Mi piace un buon XKCD comico; Randall Munroe ha un modo unico di taglio diritto al nocciolo dei problemi tecnologici e sempre lo fa in maniera divertente. tavolini Bobby rimane un classico di tutti i tempi ed è incredibile quante volte si vedrà è citato in discussioni sulla sicurezza - è stato finalmente integrato nella cultura pop (beh, almeno nel piccolo app-sec angolo del mondo).
Della scorsa settimana comica della password non ha fatto eccezione; roba molto divertente la gente andrà a dolore al fine di creare una password complessa che fine faranno dimenticare. Comunque, il punto cruciale del fumetto è stato questo pezzo sull'utilizzo quattro parole a caso come un modo per creare una password che sia memorabile e forte:
Attraverso 20 anni di sforzi, abbiamo addestrato con successo a tutti di usare password difficili da ricordare per gli esseri umani, ma per i computer facile da indovinare.Bravo, ma c'è un po 'di più ad esso che quello ...
Fermatevi qui se sei un sapiente, altrimenti continuate a leggere
Il problema è semplicemente questo: non si può applicare tale approccio costantemente (se non del tutto, in alcuni casi) e unico tra tutti i tuoi account e ricordare cosa diavolo sono e quali sono i siti a cui appartengono. In realtà siete davvero indietro, a conclusione della prima parte della striscia con la password sostituzione carattere dove Randall conclude "Difficoltà a ricordare: dura".Spesso, quando scrivo di gestione delle password ho un sacco di commenti su come qualcuno ha il sistema perfetto. Queste hanno incluso:
- Scrivere una breve frase
- Utilizzando Diceware per generare password
- La creazione di algoritmi complessi
- Rompere una parola con un carattere casuale
- Creazione di una password "seme" poi adattandolo a ciascun sito
- Utilizzando il "offset chiave" modello ("d" diventa "r", "v" diventa "g", ecc)
- Utilizzando la prima lettera di ogni parola in una frase
- Generazione di stringhe casuali da una riga di comando Linux
- Picking parole a caso e la loro combinazione (un derivato di altri approcci sopra)
E 'strano come spesso questi fino turno (spesso più volte nei commenti sul post uno), e la frequenza con cui l'autore pensa di aver colpito qualcosa di veramente unico ed innovativo.Sono anche stato chiesto di citare uno di questi "innovatori" se ho riprodotto la tecnica password in altro scritto!
I problemi con i suggerimenti sopra riportati sono numerosi:
- Molti siti limite di caratteri lunghezza della password di piccole dimensioni.
- Molti siti anche limite del campo di carattere - a volte ci permettono solo cifre.
- A volte si hanno più account per un sito web.
- A volte è necessario cambiare la password su un sito web (cioè dopo una violazione).
Conti conteggio
Ciò che rende questo Shenanigan password di unità difficile è che non è solo una password di cui abbiamo bisogno nel nostro mondo online, le sue molte, molte, molte password. Sì, OAuth o OpenID attraverso tutto sarebbe bello, ma diverso da quello che pongono problemi inerenti, non c'è proprio nessun modo la vostra banca medio è disposto a cedere qualcosa di così critico come l'autenticazione o autorizzazione ad un altro partito.Ora io non sono probabilmente il tuo utente medio in linea in virtù del lavoro nel settore, ma lasciatemi cercare di illustrare la portata del problema parlando di conti che ho. Questo è basato su quello che ho configurato in 1Password - uno dei leader nel software per la gestione delle password - dove ho creato una mezza dozzina di cartelle ho categorizzare i miei conti in:
Perché login bancario così tanti? Conti di risparmio, un paio di carte di credito, della finanza immobiliare, PayPal poi alcuni degli account di mia moglie e che, incidentalmente, sono spesso le stesse istituzioni. Oh, e la mia password Amex è limitato a 16 caratteri, quindi non posso applicare il principio comunque. Oh cavolo, c'è anche il mio conto in banca di San Giorgio ed è solo 12 caratteri. Uh oh, c'è anche IMB che vorrà solo cifre così ora ho un altro problema. Almeno è solo otto i conti!
Passiamo ai conti dello shopping e dato questi possono avere un impatto finanziario diretto su di me, io voglio tipo di badare a loro molto bene e ne avrei bisogno di una dozzina di combinazioni di parole più quattro:
Questo probabilmente non è che molti conti rispetto alle gravi acquirenti online, ma ancora, roba come eBay è molto importante per me, oltre naturalmente la maggior parte di questi hanno tutti i miei dati di fatturazione su file in modo che mi rintracciare se qualcuno si mette a comprare roba a nome mio.
