Question:
Existe-t-il une méthode pour générer des mots de passe spécifiques au site qui peuvent être exécutés dans ma propre tête?
Mnementh
2010-12-19 23:14:35 UTC
view on stackexchange narkive permalink

Je pensais récemment à la sécurité des mots de passe. Mon objectif est d'avoir principalement des mots de passe aléatoires, différents pour chaque site. Mais vous devriez également être capable de vous en souvenir (ou de les régénérer) sans l'aide de notes ou autres. Si j'utilise des mots de passe vraiment aléatoires (générés par un générateur de mots de passe), je ne m'en souviens que de quelques-uns. Beaucoup moins que le nombre de comptes Web que j'ai. Les mots de passe plus simples sont souvent plus faciles à deviner.

J'ai pensé qu'un compromis pourrait être des règles faciles à apprendre et un mot de passe maître secret, pour générer un mot de passe à partir du nom du site. Disons que vous avez un mot de passe pour ebay et amazon. Cette méthode doit générer deux mots de passe différents, pour «ebay» et «amazon». Mais je devrais aussi être capable de faire le processus dans ma tête, sans l'aide d'un logiciel ou même de papier et crayon. Mots de passe couramment utilisés, je me souviendrai directement. Mais celles rarement utilisées et oubliées pourraient être reconstruites avec une telle méthode. Quelqu'un connaît-il une telle méthode?

MODIFIER : Ce que je demande devrait améliorer la sécurité, en créant des mots de passe différents pour chaque site / machine / programme, mais aussi conserver tous les mémorables. Un mot de passe sécurisé est bien, mais vous êtes encore plus susceptible d'oublier les mots de passe du site, et si vous perdez votre boutique ou si elle est endommagée, vous avez un problème. De plus, TOUS les mots de passe peuvent être compromis à la fois! Et à la fin, mon coffre-fort par mot de passe local n'est pas à portée de main, si je suis à la machine d'un ami.

Très similaire à cette [question] (http://security.stackexchange.com/questions/662/what-is-your-way-to-create-good-passwords-that-can-actually-be-remembered).
Non, c'est une méthode pour générer un mot de passe. Mais utiliser le même mot de passe tout le temps n'est pas une option, et un mot de passe différent même généré avec l'une des méthodes référencées est très difficile à retenir. Vous souvenez-vous d'un mot de passe sur un site Web, vous n'avez pas visité les deux dernières années?
La technique décrite par [Yann Esposito] (http://yannesposito.com/Scratch/en/blog/Password-Management/) et John fonctionnerait très bien, s'il y avait [une fonction de hachage que l'on peut calculer sans ordinateur? ] (http://crypto.stackexchange.com/questions/765/is-there-a-simple-hash-function-that-one-can-compute-without-a-computer).
Vous avez toutes vos informations sur un mot de passe sécurisé ** faux **.1) Le but d'un coffre-fort de mot de passe est de ne * pas * se souvenir du tout de vos mots de passe.Les mots de passe faciles à retenir sont les mauvais mots de passe 2) Vous * toujours * faites des sauvegardes sur d'autres appareils physiques et / ou quelque chose comme google drive / dropbox etc. 3) Non, le * seul * ** très fort ** mot de passe dont vous devez vous souvenir estpour le mot de passe sûr et il doit être suffisamment fort pour être incassable.De plus, les coffres-forts de mots de passe utilisent un si grand nombre de tours pour le hachage que le forçage brutal est incroyablement lent (par exemple, 1 mot de passe par seconde au lieu de milliards ..)
4) Vous ne conservez pas tous vos mots de passe dans un seul mot de passe sécurisé.Par exemple, j'en ai deux, un pour les trucs génériques et un autre pour les services bancaires, etc.à partir de là ... beaucoup plus sûr que d'y accéder via un OS non fiable (ils peuvent toujours avoir un keylogger matériel ...).Vous pouvez également simplement conserver le gestionnaire de mots de passe sur la clé et l'utiliser à partir de là sans démarrer votre propre système d'exploitation, mais c'est moins sécurisé.
Onze réponses:
#1
+17
nealmcb
2010-12-20 02:33:00 UTC
view on stackexchange narkive permalink

Question intrigante. Voici un nouveau brainstorming, espérons-le mieux. Caveat emptor.

