Опасно ли записывать пароли? [закрыто]

1

У меня есть список паролей для некоторых сайтов, которые я использую в электронной таблице Excel (без макросов или чего-либо еще). Я читал много мест (онлайн и офлайн), чтобы «запомнить свой пароль или записать его в безопасном месте», но другие говорят «никогда не записывайте пароль!». Есть ли консенсус в области безопасности, если это приемлемо?

В качестве примера консенсуса я знаю, что совет «не использовать учетную запись администратора для неадминистративных задач» почти повсеместно дается / принимается. Есть ли подобный уровень согласия по этому вопросу?

Редактировать:

Чтобы уточнить, я специально искал «лучшую практику», согласованную на местах - если таковая имеется - потому что советы, данные различными сайтами и источниками, использующими пароли, противоречат друг другу.

KA
источник
Лучшая практика безопасности в отношении паролей - хранить их только в своей голове :) Но я признаю, что мы не можем запомнить все пароли (кроме случаев, когда вы ставите одни и те же везде, что тоже не очень безопасно). Лично я использую это маленькое программное обеспечение со встроенной зашифрованной базой данных: keepass.info
user2196728
1
В любое время ваш пароль может получить любой, кому вы угрожаете целостности всех данных, к которым у вас есть доступ. Так что да, это согласованная политика, SOP для проверки безопасности включает в себя поиск файлов или заметок с паролями в виде простого текста. Так что нет, вы только навредите себе, если запишите свой пароль Gmail, но вы поставите под угрозу всю компанию, если вы запишите свой пароль ERP.
Raystafarian
Если вы используете такую ​​программу, как Robopass или keepass, по крайней мере все ваши пароли зашифрованы. Да, у вас должен быть главный пароль, но остальные надежно зашифрованы. Если мастер-пароль не слишком слаб, то вы усугубили проблему.
Кибернард
Это такой широкий вопрос, большинство ответов объяснят, как защитить пароли. Я думаю, что вопрос в том, почему пароли не должны записываться? и должны ли правила сайта и принятые стандарты. Вы можете отредактировать вопрос, чтобы отразить это. Или это может быть лучше на InfoSec
Raystafarian

Ответы:

1

Основная идея паролей нарушена. (Я знаю, что это немного не по теме, но потерпите меня.) Когда они были разработаны, аналитические машины не стали идеей, и неправильный пароль означал, что вас пнули как минимум. Ко времени разработки unix уже было известно, что у паролей есть некоторые слабые стороны, но поскольку были физические средства контроля доступа (дверные замки), большинство людей не было обеспокоено. Сети изменили все, потребовалось время, чтобы понять это. Больше не были эффективными физические средства контроля доступа, и потребность в контроле доступа росла. Инженерное дело какое-то время сдерживало ситуацию, глядя на то, как быстро компьютеры могут угадывать пароли и сколько мы можем запомнить. Эти расчеты были растянуты и сломаны достижениями в скорости вычислений. В наши дни минимальный, возможно, безопасный пароль длиннее, чем мы можем вспомнить. И каждый человек, с которым вы делитесь паролем, ослабляет свою безопасность. Как минимум, чтобы пароль работал, вы должны поделиться им со службой, требующей аутентификации, поэтому использование одного и того же пароля с несколькими службами еще больше ослабляет его, а использование разных паролей с разными службами нагружает вашу память.

Так что же с этим делать? Пока проверка подлинности без пароля становится опцией, вот текущая лучшая политика (которая имеет известные недостатки):

  1. Используйте разные пароли для каждой сгенерированной службы без попыток создать пароли, которые вы можете запомнить.

  2. Запишите каждый пароль в каком-нибудь месте, которое можно защитить.

В этом поможет инструмент управления паролями, и я бы рекомендовал использовать его для паролей с низким и средним уровнем безопасности. Для паролей с высокой степенью безопасности и для пароля к вашему инструменту управления паролями я бы написал пароль на одном листе бумаги (не на блокноте) на твердой поверхности, которая не будет захватывать впечатления от записи, и помещать их в сейф или сейф.

Это не идеальное решение.

hildred
источник
И скажите своим близким (хотя бы одному), где вы сохранили свой главный пароль, или оставьте его там, где, как вы знаете, они найдут его в случае вашей смерти. Или, если у вас паранойя об этом, разделите информацию на несколько человек (вы можете Google что-то вроде «смерти мастер-пароля»)
Ян Догген
0

Думайте об этом со здравым смыслом.

  1. Если вы будете записывать пароль - то его можно найти и прочитать другие , если не находится в очень безопасной среде;
  2. Если вы не запишите свой пароль - у вас не будет возможности его найти и прочитать из газеты.

Также пароли для разных учетных записей должны обрабатываться по-разному. Пароль для вашей банковской учетной записи должен быть защищен более тщательно (или не менее), чем пароль для чего-то, что не является критичным (например, онлайн-игра).

Сам пароль бесполезен. Данные и учетная запись защищены паролем - это то, что должно служить критерием того, сколько усилий следует приложить, чтобы никто не узнал пароль.

Как пример - я не против написать свой пароль от точки доступа WI-Fi в моей квартире - потому что мне хорошо, если кто-то, кто живет со мной, узнает этот пароль.

Но я не буду делать это с паролем для своей электронной почты - потому что мне не хорошо, если кто-то, кроме меня, получит к нему доступ.

Редактировать:

В дополнение к этому общее правило, которое может быть применено здесь:

Каждый раз, когда вы вводите или пишете свой пароль (будь то процедура входа в систему или записываете ваш пароль), вы снижаете его безопасность только потому, что он покинул вашу голову и теперь существует как записанная вещь, которую можно прочитать или получить, прослушивая сетевой трафик. У хакеров будет больше шансов узнать ваш пароль, если вы входите в сеть 70 раз в день. Если вы заходите один раз в месяц, у них меньше шансов получить его.

То же самое с записанными паролями. Каждый раз, когда вы записываете его, его безопасность уменьшается, потому что теперь он также существует за пределами вашей головы.

VL-80
источник