpass. Privado, familia, lo que sea.
2) Cada miembro de la familia tiene su propia cuenta de lastpass. Cada uno almacena todas sus contraseñas allí.
3) Si tiene una contraseña que necesita compartir / dar (dos opciones diferentes en lastpass), simplemente use la opción compartir y compártala con todas las personas que desea que tengan esa contraseña. Estas contraseñas particulares solo existen una vez y se comparten entre los miembros de la familia. Llega hasta actualizar a todos los demás, si alguien cambia una contraseña.

Eso es.

Ahora, cualquier dispositivo que no sea ios (PC, Mac, teléfonos y tabletas Android) permite que cada miembro de la familia inicie sesión en cualquier sitio con un solo clic.

En cuanto a iphone e ipad, no estoy seguro, ya que no he usado un iphone en mucho tiempo. Pero supongamos lo peor: no tienen “autologin” implementado. En este caso, haces lo siguiente:
1) Vaya a la pantalla de inicio de sesión de servicio.
2) Ingrese nombre de usuario.
3) Cambie a lastpass.
4) Ingrese el pin acortado (no la contraseña. En los dispositivos móviles puede tener un pin de 4 dígitos en lugar de la contraseña, para que sea más fácil de usar).
5) Encuentra el servicio en el que estás iniciando sesión.
6) Mantenga presionada y elija copiar contraseña.
7) Vuelva al servicio y péguelo.

Todo el proceso lleva 10 segundos, con quizás 10 clics. En realidad, menos que si tuviera que escribir una contraseña razonablemente segura.

Estoy jurado por esto. Tengo contraseñas que tienen 24 caracteres de largo, con números y caracteres especiales, y me conecto a sitios en cualquier lugar entre 0,5 segundos y 10 segundos. Pero tal vez no sea para todos.

Related Content

¿El hackeo ético es una buena carrera?

¿Podría un pirata informático piratear el back-end de Dropbox o un servicio en la nube similar y robar los archivos privados que se supone que no deben compartirse?

Seguridad de la información: ¿Cuáles son algunas historias intrigantes interesantes?

¿Cuáles son las anomalías que indican que mi dispositivo Android puede estar comprometido?

¿Por qué no se ha eliminado la cuenta de Twitter de LulzSec?

Aquí hay una estrategia que estamos considerando. Agradecería sus comentarios. Es una adición a nuestro plan actual de FamilyPassPhrase + DomainInjection mencionado en la pregunta anterior.

Cada vez que un sitio requiere una nueva contraseña, agregamos una nueva Frase de Pase Familiar a la mezcla, pero mantenemos el mismo algoritmo de inyección de dominio.

Por ejemplo, si nuestra frase de contraseña actual es la correcta para la batería, y por alguna razón iCloud requirió una nueva contraseña, podemos crear una nueva frase de contraseña familiar (por ejemplo, círculo de cuerda). Entonces, la contraseña de iCloud va de c O o L r C r I ect1horse! Batería a r O o L p C e I 1stared! Circle.

Y lentamente con el tiempo, según sea necesario, todas las contraseñas pueden actualizarse a la nueva frase de contraseña. Entonces, incluso si primero prueba el incorrecto, debe obtenerlo cada vez que lo haga la próxima vez. El peor de los casos podría ser obtener tres frases de contraseña profundas a la vez, pero siempre actualizo las contraseñas a la frase de contraseña activa actual.

¿Qué piensas?

Una versión simplificada (¿más razonable?) Podría ser una frase de contraseña de dos palabras con una inyección de dominio de 3 caracteres:

caballo correcto => ¡caballo1 correcto! => iCloud.com => cLoCrIrect1horse!
rope stared => rope1stared! => iCloud.com => rLoCpIe1stared!
caballo correcto => ¡caballo1 correcto! => amazon.com => cAoMrArect1horse!
rope stared => rope1stared! => amazon.com => rAoMpAe1stared!

Jeffrey Goldberg

Yo personalmente elegiría el algoritmo 1. Compartir la misma contraseña entre servicios es una mala práctica, pero para propósitos prácticos y tener una contraseña lo suficientemente segura me parece una buena compensación hacia la simplicidad.

Sin embargo, esto falla cuando un sitio requiere que actualice su contraseña. Por ejemplo, ¿qué sucede cuando iCloud requiere que elija una nueva contraseña por razones de seguridad? Bueno, eso arroja todo el algoritmo ahora.

Con respecto a este punto, bueno, no hay mucho que usted (o cualquiera de nosotros) pueda hacer al respecto. Podría, por ejemplo, tener en cuenta cambiar todas sus contraseñas para todas sus cuentas con el intervalo más restrictivo para que todo esté alineado. Lo hago en el trabajo, por ejemplo, pero solo son 3 cuentas y las contraseñas son muy fáciles de restablecer.

Otro punto que debe pensar antes de usar una sola contraseña común es evaluar la importancia de su cuenta. ¿Qué pasaría si su contraseña se ve comprometida? No es lo mismo comprometer tu Gmail o tu Flickr. Por lo tanto, debe considerar una contraseña especial no compartida para servicios críticos. También debe configurar siempre que sea posible un inicio de sesión de verificación en 2 pasos cuando lo ofrezca el servicio.

Kunal Vohra

[Divulgación: trabajo para AgileBits, los creadores de 1Password]

Como puede ver en mi divulgación, primero voy a sugerir que intente administrar con solo unas pocas contraseñas que realmente necesite recordar, y luego tener contraseñas separadas y únicas para cada servicio que use dentro de un administrador de contraseñas . Entonces tendrá cientos que nunca necesitará saber o recordar.