E 'un po' la stessa cosa con i miei conti legati al divertimento, uso improprio di questi possono vite con me finanziariamente così ho intenzione di stare attenti con loro che significa che ho bisogno di altri quattordici combinazioni:
Molti di questi hanno la mia carta di credito sul file per non parlare del fatto che può rendere la vita molto dolorosa se i dettagli del conto cadere nelle mani sbagliate. esperienza recente Scott Hanselman di iTunes è un esempio di questo e questo è uno dei conti ho bisogno di proteggere. Ora aggiungete in altri negozi dove ho acquistato musica, giocato o ordinato i biglietti on-line e il numero di partenza accumulano abbastanza rapidamente.
Poi ci sono le compagnie aeree ei loro programmi ricompensa. Io non voglio vedere la gente in cui ho volato da e io soprattutto non voglio che la prenotazione di voli da parte mia con i miei sudati punti frequent flyer quindi cerchiamo di creare un'altra mezza dozzina di password uniche per loro:
Ah, e quasi senza eccezione solo compagnie aeree consentono di creare password con quattro o sei cifre così buttare via qualsiasi strategia password che non consente di fare questo.
Poi ci sono i forum online di cui mi sembra di aver accumulato un bel po '. Questi sono spesso molto liberamente messo insieme applicazioni e io so molti di loro sono memorizzare password in chiaro (basta provare la funzione di promemoria della password), quindi avrò bisogno di un altro 22 password univoche per favore:
Alcuni di questi non sono particolarmente significativo per me, ma in molti casi sono un piccolo - anche se importante - parte della mia identità online. Ovviamente ho speso un sacco di tempo in discussioni basate sulla tecnologia, ma anche in altri luoghi a parlare di auto, immobili e anche il caffè dove io non voglio che qualcuno salti dentro e leggere i miei messaggi privati o impersonare me e potenzialmente rovinare la lavoro che ho messo nel mio personaggio online. So che molte persone abbracciano "i conti usa e getta", dove non si preoccupano della sicurezza, ma la mia identità online è importante per me e non voglio che qualcuno salta su e di essere antipatico (o peggio), usando il mio nome, e-mail, possibilmente con foto e altri attributi online.
Ma forse uno dei più vulnerabili - o almeno "importante" categorie di conto che ho sono i social media, di cui ho accumulato un altro account di diciotto anni:
Questi account sono informazioni su tutto, dalle conversazioni che ho avuto con mia moglie a mio figlio foto di mia identità Twitter. È roba davvero importante per me ed è forse la contabilità che più desidero protette, in alcuni casi è alla pari con le cose come bancari (che hanno generalmente abbastanza buona protezione contro le frodi in questi giorni). C'è un paio di conti in là Io davvero non utilizzare (non potrebbe mai entrare in quadrato), ma ancora una volta, io ancora non desidera che altre persone scherzi con loro e di accedere ai dati personali.
Infine, c'è tutto il resto che non rientra perfettamente in una categoria in modo che sarà un'altra fifty password univoche da ricordare per favore:
Perché così tanti e ciò che sulla terra è là dentro? Tutto da e-mail a pacchetto FedEx tracking per RescueTime a Dropbox e backup Mozy al conto formula1.com avevo bisogno di essere in grado di utilizzare l'applicazione per iPhone. Cumuli di roba che profondamente a cuore, altre cose mi interessa di meno, ma ancora, questo è un bel po 'di password.
Quindi, in totale, sono il monitoraggio 130 conti. Pochissime persone leggeranno questo e hanno meno di 30 conti, anche se non riesco a pensare a tutti fuori della parte superiore della testa in questo momento (si può davvero ricordare ogni account che abbia mai creato?) Sii onesto, aggiungerli tutto e vedere che cosa si arriva a, anche quelli non si usa spesso. E se non si hanno 30 rappresenta ormai, per quanto tempo dovrà trascorrere prima che fai?Avendo recentemente passato attraverso l'esercizio di gestione delle password con mio padre nei suoi anni '60 e non provenienti da un background tecnologico, so che nella peggiore delle ipotesi, qualsiasi utente normale linea sarà quasi certamente hanno più conti di quanto possano contare sulle loro dita e decisamente più quanto possano applicare le loro memoria.
Il punto di tutto questo è quello di illustrare graficamente il volume dei conti online che inevitabilmente si accumulano e che basa la gestione delle password di memoria non funziona . Ci sono sempre delle eccezioni, siano esse con i siti con password di norme troppo restrittive, le istanze di più account per ogni sito o quando si desidera semplicemente modificare la password. E 'semplicemente irrealizzabile.