Générez deux bons mots de passe aléatoires difficiles que vous confiez en mémoire.

Prenez les lettres du nom du site dans l'ordre. Si la lettre est une voyelle, utilisez la lettre correspondante du premier mot de passe. Sinon, s'il s'agit d'une consonne, utilisez la lettre correspondante du deuxième mot de passe.

Par exemple. supposons que vos mots de passe soient (de apg) hicIrfyic9 et FritwoivAuv0. Pour le site stackexchange , les deux premières lettres sont une consonne, vous utilisez donc le "Fr" du deuxième mot de passe. Vient ensuite une voyelle, vous utilisez donc "c" à partir du premier mot de passe. Continuez et vous obtenez «FrctwfivA9».

Si vous craignez vraiment que quelqu'un trouve plusieurs de vos mots de passe et découvre le modèle, vous pouvez ajouter une méthode pour faire pivoter chacun des mots de passe de manière circulaire en premier ou quelque chose du genre, ou déplacez-les dans l'alphabet, ou autre chose, mais il est facilement possible de devenir trop paranoïaque et confus ....

Vous seriez capable de coder ceci sur vos machines habituelles pour plus de commodité, en l'ayant vous pour les mots de passe sous-jacents, mais être toujours en mesure de l'utiliser sur les kiosques, plus lentement, de la mémoire. Je ne suis pas convaincu que cette idée générale en vaille la peine, mais peut-être dans certaines circonstances.

Une bonne chose à propos de cette méthode est qu'elle semble complètement aléatoire, donc à moins que quelqu'un ne vous ait comme cible spécifique, il serait très peu probable qu'elle soit fissurée.
(Deux secrets, commutés par voyelle / consonne) A) Pas très résistant aux fuites.Lorsqu'un site divulgue le mot de passe, en moyenne environ la moitié de votre secret est révélé.Après quelques fuites, le secret restant peut être si petit qu'un attaquant pourrait essayer une force brute sur des sites non encore divulgués.B) Faire pivoter le nom du site avant, ou le mot de passe après, ajoutera une certaine protection, en cas de fuite «une».Après une «seconde» fuite, la quantité de rotation est connue et la demi-vie de votre secret est la même que sans rotation.
#2
+11
Rory Alsop
2010-12-20 01:03:50 UTC
view on stackexchange narkive permalink

J'ai une réponse bilatérale à cette question -

Vous pouvez le faire, et une méthode communément énoncée comprend une section basée sur le site Web et une section basée sur le temps. Vous pouvez créer un mot de passe comme blahblahebay2010 et cela serait probablement récupérable si vous y réfléchissiez dans quelques années. Fait ce que vous voulez.

Cependant, Je ne le conseillerais pas - vous ne devez pas utiliser un système qui signifie que votre mot de passe peut être défini. D'accord, vous n'êtes peut-être pas une grande cible - mais peut-être que quelqu'un voudra casser vos mots de passe ... donc s'il existe un algorithme que vous utilisez basé sur le site Web, vous réduisez considérablement la force du mot de passe. À la place, utilisez quelque chose comme Password Safe pour stocker tous vos mots de passe (qui peuvent être très longs, complexes, immémorables, etc.) et souvenez-vous simplement du mot de passe fort pour les protéger.

Les générateurs de mots de passe normaux utilisent également un algorithme pour générer le mot de passe. Une telle méthode de génération ne peut-elle pas être sécurisée, grâce à l'inclusion d'un mot de passe secret / maître qui fonde la génération? Je ne pense pas que le mot de passe maître + l'année + spécifique au site soit suffisant, mais une sorte de fonction de hachage sur la combinaison des trois ne fonctionnerait-elle pas?
@Mnementh Il s'agit plus du niveau de complexité que vous pouvez faire dans votre tête pour vous en souvenir un an ou deux plus tard. Vous ne pouvez tout simplement pas utiliser quelque chose d'aussi complexe que les outils de génération de mots de passe. Avec des outils tels que Password Safe, il est tout à fait logique d'éviter le risque de ne jamais pouvoir se souvenir de votre mot de passe et de perdre l'accès dans les années à venir.
C'est pourquoi je demande une méthode pour reproduire le mot de passe. Je peux oublier le mot de passe, mais j'ai une méthode pour le récupérer. :-)
#3
+11
Thomas Pornin
2013-02-03 02:19:01 UTC
view on stackexchange narkive permalink

