Pytanie:
Czy ten schemat haseł jest prawidłowy?
izlin
2019-08-26 13:36:24 UTC
view on stackexchange narkive permalink

Otrzymałem zaproszenie na targi bezpieczeństwa IT ( https://www.it-sa.de/en).

Dodatkowo dostarczyli hasło „Kryptonizer” . To jest mała kartka, którą można zawiesić na pęku kluczy, zawierającą następujące (przykładowe wartości, moje tłumaczenie):

Często hakerzy mogą zbyt łatwo zdobyć dane osobowe. Powód: hasła, które możemy łatwo zapamiętać, nie są tajemnicze. Często są to popularne nazwy lub słowa, takie jak „Snowden” czy „Admin”. Ta karta próbuje to naprawić, ułatwiając zapamiętanie haseł crpytic. 

  Input Start ABC DEF GHI JKL MNO PQRS TUV WXYZOutput 4uR =? x 1 F 3 Y i # 9

Oryginalna wersja w języku niemieckim:

Tło: hakerom odmawia się dostępu do danych osobowych w Internet jest często zbyt łatwy. Powód jest oczywisty: hasła, które pamiętamy, zwykle nie są szczególnie tajemnicze, ale są oparte na popularnych nazwach lub słowach, takich jak „Snowden” lub „Admin”.

Wszystko z wyniku jest losowe dla każdej karty (66 różnych znaków do wyboru). Teraz musimy wybrać „łatwe” hasło (zalecają co najmniej 8 znaków): 

  Input: HELLOWORLDOutput: 4uR =? F133Y9Yi31

One również zalecamy używanie tej karty tylko dla jednego hasła i zmienianie go, jeśli zgubisz kartę.

Czy ten schemat haseł jest dobry? Pochodzi z dużych targów bezpieczeństwa z wieloma ekspertami.

Domyślam się, że masz zmniejszoną entropię z powodu tylko 8 różnych znaków (+ 1 sekwencja startowa), ale tak długo, jak Twoja karta pozostaje nieznana , osoba atakująca nie może wykorzystać tego faktu.

