Estratégias para compartilhar senhas para vários usuários, como esposa do marido? [fechadas]

2

Minha esposa e eu usamos as mesmas contas em muitas páginas da Web, como músicas, vídeos e utilitários. Estamos procurando melhorar nosso sistema para que possamos fazer login nas mesmas contas. Nossos objetivos:

  1. Acesso onipresente a determinar e adicionar senhas.
    • Usamos muitos computadores e precisamos acessar vários locais.
  2. Nenhuma ferramenta ou serviço de gerenciamento de software. (por exemplo, RoboForm).
    • Não estamos querendo colocar todos os ovos em uma só cesta, vulneráveis a hackers.
    • Queremos acessar sem instalar o software, se formos convidados em outro computador.
  3. Bastante fácil de usar sem memorizar muitos segredos.
    • Podemos lidar com a memorização de alguns números ou uma lista de 10 palavras ou mais.

Exemplos que pretendemos superar:

  1. Arquivo de texto sem formatação hospedado em um servidor da web.
    • Obviamente, muito risco de segurança.
  2. Arquivo de texto sem formatação hospedado por trás de um site de colaboração online, por exemplo um wiki privado.
    • Melhorando, o wiki privado facilita a atualização. Mas ainda muito vulnerável, pois todas as senhas são texto simples.
  3. Arquivo de texto ofuscado hospedado no site de colaboração.
    • Ok, agora estamos falando, mas como ofuscar isso?
      1. Memorize um prefixo de senha de 3 caracteres, apenas anote os bits exclusivos depois disso.
        - Se alguém conhece uma senha e encontra a lista, o resto é óbvio.
      2. Você tem uma ideia melhor aqui .
por Vincent Scheib 11.11.2012 / 04:34

2 respostas

1

Não sei se você conseguirá sair sem instalar o software, se quiser ser seguro.

Pessoalmente, uso o Dropbox + keepass. O Keepass criptografa minhas combinações de nome de usuário / senha, e o Dropbox sincroniza essas alterações em todos os meus computadores. Eu posso até acessá-lo no meu telefone (Android) quando estou em movimento. Eu realmente acho que é o melhor negócio de todos os mundos - porque mesmo se alguém obtivesse uma cópia desse arquivo - eu confio em keepass o suficiente para onde o bandido não seria capaz de entrar (pelo menos facilmente).

Se você é realmente paranóico, pode usar o encFS para adicionar uma camada de criptografia à sua unidade de nuvem (Windows - link ). No entanto, isso pode ficar complicado se você quiser acessar suas credenciais enquanto estiver em trânsito.

Eu seria contra "dicas de senha" simplesmente porque pessoalmente eu gero minhas senhas aleatoriamente (geralmente [alguns] caracteres contendo alguma combinação que eu acho fácil de lembrar). Para algumas coisas eu usei a mesma senha por anos. Mas esses serviços geralmente fornecem suporte a senhas OTP (como o gmail). O que, às vezes, é uma dor, mas você seria um tolo para não aproveitar a segurança que ele oferece.

Se você é realmente contra o uso de software, eu recomendaria auto-hospedagem com um site habilitado para SSL de autenticação básica. Assumindo que o arquivo está em texto simples - eu não confiaria em QUALQUER UM com minhas credenciais em um sistema publicamente acessível. (Eu nem sequer confiaria em mim mesmo com o dito arquivo de texto puro.) Enquanto sua autenticação básica poderia ser forçada brutalmente - eu tenho certeza que você poderia fazer algumas técnicas interessantes de contra-hacking. E o SSL impediria que um cara no meio pudesse ler seus dados. Um certificado auto-assinado poderia ser suficiente, mas é melhor você ter certeza de que confia na conexão à Internet à qual está conectado.

Agora que estou pensando nisso, você poderia fazer algo ainda mais interessante (e eu seria interessante em montar um protótipo). Esse sistema no back-end armazenaria um arquivo de texto criptografado. Quando você acessou o navegador da Web, ele solicitaria uma caixa de mensagens para a "senha" (ou mais simplesmente para chave). Ao fornecer essa chave, ela solicitará via AJAX o arquivo e tentará descriptografar usando a chave mencionada. Desta forma - enquanto é enviado "in the clear" um cara no meio só obteria o arquivo criptografado e seria descriptografado na mosca. Isso deve funcionar em qualquer navegador (incluindo celular).

    
por 11.11.2012 / 04:58
1

Selecione um nome de conta que você sempre usará. Vocês dois concordam com isso.

A senha é construída assim:

Escolha uma senha "root" para os 8 primeiros caracteres. Três caracteres são letras minúsculas. Dois caracteres são letras maiúsculas. Os caracteres restantes são números e símbolos no teclado.

Esses 8 caracteres são sempre usados na senha. Em seguida, você decide onde colocará três caracteres adicionais. Ou no começo ou no fim dos oito que você originalmente criou. Depois de saber se eles serão um prefixo ou um postfix, você precisa decidir o que eles são.

Isso é baseado no site ou serviço ao qual você está se conectando. Se você estivesse se conectando ao site da AT & T, adicionaria att ou ATT à sua senha original de 8 caracteres.

Desta forma, vocês dois sabem a senha do root. Você sabe quais três caracteres serão adicionados e específicos para o que você está protegendo com senha. Você sabe onde eles estão indo. E todas as senhas que você usa são diferentes, mas fáceis de lembrar.

Você também nunca precisa dizer nada mais do que: "Ei, criei uma conta no LinkedIn hoje." Você nunca terá que escrever uma senha, compartilhar a senha (porque você tem um sistema que define a senha), e você pode manter uma lista de locais de conta em texto puro.

Eu venho fazendo isso há 15 anos e NUNCA tive uma falha de segurança por causa disso. Você pode verificar meu perfil para minhas credenciais se estiver preocupado.

Você pode modificar o sistema conforme necessário. Sempre use um 3 em vez de E (substituição simples). Sempre faça a parte baseada em localização (o prefixo / postfix de três letras) para trás, ou de capitalização variável.

Tenho mais de 200 contas, SEM SENHAS ESCRITAS OU ARMAZENADAS EM QUALQUER LUGAR, e nunca me esqueci de uma.

    
por 11.11.2012 / 04:58