Si vous voulez simplement des mots de passe différents pour les différents sites, ajoutez simplement le nom du site à un mot de passe "de base" commun. Par exemple. vous vous souvenez de la base "7g93hrew9" et ensuite vos mots de passe seront 7g93hrew9ebay, 7g93hrew9amazon, ...

Bien sûr ce n'est pas satisfaisant. Cet exemple a pour but de montrer ce que vous voulez réellement: vous ne voulez pas de mots de passe "différents", vous voulez des mots de passe tels que connaître plusieurs d'entre eux ne permette pas de deviner le mot de passe d'un autre site. Cryptographiquement, vous voulez que votre générateur de mot de passe soit une fonction pseudo-aléatoire qui prend comme entrée le nom du site et génère le mot de passe propre au site.

Il existe des preuves empiriques que c'est impossible de construire un PRF qu'un humain peut (raisonnablement) calculer dans sa tête. En effet, si vous regardez les fonctions de hachage cryptographique, les plus rapides (MD4, MD5 ...) ont été cassées, les moins rapides (SHA-1) ont été quelque peu affaiblies, et les plus fortes (SHA-256) sont plus lents. En regardant le nombre d'opérations élémentaires, vous pouvez voir une sorte de coupure autour de 1000 opérations pour hacher un petit bloc. Un seuil similaire est observé dans le concours SHA-3. Il semble qu'il y ait un minimum de travail à effectuer pour assurer la sécurité, et ce montant représente au moins quelques centaines d'opérations, ce qui est trop pour un cerveau humain moyen.

Par conséquent, j'ai peur qu'il n'y a pas de bonne réponse à votre question.

#4
+9
Yaur
2011-05-23 08:11:49 UTC
view on stackexchange narkive permalink

utilisez une tabula recta qui combine un algorithme simple qui n'utilise que Know avec un jeton physique que vous n'avez qu'à créer des mots de passe aussi longtemps que vous le souhaitez.

#5
+2
Chris Allen Lane
2011-05-22 23:56:47 UTC
view on stackexchange narkive permalink

Du point de vue «wetware», voici un livre intéressant que vous aimerez peut-être lire:

Le livre de la mémoire

C'est l'un des livres classiques sur la formation de la mémoire. Je l'ai lu quelques fois maintenant et je trouve que les techniques sont très efficaces. Il va de soi que si vous pouvez entraîner votre mémoire à un niveau suffisant, vous pouvez utiliser les mots de passe de votre choix sans difficulté. (Cela, au moins, semble fonctionner pour moi.)

Le livre comprend un chapitre sur la mémorisation de chaînes aléatoires de caractères (ou du moins, la version sur mon étagère le fait), donc cela pourrait être très utile .

Personnellement, je trouve également l ' alphabet phonétique OTAN utile. Pour une raison quelconque, je trouve simplement "Alpha" plus facile à retenir que "A" (par exemple).

J'espère que cela vous sera utile.

#6
+2
john
2011-05-23 00:08:54 UTC
view on stackexchange narkive permalink

Pourquoi exécuter un algorithme pour dériver des mots de passe spécifiques à un site dans votre tête, ou mémoriser tous les mots de passe, alors que vous pouvez utiliser un simple javascript pour faire cela?

C'est hors sujet si vous voulez vraiment calculer des trucs dans votre tête, mais je vous le proposerai quand même:

Pour mes mots de passe, j'utilise un javascript personnalisé similaire à celui disponible ici: http://www.supergenpass.com

L'idée générale est que vous créez une page Web avec un script ou que vous utilisez la version mobile de la page ci-dessus - pas le bookmarklet (voir la discussion ci-dessous).