Czy możesz wyjaśnić, do czego służy ta karta?Wydaje się, że jest to podstawowy schemat mieszania haseł przeznaczony do ręcznego sprawdzania - zwłaszcza w przypadku „prostych haseł” poziom bezpieczeństwa jest obniżony.Hasło pasujące do skrótu można łatwo utworzyć dla każdego skrótu w jednym przebiegu.
Wygląda to na bardzo słaby schemat mieszania haseł.Biorąc pod uwagę zaszyfrowane hasło, nie będzie trudno zamienić je na listę możliwych haseł w postaci zwykłego tekstu (algorytm odwracania to zasadniczo [algorytm T9] (https://en.m.wikipedia.org/wiki/T9_(tekst_przewidujący)).
@TobiNary Musisz zrozumieć, że te teksty są najprawdopodobniej pisane przez działy marketingu, a nie użytkowników technicznych.Co więcej, jeśli spojrzysz na docelową grupę docelową, zobaczysz, że prawidłowe użycie żargonu technicznego również nie jest zbyt przydatne.
Nadal mam wrażenie, że to najlepszy trolling.Zaszyfrowane hasła nie są dobre, są okropne do zapamiętania i nie przynoszą żadnych korzyści.Jednak może to wynikać z przestarzałego pomysłu, że tajemnicze hasła są lepsze.
@TobiNary Chodzi o to, aby udaremnić ataki słownikowe.A `? JBl3Hoon3 # o` jest zdecydowanie lepszym hasłem niż` Snowden`.Przeczytaj moją odpowiedź, dlaczego te karty istnieją, jaki jest ich cel i jakie są ich wady.Cały sens kart polega na tym, że pamiętasz proste hasło, a otrzymujesz złożone, pozornie przypadkowe hasło.
@MechMK1 tak.Ale zachęcanie użytkowników do korzystania z tego schematu jest złe;będą używać tego samego hasła do wszystkich aplikacji, ponieważ uważają, że jest to bezpieczne.To nie jest;może być lepiej, ale nie dobrze.Lepsze byłoby nauczenie ludzi korzystania z oprogramowania do gry w kości i / lub menedżerów haseł.Bardziej w przypadku konferencji IT.
@TobiNary Właściwie wyjaśniam tę samą koncepcję na początku mojej odpowiedzi.Tak, absolutnie zgadzam się, że nauczenie ludzi posługiwania się hasłami jest o wiele lepsze niż poleganie na tym, co faktycznie jest kulą.A to może być w porządku dla 28-letniego absolwenta college'u z tytułem magistra.w inżynierii.Ale dla 57-letniej Karen z księgowości okazuje się to znacznie trudniejsze.
Miałem lepsze niż oczekiwano wyniki w nauczaniu gry w kości ludzi, których się obawiasz, że nie zrozumieją.Zapamiętujesz 5 słów?Łatwy.
@TobiNary Z własnego doświadczenia w pracy z klientami, którzy nigdy nie korzystali z komputera przez pierwsze 50 lat swojego życia, mogę powiedzieć, że pamiętanie, że „cleft cam synod lacy yr wok” nie zadziała.Ale to nie ma znaczenia.Głównym pytaniem było „Czy ten schemat haseł jest legalny?”i wyjaśniłem, jakie problemy ma rozwiązać i komu ma pomóc.Czy to jest świetne?Nie. Czy to ma problemy?Oczywiście.Ale czy to lepsze niż używanie kiepskiego hasła?Prawdopodobnie tak.
Wygląda na to, że karta * jest * hasłem.Składa się z losowych znaków, użyj go tylko raz, zmień hasło, jeśli je zgubisz.
https://www.passwordcard.org/en
@AuxTaco Nie, karta nie jest hasłem.Hasło to słowo, które pamiętasz, a karta pomaga przekształcić je w to, co faktycznie wpisujesz.
Jeśli używasz takiej karty, bardzo ważne jest, aby zniszczyć tę, którą dostałeś na targach, i stworzyć własną, losowo ją samodzielnie. W przeciwnym razie każdy, kto dał ci kartę, ma WIELKĄ szansę na złamanie twojego hasła.
@AuxTaco bardziej przypomina funkcję skrótu.Istnieje hasło wejściowe 1: 1 do innego hasła.Wynik będzie zależał od zawartości karty.Nadal dostarczasz dane wejściowe.Jeśli więc używasz trzech różnych haseł na jednej karcie, nadal otrzymujesz trzy różne hasła.Ale jeśli zmienisz kartę na inną, otrzymasz od nich trzy nowe hasła.
Prawdopodobnie nie powinieneś był nam mówić, że Twoje hasło to „Kryptonizer”.X-P
jeśli karty są losowe, w rzeczywistości masz jednorazową podkładkę.
Po prostu użyj menedżera haseł ... Od lat nie pamiętam hasła
@GlennWillen Jeśli taki otrzymasz, tak.Jeśli dostaniesz partię 100 kart, stanie się to mniej praktyczne.Ale tak, nadal dobra rada.
Siedem odpowiedzi:
MechMK1
2019-08-26 14:07:02 UTC
view on stackexchange narkive permalink

Pełne ujawnienie: Pracuję dla firmy, która dystrybuuje takie karty. Ta odpowiedź jest jednak moją osobistą opinią o nich.

Pomysł tych kart jest taki, że niektórzy użytkownicy po prostu bardzo źle zapamiętują hasła lub frazy hasła. Naiwnym podejściem byłoby mówienie użytkownikom: „Po prostu lepiej zapamiętaj hasła”, ale doświadczenie pokazało, że taka rada przynosi efekt przeciwny do zamierzonego w przypadku niektórych użytkowników.

Ich pamięć wydaje się być zaprogramowana na stałe, aby tylko przypominać proste słowa, które prawdopodobnie mają coś wspólnego z ich pracą. Więc ktoś pracujący w fabryce samochodów może zapamiętać słowo takie jak Engine.

Engine to oczywiście okropne hasło - zarówno pod względem długości, jak i entropia. Tak więc „Kryptonizer” lub podobnie nazwane karty próbują dodać oba z nich.

Długość jest dodawana przez przedrostek, w tym przypadku 4uR =? . Natychmiast zwiększa długość hasła o 5 znaków, zmieniając 6-znakowe hasło do 11-znakowego. Nie idealne, ale ulepszone.

Entropia jest dodawana przez zastąpienie każdego znaku losowo wybranym znakiem. Nie do końca zmiana 1: 1, ale wystarczająco blisko. Ponieważ każda karta jest unikalna, nie można zbudować gotowej reguły, jak zmieniać każdą frazę słownikową.

W tym przykładzie Engine zmieniłby się w 4uR =? 1YFFY1 . Czy to dobre hasło? Prawdopodobnie nie świetny, ale na pewno dużo lepszy niż Engine.

