Shranjevanje gesel

Pozdravljeni!

Že nekaj časa razmišljam kakšna rešitev bi bila najboljša za shranjevanje gesel. Ker bi rad večino obstoječih gesel zamenjal z bolj kompleksnimi in daljšimi postane problem ravno pri shranjevanju. Taka gesla si težko zapomnim in iščem najbolj optimalno rešitev.
Na Ubuntuju uporabljam TrueCrypt kjer imam shranjenih nekaj gesel, vendar me skrbi kaj če mi kaj crkne.
Potreboval bi tudi mobilnost, na primer da se hočem vpisati v e-mail iz knjižnice in imam kompleksno geslo, gesla pa imam shranjena doma.

Lep pozdrav, LinksysOne

Probaj tako da si zamislis stavke, ki si jih lahko zapomnis, potem pa se se zamisli algoritem, ki ti ta stavek pretvori v geslo. Ni cisto random, ampak bolje kot 123456

Napiši si gesla na listek in ga prilepi na ekran :)

Ja no pri meni nobeden nebi stikal, zato mi je to najboljša metoda.
Pa če gledaš tisti listek vsak dan si boš ziher zapolnil geslo.

To z gesli komplicirate preveč.

Malo je stvari ki potrebujejo dobro geslo. Poleg tega razlika med geslom:
"12345" in "2Fer5W1!r" je ogromna. Vmes je skoraj nešteto možnosti. Recimo geslo "MarjanCa16" je skoraj neugotovljivo. Pet takih gesel si pa ja boš zapomnil.

Združuj gesla za manjpomembnejše stvari skupaj, emaili naj imaj isto geslo, prijave v razne speltne trgovine isto geslo ipd Če je stvar res pomembna (recimo NLB klik)pa naj ima svoje geslo.

Če si paranoičen si pol nabavi tisti kartonček naključnih znakov in barv :)

Recimo geslo "MarjanCa16" je skoraj neugotovljivo.

Kardinalna napača. Preberi si sestavek The science of password selection, da boš videl zakaj.

Na kratko povzeto: cca. 14% uporabnikov si izbere geslo na podlagi nekega osebnega imena. Kar vključuje tudi variacijo z dodano številko. Konkretno je cca. 42% od teh 14% gesel natančno v obliki, kot si jo predlagal. Delež na celotno populacijo je torej nekje v rangu 3%. Reci, da sem paranoičen, vendar pa je to dejansko dovolj velik delež, da se ga izplača specifično ciljati pri napadu s slovarčkom.

Npr... neka za lase privlečena matematika z številkami kar tako na pamet.

Vseh različnih imen v Sloveniji: 10.000
Popvrečna dolžina imena v Sloveniji: 7 znakov
Povprečno dodanih števk na koncu imena: 2 števki

Torej 10.000 * 2^7 * 10^2 == 127.000.000 kombinacij za preverbo. Sliši se veliko, vendar pa upoštevaj, da je performansa za recimo SHA-512 cca. 99MiB/s na 1,83GHz C2D procesorju. Torej bo nekdo, ki iz strežnika ukrade pravo tabelo lahko pogruntal tvoje geslo v cca. 127.000.000/99.000.000/9 sekundah. To je cca. 11,5 sekunde. No, najdem quad core CPU in poženem štiri procese vzporedno, pa bom s tem dobil recimo 10s za štiri gesla prehodnosti.

Zaključek: v bazi s 100.000 uporabniki bom tvoje in tudi vsa po tvojem "pravilu" izbrana gesla dobil ven v cca. 100.000 * 2,5s == cca. 3 dni. Torej tri dni kuhanja CPU-ja in v rokah bom verjetno imel 3.000 uporabniških imen z gesli. Zmaga je moja!

Seveda to nima veze s tvojo prijavo preko spletnega vmesnika. Vendar pa se vprašaj naslednje: kdo vzdržuje spletni vmesnik? Kako so podatki tam varovani? Ali se lahko tvoje geslo poskuša uganiti tudi kako drugače, ne samo preko spletnega vmesnika? Ali obstaja možnost kakšnih SQL injection napadov na strežnik, da bi sicer varno enosmerno zgoščena gesla dobili ven? Cel kup vprašanj na katera v bistvu nimaš nekega odgovora, stvari pa so popolnoma izven tvoje kontrole. Torej je edino logično to, da če ti račun resnično nekaj pomeni, potem gesla niti pod razno ne izbiraš na takšen način.

Združuj gesla za manjpomembnejše stvari skupaj, emaili naj imaj isto geslo, prijave v razne speltne trgovine isto geslo ipd

Prosim naj nihče nikoli ne upošteva tega nasveta. Nikoli, nikolo in res nikoli.

Razlaga je tudi tukaj enostavna in razumljiva: cross password pollination. Na kratko gre pa tako: kaj se zgodi, če vam nekdo ukrade geslo na enem računu? Ali mu bo težko uganiti še druge račune na drugih spletnih mestih/email računih/forumih/štacunah/...? Ali resnično zaupaš vsem vzdrževalcem pri vseh podjetjih, da tega ne bo poskusil kdo izmed njihovih zaposlenih?

Dva zelo slaba nasveta, ki se jih ljudje še vedno radi držijo, ker jim lajšajo življenje. V resničnem svetu pa se potem držijo za glavo, ko jim en šibak člen povzroči cel kup težav še levo in desno. Potem pa jokanja tipa "ukradel mi je mail" ali pa "ukradel mi je MSN".

Če uporabljaš Firefox, Chrome ali Opero imaš pass syncing že vgrajen in vglavnem deluje zelo dobro. Ne rabiš nalagat neke 3rd party navlake.

Nekateri uporabljamo gesla še za kaj drugega, ne samo za web. Mene resno mika, da bi začel uporabljat keepass, ampak mi tako na uč deluje bloated (kot večina .NET stvari :)