Le script serait accepter deux paramètres: un mot de passe principal et l'url d'un site Web (dans le cas du bookrmarklet, il obtient l'url automatiquement).

Ensuite, il effectue des calculs cryptographiques basés sur ces paramètres (essentiellement crée et hachage, par exemple base64-md5, sur la concatination du mot de passe principal et de l'url, et le fait 10 fois ou autant de fois que vous le souhaitez) et génère un mot de passe long, à haute entropie et spécifique au site que vous copiez et collez dans yo votre champ de formulaire.

Vous n'avez même pas besoin de le voir ou de vous souvenir de vos mots de passe, et ils ne sont pas stockés n'importe où comme dans un coffre-fort de mot de passe, mais sont générés à temps. Vous vous souvenez simplement de votre mot de passe principal et vous avez terminé.

Je ne sais même pas quel mot de passe j'utilise pour chaque site, et j'en suis assez content.

Notez cette discussion sur le niveau de sécurité que vous obtenez réellement de supergenpass: http://akibjorklund.com/2009/supergenpass-is-not-that-secure
Je connais la page que vous mentionnez, mais bon, je n'ai pas dit que j'utilisais supergenpass, j'utilise ma propre version, généralement sans bookmarklet. Mais le risque théorique est très faible: il faut cibler spécifiquement supergenpass pour rassembler n'importe quoi, aussi noscript atténue la plupart des attaques théoriques car le code du bookmarklet est fiable.
@john, Je ne vois pas pourquoi votre version serait fondamentalement meilleure; semble être encore vulnérable aux mêmes attaques. On dirait que vous comptez sur la sécurité à travers l'obscurité. Peut-être que vous ne serez pas attaqué, car personne ne se souciera de vous, alors peut-être que c'est parfaitement bien pour votre propre usage - mais je ne le recommanderais pas à d'autres comme une excellente solution.
@D.W. Oui, je suis d'accord que c'est la sécurité par l'obscurité si vous utilisez des bookmarklets, c'est pourquoi je ne les utilise pas. Le point de ma réponse était que vous pouvez faire quelque chose d'intelligent sans vous fier à la mémorisation des mots de passe ou des schémas, juste en calculant à temps. Je modifierai la réponse pour supprimer les références aux bookmarklets.
@D.W. Modification de la réponse, j'espère que c'est mieux maintenant. Je crois toujours que c'est une excellente solution au problème d'utilisation quotidienne des mots de passe, si vous créez le mot de passe sur une page séparée et copiez-collez-le.
On dit qu'une extension Chrome supergenpass résout le problème relevé par akibjorlklund. Je vois trois extensions Chrome pour cela. On ne sait pas ce qui est le mieux et dans quelle mesure ceux qui stockent le mot de passe principal pendant la session sont sécurisés. Suggestions?
#7
+1
sdanelson
2010-12-20 02:00:38 UTC
view on stackexchange narkive permalink

Je ne recommande pas de faire quelque chose comme ça, mais pour les coups de pied et les rires, voici une méthode.

Password = Concatenate ((C - length (y) - length (x)), PascalCase (x ), répéter (".", (longueur (y)% 2) +1))

Où:

C = constante numérique> 3 chiffres
y = le significatif texte de l'url du site
x = mot que vous associez au site

Exemple:

C = 1234
y = security.stackexchange
x = obscurité

Password = Concatenate ((1234 - 22 - 9), "Obscurity", ".")

Password = 1203Obscurity.

La faiblesse évidente est que vous devez vous souvenir d'un mot que vous associeriez au site. Et avant que quiconque le commente dans mon exemple, je ne dis pas que security.se est obscur. Je fais remarquer que Obscurité! = Sécurité. Et non, je ne l'utilise pas pour mes mots de passe.