Problemy z tym schematem

Oczywiście nie jest to doskonały system. Dobrego hasła nie można zastąpić małą papierową kartą. Ponieważ trzy znaki wejściowe są mapowane na jeden znak wyjściowy, wynikowe hasło traci entropię zamiast ją zyskać. Zysk w postaci entropii netto jest taki, że atakujący nie mogą już tak łatwo używać ataków słownikowych. Aby to zrobić, musieliby uzyskać dostęp do mapowania lub przeprowadzić wyczerpujące wyszukiwanie. Jeśli napastnik wie, że taka karta została użyta, może to wykorzystać na swoją korzyść, aby przyspieszyć wyczerpujące wyszukiwanie.

Ponadto oczekuje się, że użytkownicy zatrzymają swoją kartę, a wielu prawdopodobnie pozostawi ją włączoną biurko, pod klawiaturą lub w podobnych złych miejscach. Jeśli zgubią swoją kartę, prawdopodobnie stracą też hasło. Będą potrzebować nowej karty i zmienią również hasło, co nie jest dobre dla użyteczności.

Podsumowanie

Czy to dobry system? Ostatecznie powiedziałbym, że trzeba to oceniać w kontekście tego, do czego jest przeznaczony. Jest to pomoc dla określonej grupy użytkowników, którzy w innym przypadku użyliby bezbożnych, okropnych haseł. Moim zdaniem pomaganie użytkownikom w wyborze nieznacznie lepszych haseł za niewielką cenę to dobra rzecz. Oczywiście nie jest to srebrna kula, która w magiczny sposób rozwiązuje problem przechowywania i generowania danych uwierzytelniających.

Jeśli to możliwe, zawsze używaj menedżera haseł, pozwól mu generować długie hasła o dużej entropii i przechowywać je dla Ciebie w bezpieczny sposób.

Jeśli nie jest to możliwe (np. w przypadku logowania do systemu operacyjnego), polecam albo użycie Diceware, albo utworzenie długiego, bezsensownego zdania, takiego jak TheGreenLightFromOurEyesShinesThroughTheMirrorOfTime . . Upewnij się tylko, że takie zdanie nie pochodzi z książki lub filmu.

Komentarze nie służą do rozszerzonej dyskusji;ta rozmowa została [przeniesiona do czatu] (https://chat.stackexchange.com/rooms/98118/discussion-on-answer-by-mechmk1-is-this-password-scheme-legit).
Anders
2019-08-26 14:19:36 UTC
view on stackexchange narkive permalink

To zawsze zależy od tego, z czym je porównasz! Jaka jest realistyczna alternatywa, z której użytkownicy faktycznie skorzystaliby, do korzystania z tej karty?

Oczywiście 4uR =? F133Y9Yi31 to znacznie lepsze hasło niż HELLOWORLD . Jeśli dajesz tę kartę osobie nie znającej się na technice, która i tak nie wybierze dobrych haseł ani nie użyje menedżera haseł, to jest to poprawa.

Z drugiej strony, korzystanie z tego systemu jest znacznie gorsze niż zwykłe wybierając losowe 16-literowe hasło, którego nigdy nie pamiętasz, i przechowując je w swoim menedżerze haseł. Atakujący, który wie, jakie litery znajdują się na karcie (np. Patrząc na wyciekające hasła od tego samego użytkownika), może ją łatwo złamać - nagle nie jest to lepsze niż HELLOWORLD!

Czy to dobry pomysł dla osób, które mogą używać menedżera haseł? Nie, absolutnie nie. Dla twojego dziadka? Może! Nie pozwól, by doskonałość była wrogiem dobrego.

+1 za ostatnie zdanie.
Jak mówi @DoktorJ, to ostatnie zdanie jest ważne - zobacz też [błąd nirwany] (https://en.wikipedia.org/wiki/Nirvana_fallacy).Jeśli masz godzinę lub 10 na TVTropes, wiąże się to również z [Logiką Słomianych Vulcanów] (https://tvtropes.org/pmwiki/pmwiki.php/Main/StrawVulcan)
Luis Casillas
2019-08-27 05:28:06 UTC
view on stackexchange narkive permalink

Nie w 100% jasne z Twojej ekspozycji, ale rozumiem, że drugi wiersz jest generowany niezależnie, losowo dla każdej karty. Będę działał z tego założenia. Zakładam dalej, że:

  • Atakujący próbuje odgadnąć Twoje hasło.
  • Atakujący wie, że wygenerowałeś hasło przy użyciu takiej karty.
  • Atakujący nie zna losowej zawartości unikalnej dla Twojej karty.
  • Atakujący ma środki, aby skutecznie przetestować swoje domysły, np. dlatego, że ukradł wpis w bazie danych haseł z hashem hasło.

