我和妻子在许多网页上使用相同的帐户,例如音乐、视频和实用程序。我们希望改进我们的系统,让我们俩都能登录相同的帐户。我们的目标:
- 无处不在的确定和添加密码的权限。
- 我们使用多台计算机,需要从多个位置进行访问。
- 没有软件管理工具或服务。(例如 RoboForm)。
- 我们不想把所有的鸡蛋都放在一个容易受到黑客攻击的篮子里。
- 如果我们是另一台计算机上的访客,我们希望无需安装软件即可访问。
- 相当容易使用,无需记住很多秘密。
- 我们可以记住几个数字,或者大约 10 个单词的列表。
我们希望击败的例子:
- 托管在网络服务器上的纯文本文件。
- 显然安全风险太大。
- 纯文本文件托管在基于登录的协作站点(例如私人 wiki)后面。
- 私人维基百科越来越好,任何人都可以轻松更新它。但仍然太脆弱,因为所有密码都是纯文本。
- 协作站点上托管的混淆文本文件。
- 好的,现在我们正在谈论,但如何混淆它呢?
- 记住 3 个字符的密码前缀,只写下之后的唯一位。
- 如果有人知道一个密码并且找到了列表,那么其余的就显而易见了。 - 你最好在这里想个主意。
- 记住 3 个字符的密码前缀,只写下之后的唯一位。
- 好的,现在我们正在谈论,但如何混淆它呢?
答案1
如果您想要安全的话,我不知道您是否能够不安装软件。
就我个人而言,我使用 Dropbox + keepass。Keepass 加密了我的用户名/密码组合,而 dropbox 则将这些更改同步到我的所有电脑上。我甚至可以在外出时通过我的 (Android) 手机访问它。我真的认为这是所有领域中最好的权衡 - 因为即使有人确实获得了该文件的副本 - 我也足够信任 keepass,以至于坏人无法(至少不容易)进入它。
如果你真的很偏执,你可以使用 encFS 为你的云驱动器添加一层加密(Windows -http://members.ferrara.linux.it/freddy77/encfs.html)。但是,如果您想在旅途中访问您的凭据,这可能会变得复杂。
我反对“密码提示”,因为我个人的密码是随机生成的(通常是一些包含一些我认为容易记住的组合的字符)。对于某些事情,我多年来一直使用相同的密码。但这些服务通常提供 OTP 密码支持(如 gmail)。有时这很麻烦,但如果不利用它提供的安全性,那你就太愚蠢了。
如果您真的反对使用软件,我建议您使用启用了基本身份验证 SSL 的站点进行自我托管。假设文件是纯文本 - 我不会相信任何人在可公开访问的系统上使用我的凭据。(我甚至不会相信自己使用上述纯文本文件。)虽然您的基本身份验证可能会被暴力破解 - 但我相信您可以采取一些有趣的反黑客技术。而且 SSL 可以防止中间人读取您的数据。自签名证书可以足够了,但你最好确保你信任你所连接的互联网连接。
现在我正在考虑这个问题 - 你可以做一些更有趣的事情(而且我对组装一个原型很感兴趣)。后端的这个系统将存储一个加密的文本文件。当你通过你的网络浏览器打开时,它会提示你输入一个“密码”(或更简单的密钥)的消息框。提供此密钥后,它将通过 AJAX 请求文件并尝试使用该密钥解密。这样 - 虽然它是“明文”发送的,但中间人只会得到加密文件,并且它会被即时解密。这应该适用于任何浏览器(包括移动设备)。
答案2
选择一个您将一直使用的帐户名。双方均同意。
密码构建如下:
为前 8 个字符选择一个“root”密码。三个字符是小写字母。两个字符是大写字母。其余字符是键盘上的数字和符号。
这 8 个字符始终用于密码。接下来,您要决定将另外三个字符放在哪里。要么放在您最初想出的 8 个字符的开头,要么放在末尾。一旦您知道它们是前缀还是后缀,您就必须决定它们是什么。
这取决于您连接的网站或服务。如果您要连接 AT&T 的网站,则需要在原始 8 个字符密码中添加 att 或 ATT。
这样你们两个就知道了 root 密码。你们知道要添加哪三个字符,这些字符是针对你们要密码保护的内容的。你们知道它们要放在哪里。而且你们使用的每个密码都不同,但很容易记住。
您也不必说任何话,只需说“嘿,我今天创建了一个 LinkedIn 帐户。”您永远不必写下密码,共享密码(因为您有一个定义密码的系统),并且您可以以明文形式保存帐户位置列表。
我已经做了 15 年,从未因此发生过安全问题。如果您担心,可以查看我的个人资料以了解我的资历。
您可以根据需要修改系统。始终使用 3 代替 E(简单替换)。始终将基于位置的部分(三个字母的前缀/后缀)反向执行,或使用不同的大小写形式。
我有超过 200 个帐户,没有在任何地方写下或存储密码,而且我从未忘记过任何一个。