#8
+1
David Andersson
2016-08-23 06:55:36 UTC
view on stackexchange narkive permalink

En 2014, Manuel Blum a présenté un algorithme qui peut être calculé dans l'esprit et qui convient à la génération de mots de passe. http://scilogs.spektrum.de/hlf/mental-cryptography-and-good-passwords ( Cryptographie mentale et bons mots de passe )

Description: votre secret est une correspondance entre les lettres et les chiffres et une correspondance entre les chiffres et les chiffres. Il est important qu'ils soient assez «aléatoires». Un effort initial est nécessaire pour apprendre ces mappages par cœur, mais ensuite, générer un mot de passe n'implique que l'arithmétique modulo 10.

Extrait:

Appelez votre correspondance des lettres aux chiffres f. Vous pourriez avoir, par exemple, f (a) = 8, f (b) = 3, f (c) = 7, etc. Comme il y a plus de lettres que de chiffres, certaines lettres seront mappées sur le même chiffre.

Soit g la fonction qui envoie chaque chiffre au suivant dans votre permutation. Donc, si votre permutation était 0298736514 alors g (0) = 2, g (2) = 9, g (9) = 8, etc.

Voici maintenant comment vous utilisez la méthode pour générer des mots de passe.

  1. Convertissez le nom de votre compte en une séquence de n lettres.

  2. Transformez cette séquence de lettres en une séquence de chiffres en utilisant votre carte f. Appelez cette séquence de chiffres a0a1a2… an.

  3. Calculez b1, le premier chiffre de votre mot de passe, en ajoutant a1 et an, en prenant le dernier chiffre et en appliquant la permutation g. En symboles, b1 = g ((a1 + an) mod 10).

  4. Calculez les chiffres suivants par bj = g ((bj-1 + aj) mod 10).

Voir le commentaire de Gnurf sur la page liée pour certains inconvénients de cette méthode et de la plupart des autres méthodes.

#9
+1
Zaakiy Siddiqui
2016-08-23 07:51:39 UTC
view on stackexchange narkive permalink

Il y a quelques bonnes réponses ici, mais en règle générale, si vous pouvez penser à un algorithme pour le faire dans votre tête, il y a de fortes chances que l'algorithme fasse déjà partie des outils d'exploitation existants. :-)

#10
  0
KnightOfNi
2014-02-28 03:42:08 UTC
view on stackexchange narkive permalink

Vous pouvez utiliser un mot de passe faible chiffré en utilisant l'URL du site comme PSK. Vous pouvez facilement dupliquer le cryptage, mais les attaquants auraient du mal à obtenir votre mot de passe, car ils devraient d'abord craquer, mais la connexion crypte votre mot de passe, puis force brute le PSK du cryptage qu'ils obtiendraient une fois qu'ils auraient décrypté. Cela prendrait un temps incroyablement long.

#11
  0
Thanatos The Hellfire Dawn
2016-08-15 12:37:08 UTC
view on stackexchange narkive permalink

cela peut être un peu difficile à faire dans votre esprit si vous n'êtes pas habitué à classer les valeurs des graphiques mais peut être corrigé pour ce nom d'intention du site converti en binaire puis additionnez chaque exemple "1" Site: facebookBin: 01100110 01100001 01100011 01100101 01100010 01101111 01101111 01101011 somme: 43442665 l'astuce est ce qui vient après, comme échanger des paires avec des voix et ainsi de suite, fac4b66k, ou si vous connaissez bien hexadécimal, convertissez simplement chaque lettre en hexadécimal (66 61 63 65 62 6f 6f 6b) et utilisez-le avec certains Vous n'avez pas besoin de tout convertir, juste une partie à utiliser comme swap ou base à partir d'un passage

A) L'étape initiale, compter les bits, entraînerait la correspondance des lettres avec un chiffre compris entre 3 et 6. Seulement quatre valeurs différentes.Et la plupart des lettres, environ 2/3 d'entre elles, seraient mappées à l'une des deux seules valeurs (4 et 5).Il ne reste plus beaucoup de hasard.Facilement forcé brutalement.B) L'ajout d'un sel, s'il est en clair, ou s'il est mutilé de manière constante, n'aide pas si un site a divulgué votre mot de passe.Un attaquant pourrait alors facilement deviner vos mots de passe sur tous les autres sites.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...