Pero para responder una pregunta sobre cómo crear una contraseña que debe recordar, le sugiero encarecidamente un esquema “similar a Diceware”. Usted, como humano, es casi incapaz de ser aleatorio. Pero las computadoras y los dados pueden ser. Pero las cosas aleatorias son (típicamente) difíciles de recordar. Entonces, la solución que he defendido durante mucho tiempo es que elija palabras verdaderamente al azar de una lista de palabras (por ejemplo, tirando dados).

Describo esto completamente (y cuál es un mejor enfoque que muchos de los consejos que generalmente se ofrecen con más detalle aquí:

Hacia mejores contraseñas maestras

Desde entonces, se conocen como contraseñas de estilo XKCD, pero la historia es mucho más larga.

Jeffrey Goldberg

El truco para recordar una gran cantidad de contraseñas es tener una contraseña base que cambie de acuerdo con el servicio al que se está registrando. La idea de la contraseña base no es nueva, y estoy seguro de que la mayoría de ustedes ya lo saben. Para mí, el verdadero desafío es encontrar una buena contraseña base que pueda recordar. Si bien la mayoría de las sugerencias para una contraseña segura de base fuerte incluyen cambiar letras a números y símbolos (i cambia a 1 o!, S cambia a $ o 5, etc.) y cambiar la ortografía de palabras conocidas (el amor se convierte en amor, se convierte en 2) Encuentro estos métodos confusos. Esta forma de escribir no es algo natural para todos, y puede que olvides con qué reemplazaste tus letras.

sitio web para generar pwds Password Generator para una contraseña segura, segura y segura

Si quieres obtener más conocimiento relacionado con esto
Sigue siguiendo
Director @ H2K Expertos cibernéticos
H2K: la calle de los hackers
H2K Cyber ​​Experts

Etai Raz

Para las cuentas familiares que no son financieras, lo mantengo simple.

Una variación de algo como:

  • OurFamilyName.
  • OurFamilyName # !

Para las cuentas financieras, genere con LastPass o similar y guárdelas para usted y su cónyuge.

Owen Linderholm

Tenemos un problema muy similar y hemos hecho algo muy similar para compartir contraseñas, y además, como usted, nuestros ejemplos no son tan complejos ni tan fuertes como los de xkcd. Curiosamente, una de mis hijas usa la estrategia para sus propias cuentas y su frase de contraseña es de 18 caracteres, muy fuerte. La otra es, por supuesto, totalmente insegura …

De todas formas. Incluimos en nuestra cadena un número que se designa como un número incremental. Si la contraseña falla repetidamente, intentamos el incremento en caso de que algún otro miembro de la familia se haya visto obligado a actualizar.

En la práctica, esto por supuesto significa que los números no están sincronizados. Solo hemos tenido que lidiar con eso. Además, otra falla es que tiende a haber un conjunto rápido de incrementos alrededor de una actualización requerida (es decir, varios miembros de la familia la actualizan en una fila). Sin embargo, esto significa que todos podemos manejarlo.

Una variación final que también hemos intentado es variar la capitalización de partes de la frase de contraseña secuencialmente.

De hecho, hemos utilizado estos dos métodos en la práctica y actualmente son lo que usamos.

Se actualizó para incluir que tratamos bastante de tener un miembro de mi familia (yo) designado para estar al tanto de las contraseñas maestras. De esa manera, si alguna vez falla, es su trabajo resucitar y regenerarse y también realizar un seguimiento de los incrementos. Esa persona soy yo en nuestro caso, ya que tengo una mejor memoria abstracta que las demás y también uso una mayor variedad de contraseñas.

Como un total aparte, Apple es categóricamente el peor delincuente en actualizaciones forzadas. Y, por cierto, el único en el que hemos tenido un intento de pirateo serio.

Kunal Vohra

Hagas lo que hagas, hazlo simple. Utilizo una declaración de hecho como “Fuimos a la tienda a comprar zapatos”, tomo las primeras letras de cada palabra, agrego un símbolo y luego agrego un número de cuántas veces he tenido que cambiar la contraseña de la cuenta. Para que esa contraseña sea “Wwttstbs & 001” de acuerdo con la seguridad de mi contraseña, (¿Qué tan segura es mi contraseña?), Tardaría 26 millones de años en romperse.

Jeffrey Goldberg

More Interesting

Hackeo de computadoras (seguridad): ¿Qué tan exacto es el artículo del NY Times sobre el "Equipo de comentarios" (Unidad 61398)?

¿Qué medidas de seguridad toman los sitios comerciales como PayPal para evitar hackers maliciosos destructivos?

¿Qué debe hacer una persona si su cuenta de correo electrónico fue pirateada?

¿Cómo exactamente hackea un sitio web / base de datos? ¿Es solo una cuestión de robar la contraseña de un administrador?

¿Cómo sé si alguien hackeó mi MacBook?

Si quiero convertirme en un hacker, ¿por dónde debo comenzar?

Red móvil GSM: ¿es USSD capaz de enviar mensajes?

¿Quién es el hacker más famoso de Quora?

¿Cuál es el mejor lugar para aprender piratería ética de manera adecuada?

¿Realmente importa qué software antivirus estoy usando?

¿Por qué los juegos de hack and slash son tan raros?

¿Cuántos ataques DDoS hubo en todo el mundo en 2013?

¿Cómo se puede mejorar la seguridad para promover la confianza en las inversiones en criptomonedas?

Los spammers han secuestrado los resultados de búsqueda de Google para mi blog, ¿cómo lo soluciono?

¿Aprender demasiados lenguajes de programación es contraproducente?