Jak trudno jest atakującemu odnieść sukces?

Najpierw musi odgadnąć 5 losowych symboli startu. Jeśli są wybrane z zestawu 66 znaków, jak mówisz, każdy ma około log 2 (66) ≈ 6 bitów entropii, co daje w sumie 6 × 5 = 30 bitów łącznie - o taką samą siłę jak (nie) słynny Tr0ub4dor&3.

Po drugie: w ramach procesu korzystania z karty wybierasz ludzkie hasło. Ale karta dzieli alfabet na osiem grup, tak że litery w każdej grupie są traktowane jako równoważne wybory. Oznacza to, że po zgrupowaniu każda litera w ludzkim haśle nie może wnieść więcej niż log 2 (8) = 3 bity entropii, ale w praktyce będzie to mniej:

  • Litery niektórych grup występują częściej niż inne ”;
  • Niektóre słowa występują częściej niż inne;
  • Niektóre hasła ludzkie (np. PASSWORD ) są niepokojąco częstsze niż inne.

Po trzecie: każdej z tych grup jest przypisany losowo wybrany znak z zestawu 66. Każdy z tych wyborów ma około 6 bitów entropii, a razy osiem grup brzmi jak 48 bitów ... ale jest mało prawdopodobne, że atakujący będzie musiał złamać całą tabelę na twojej karcie, ponieważ najprawdopodobniej ludzkie hasło „wyzwoli” tylko podzbiór ośmiu grup i nie będą musieli odgadnąć symboli przypisanych do „uśpionych” grup. Jeśli wybierzesz losowo 8 pozycji i zastąpisz je z zestawu 8, spodziewasz się narysować około 5 różnych elementów ( źródło), co oznacza wielkość entropii tabeli, jaką jest ośmioznakowe hasło ludzkie najprawdopodobniej wyzwolenie wynosi 30 bitów. Ale niektóre ludzkie hasła wyzwalałyby mniej grup, a inne wywoływałyby więcej.

Analizowanie interakcji między wzorcami statystycznymi tekstu angielskiego a grupowaniem na kartach pozostaje żmudnym ćwiczeniem dla czytelnika. Myślę, że możemy wstępnie stwierdzić, że ta metoda karty nie jest w oczywisty sposób zepsuta - wygeneruje hasła z gwarancją co najmniej 36 bitów entropii (30 dla znaków początkowych, 6 dla wyzwolenia tylko jednej grupy), i realistycznie prawdopodobne jest, że aby zobaczyć 54 bity (30 bitów dla znaków początkowych, 24 dla wyzwalania czterech grup) nawet bez liczenia entropii z ludzkich haseł.

Nie sądzę, żebyśmy byli zaskoczeni, jeśli ta metoda nie jest do niczego . W końcu moje wyjaśnienie powyżej pokazuje, że każda karta zawiera 78 bitów entropii: 30 z początkowych pięciu, 48 z losowego przypisania znaków do grup. 78 bitów to entropia 12-znakowego losowego drukowalnego ciągu ASCII (12 × log 2 (95)). Umieszczenie takiej entropii w małej karcie to fajny pomysł; słabość tego schematu polega na tym, że nie wykorzystuje on wszystkich w wiarygodny sposób (problem „uśpionych” grup).

Inny scenariusz, który moglibyśmy rozważyć, jest taki. Załóżmy, że atakującemu uda się ukraść wygenerowane przez Ciebie hasło (np. Ze strony internetowej, która przechowuje je w postaci zwykłego tekstu). Czy mogą działać wstecz od tego, aby odgadnąć twoje ludzkie hasło lub losowe wartości na twojej karcie? Cóż, w takim przypadku początkowe pięć losowych znaków jest po prostu beznadziejnie zagrożonych, a złamanie ludzkiego hasła wygląda mniej więcej podobnie do złamania monoalfabetycznego szyfru podstawieniowego, więc nie wygląda to zbyt dobrze. Ale zauważę to:

Zalecają również używanie tej karty jako jednego hasła i zmianę go, jeśli zgubisz kartę.