Non si tratta di memoria: è sulla capacità di recuperare
Un sacco di problemi con le password sembra derivare da gente pensando che devono essere in grado di ricordare le proprie password. Che sulla terra mai ha dato loro questa idea?! Il concetto è viziata da disegno, memorabile è l'antitesi di sicuro.Naturalmente ci sono un piccolo numero di account che non è necessario ricordare, la master password sul mio conto 1Password, per esempio. La password sul mio PC che io entro direttamente molte volte al giorno è un altro esempio e in entrambi i casi, non riesco a creare l'entropia che faccio per i miei account online utilizzando un gestore di password. Ma ripeto, queste non hanno la stessa esposizione e profilo di rischio come i conti online, anche se quello che un lato di tutelare è piuttosto importante.
Nel caso in cui non già chiaro, la mia tesi non è affatto contro la sicurezza del meccanismo del comico in sé e per sé, anche se Randall è così gentile da aggiungere un po 'di disclaimer testo alternativo per coloro che non possono essere soddisfatti:
A tutti coloro che capisce la teoria dell'informazione e della sicurezza e in una discussione esasperante con qualcuno che non (coinvolgendo, possibilmente maiuscole e minuscole), io sinceramente scusa.No, la mia tesi è semplicemente che non è possibile applicare questo meccanismo - o qualsiasi umano memoria legata meccanismo - in modo coerente e univoco. Questo è un problema piuttosto grande sia per la sicurezza e usabilità.
Quando la discussione passa dalla memoria al recupero, è improvvisamente una cosa completamente diversa. Tutti i piani elaborati, ma difettoso progettato per creare password che abbiano un senso per gli esseri umani possono andare fuori dalla finestra e si può iniziare a concentrarsi sulla schemi di password che senso per la sicurezza dei computer .Naturalmente, l'usabilità è un aspetto essenziale in quanto senza questo si inizia a compromettere l'obiettivo fondamentale della gestione delle password sicure. Questo è il motivo del calibro di 1Password fare sia la gestione delle password e il loro utilizzo la password facile - certamente molto più facile che cercare di allungare il muscolo di memoria nel fare le cose inconcepibili.
Conclusione: Fermare il discorso folle e ottenere con l'(gestione delle password) del programma
E 'incredibile la velocità con notizie su qualcosa che la gente vuole sentire viaggi. E 'stato solo qualche mese fa che la gente si crogiolano al euforia che tutti avevano bisogno di una password è qualcosa di simile a "questo è divertente". Che è stata rapidamente smentita dal sottoscritto , tra gli altri che lavorano nel campo della sicurezza, ma ancora un sacco di tempo di trasmissione e senza dubbio ha causato molte persone a prendere decisioni sciocco. Questo non è altro che la dieta Atkin di gestione delle password (chi avrebbe mai pensato che un cattivo consiglio la password sarebbe venuto da un designer di moda rivolto sociale esperto dei media?)E ora stiamo attraversando di nuovo il ciclo dopo il fumetto XKCD. C'è giàsimplestrongpasswordgenerator.com che sembra essere sorto in risposta diretta ai cartoon, sicuramente fa riferimento l'opera originale nel "Perché questo è un grande password" link. Ma se si vuole veramente vedere quanto velocemente la gente sta comprando in questa tattica, basta controllare i tweet riferimento l'URL . Un sacco di emozioni là fuori.
Come ho detto ieri via Twitter dopo aver visto il fumetto, "Quando la tua logica intero per una strategia password è dipendente da un fumetto, si sta probabilmente manca qualcosa".Intendiamoci, se avete letto il materiale giusto troverete suggerimenti che questo approccio deve essere fatto in sintonia con una mangiatoia password (quella sorta di sfida al punto di una password "memorabile" in ogni caso), o come la password principale di un password manager. In qualche piccolo dettaglio ma che in realtà non critico attraversato nel fumetto.
Ci sono prove più che sufficienti là fuori per suggerire che le persone sono sempre di scegliere password cattivo e il riutilizzo di loro (gli ultimi due link in fondo a questo post sono un buon esempio). E 'stato un anno molto attivo per la pubblicità su hack sito e coloro che non hanno impiegato pratiche buona password sono spesso scollarsi non solo sul sito violato, ma su siti successive in cui il riutilizzo è verificato. Purtroppo, se si seguono consigli "divertimento" o prendere il vostro fumetto troppo sul serio, c'è una buona probabilità cadrete a uno di questi hack prima o poi. E questo non è divertente affatto.
Corso Visual Studio - Corsi Visual Studio
Corso .Net- Corso Dot.Net - Corso Vb.net
Corso C# - Corso PHP - Corso Joomla
Nessun commento:
Posta un commento