. .. i jeśli zastosujesz się do ich zaleceń, naruszenie zawartości jednej karty może naruszyć tylko jedno ludzkie hasło, które zostało wprowadzone na tej karcie. Powinniśmy prawdopodobnie dodać, że nie powinieneś ponownie używać tego samego ludzkiego hasła z wieloma kartami.

dr_
2019-08-27 13:51:22 UTC
view on stackexchange narkive permalink

Wydaje mi się to bardzo niepraktyczne. Wady (uciążliwe obliczenia, nie trzeba zgubić karty, trzeba pamiętać hasło) przeważają nad zaletami (silne hasło).

Nie udało mi się znaleźć przypadku użycia dla tego schematu:

  • W przypadku niezadowolonych użytkowników (Twój dziadek) znacznie bardziej praktyczne jest zapisanie hasła w notatnik przechowywany w zamkniętej szufladzie.

  • Wprawni użytkownicy (czytelnicy tego bloga) powinni lepiej używać aplikacji do zarządzania hasłami zaszyfrowanej hasłem głównym.

Nie, po prostu tak nie działa.Nigdy nie zapisujesz swojego hasła.Jest bardziej podobny do funkcji skrótu.
Masz rację, dzięki za korektę.Zmodyfikowałem odpowiedź.Jednak moja opinia na ten temat pozostaje taka sama.
Zgadzam się, do użytku domowego.Ale w przypadku komputera roboczego takie karty są zdecydowanie lepsze niż zapisywanie hasła.
Wciąż zbyt kłopotliwe.W pracy trzymaj się polityki bezpieczeństwa skonfigurowanej dla wszystkich przez administratora systemu.
O to właśnie chodzi w tych kartach: aby umożliwić osobom, które mają naprawdę duże problemy z zapamiętaniem hasła, posiadanie czegoś, co jest zgodne z polityką haseł.
Zgadzam się z niepraktycznym aspektem programu.Oznacza to, że ludzie po prostu nie będą go używać.
@MechMK1, teoretycznie nigdy nie zapisujesz wygenerowanego hasła.Ale w przypadku systemów z niskimi limitami czasu logowania mogłem łatwo zobaczyć, jak ludzie zapisują wygenerowany wynik, ponieważ nie mogą wykonać tłumaczenia wystarczająco szybko.
Bezpieczeństwo kosztem użyteczności kosztem bezpieczeństwa.
Dmitry Grigoryev
2019-08-27 15:52:57 UTC
view on stackexchange narkive permalink

masz zmniejszoną entropię [...], ale tak długo, jak twoja karta pozostaje nieznana, atakujący nie może tego wykorzystać

Jeśli karta pozostaje nieznana , atakujący nie może go wykorzystać, nawet jeśli zapiszesz na nim całe hasło. Jest to jednak bardzo złe założenie, dokładnie z tego samego powodu, dla którego zapisywanie haseł jest złe.

Zainstalowanie menedżera haseł na telefonie komórkowym i używanie telefonu jako ściągawki do haseł ma znacznie większy sens .

+1 dla menedżerów haseł na smartfony (tylko).Aby uzyskać bazę danych i przechwycić klawiaturę, aby ukraść hasło główne, należy użyć exploita na poziomie systemu operacyjnego, jest to dość skomplikowane.Chociaż wiele osób nigdy nie aktualizuje niczego na swoim telefonie i wydaje się to przerażające, w praktyce nie słyszałem jeszcze o pierwszym przeciętnym Joe, który dostał taki exploit na swój telefon.Zadbaj jednak o kopie zapasowe.Kopiowanie pliku w bezpieczne miejsce kilka razy w roku (kiedy widzisz bliskich, którzy nie znają się na technologii) prawdopodobnie już wystarczy.
jamesdlin
2019-08-28 03:28:34 UTC
view on stackexchange narkive permalink

Moje początkowe przypuszczenie jest takie, że masz zmniejszoną entropię z powodu tylko 8 różnych znaków (+ 1 sekwencja początkowa)

Niekoniecznie.

Porównajmy hasło, które używa znaków z alfabetu angielskiego (wielkie-) i małe litery. Hasło o długości n ma (2 * 26) ** n możliwych wartości (i realnie znacznie mniej niż to, ponieważ docelowi odbiorcy prawdopodobnie nie będą mieli mieszanych wielkości liter w środku hasła).

Tymczasem wygenerowane hasło ma około (8 ** n) * (66 ** 5) możliwych wartości:

  • Każdy znak w oryginalnym haśle jest mapowany na jedną z 8 wartości, n razy.
  • Stwierdziłeś, że jest 66 znaków do wyboru, powtórzono 5 razy.

Nie mam intuicyjnego wyczucia, jak 52 ** n wypada w porównaniu z (8 ** n) * (94 ** 5 ) , więc spróbujmy trochę wartości. Dla 8-znakowego hasła ( n = 8) otrzymujemy:

  • 53.459.728.531.456 (oryginalne)
  • 21.010.654.131.388.416 („Kryptonized”)

Wersja „Kryptonized” ma rzędy wielkości więcej możliwości.

Dla 11-znakowego hasła:

  • 7,516,865,509,350,965,248 (oryginalna)
  • 10,757,454,915,270,868,992 („Kryptonized”)

W przypadku hasła 12-znakowego:

  • 390 877 006 486 250 192 896 (oryginalne)
  • 86,059,639,322,166,951,936 („Kryptonized”)

Zatem w przypadku haseł 11-znakowych lub krótszych wersja „Kryptonized” wygrywa pod względem możliwych wartości. (Jeśli założymy, że w oryginalnym haśle występuje tylko jedna wielkość liter, wersja „Kryptonized” wygrywa w przypadku haseł 17-znakowych lub krótszych).

Pamiętaj, że nie biorę pod uwagę, że 8 możliwych odwzorowane znaki są prawdopodobnie losowe, ale nie sądzę, żeby to miało znaczenie. Warto się z tego nauczyć, że zwiększenie długości hasła jest znacznie lepsze niż zwiększenie rozmiaru zestawu znaków.

Schwern
2019-08-28 12:21:27 UTC
view on stackexchange narkive permalink

Dobry schemat haseł to nie tylko entropia. Cała entropia na świecie nie ochroni Cię, jeśli ponownie użyjesz haseł. Wystarczy, że jedna witryna będzie przechowywać Twoje hasło w przejrzystej formie.

Dobry schemat musi również zniechęcać do ponownego używania hasła. W tym przypadku zależy to od sposobu wykorzystania karty.

Jeśli użytkownik myśli „Mam teraz super bezpieczne hasło” i ponownie używa tego jednego hasła, jest narażony na atak. Ponowne użycie umiarkowanie dobrego hasła jest lepsze niż ponowne użycie słabego hasła, ale nie jest to dużo. Uważam, że jest to najbardziej prawdopodobny sposób, w jaki zostanie użyty.

Widzę sprytnego użytkownika tworzącego unikalne hasła, używając go do zaszyfrowania czegoś o koncie, na przykład nazwy domeny. Ich hasło do google.com to 4uR =? FYY31xYY . Eksperci ds. Bezpieczeństwa potępiliby ten schemat z wielu powodów i mieliby rację, ale spowoduje on większą różnorodność silniejszych haseł niż w innym przypadku. Jednak nie sądzę, aby był to powszechny sposób używania karty.

Ponieważ użytkownicy karty prawdopodobnie będą ponownie używać kilku haseł, oceniam ten schemat jako słaby, ale lepszy niż nic.

Ulepszonym sposobem (Nie jestem ekspertem ds. bezpieczeństwa) może być wydrukowanie listy silnych haseł z pustą przestrzenią obok każdego. Gdy użytkownik potrzebuje nowego konta, używa następnego darmowego hasła i zapisuje nazwę domeny i nazwę użytkownika, jeśli nie jest to jego adres e-mail. Gwarantuje to silne hasła bez ponownego użycia, o ile nie mają one zbyt wielu kont.

Jest to oczywiście podatne na atak fizyczny; kradzież, kopiowanie lub fotografowanie karty. Jeśli dana osoba już zapisuje swoje hasła lub, co gorsza, ma je w pliku, ten schemat jest ogromnym ulepszeniem. Przychodzi mi do głowy wiele osób, które by na tym skorzystały.

To kompromis. Ryzyko ataków fizycznych i ukierunkowanych oceniam znacznie niżej niż ponowne użycie i słabe hasła. O wiele bardziej prawdopodobne jest, że słabe, ponownie użyte hasło zostanie znalezione podczas przypadkowego włamania do witryny niż ataku fizycznego.

I oczywiście to wszystko jest znacznie słabsze niż użycie dobrego menedżera haseł.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...