回答“密码管理器(如LastPass)有多安全?”的答案建议将个人密码存储在物理笔记本上可能是一个合理的选择:


我知道有人不会使用密码安全,而是拥有带有密码的物理
笔记本以混淆的形式。这款笔记本
显然可以更安全地防御恶意软件...丢失或被盗的风险是否更高
是一个有趣的问题。


显然纸可以抵御任何恶意软件攻击。


要求脱机访问凭据。例如,一个
小型笔记本,您可以在其中写上所有
银行,商店,网站,甚至密码锁,地址以及您可能希望能够访问的所有其他详细信息的所有安全详细信息从
的任何位置。


此外,有时在笔记本中查找密码有时会更容易-例如如果您经常出差,则可以使用密码管理器应用将密码存储在智能手机上。但是,这意味着您的手机需要一直充电并可以正常使用,这又增加了一个故障点。


现在,不考虑笔记本可能丢失,完全被盗的可能性,被破坏或受到其他形式的人身伤害,我想集中讨论一个问题:

您将如何对密码(如第一引号中所述)进行混淆处理,以使密码不易被有能力的人破译看看笔记本呢?

另一方面,算法必须足够简单,以便笔记本的拥有者几乎可以在任何时间解码自己的密码。

奖金问题:

即使将这种算法发布在“信息安全性”上,还是可以将这种算法视为或多或少是安全的?或者混淆总是通过隐晦来暗示安全性(即将算法本身保密)吗?

是否可以设计一种混淆算法,即使假设的攻击者至少有几个小时可以访问笔记本,也无法或不可能解密密码?还是自然会与所有者可以快速解码其密码的要求相矛盾?

评论

您如何混淆密码?简单。您编写了《恐龙情色》,并在中间隐藏了密码。您认为人们会很尴尬而无法阅读。

另一种方法是获取现有文本,将其打印出来,然后确定例如每个段落中前十个单词的第一个字母组成一个密码……然后就某个段落所属的帐户留下一些线索。 。

您可以对所有内容进行模糊处理和Caesar加密,但是如果有人设法捕捉笔记本页面的图片并将其带回家,则游戏结束了。有两种保护静态数据的方法:严格的物理访问限制和严格的加密。如果要快速方便地访问笔记本,则不能使用前者;如果要快速且非计算机化的普通密码派生,则不能使用后者。

多年(在使用密码保险箱之前),我经常将它们打在手机列表的中间,例如“ Tom G .: 321-555-1234”,其中Tom G.是提示,电话号码是密码。除了你们之外,谁知道您不认识汤姆这个人?即使我告诉您这个概念,您也永远不会知道我的200个电话号码中的哪个是密码,哪个是真实的人。 -我知道这有点过时了;但也许可以增强这个想法。

“这意味着您的手机需要一直充电并可以正常使用”如果您始终没有可信任的设备,将如何使用密码?使用载有病毒的公用计算机?借用别人不信任的电话吗?

#1 楼

按照复杂度不断提高的顺序(不是安全性,方法可能会组合在一起),下面的一些想法对于那些习惯于困惑/编写代码/数学的人来说将是容易的。下面是一个更完整的想法。注意:当我说“秘密”时,我的意思是未写在书中。这些都很容易,并且对阻止随便的小偷很有用。


具有所有密码共有的记忆秘密元素。 *
次要变体-从网站名称/用户名容易获得的秘密元素。
在书中放入过多信息,例如知道实际上您忽略了每个密码的前4个字符。*
通过固定数量的条目来抵消帐户和密码。 *
请不要输入完整的用户名,仅足以为您提供线索。

*这些项目具有一个重大漏洞,即一旦对一个条目进行混淆处理,就会自动对所有人进行破解。无需进一步的努力。

如果发布了确切的算法,显然可以同时编写登录尝试脚本的笔记本小偷(或者当然要编写一组脚本)可以自动应用该算法-或所有已发布的算法。可以发布算法的类型,例如:


从编写的密码中,调用第一个数字x和第二个y。
从第一个标点符号(或第一个字符或第一个数字)开始计数x个字符。
然后交换下一个y字母(或前y个)字母的大小写。
用于记忆4位数PIN码,将前四个字母增加该引脚的数字(例如,将1234应用于a!bcd会得到b!dfh)。

当然,您可以:


交换x和y的含义

递增和递减x和y。
从第一个元音开始计数。
交换y个辅音的情况。
替换数字以及按字母顺序排列的相应字母,反之亦然。
交换数字以在同一键上使用标点符号(您可能需要对会遇到的键盘布局有信心,或者非常了解自己的键盘。)

根据定义,所有这些操作都可以脚本化。但是笔记本小偷必须拥有(或编写)实现这些功能的脚本(即使没有秘密元素,它实际上也是一个可变的空间。然后,他们必须输入密码(一个容易出错的过程,随机生成的文本),在列表上运行脚本,并尝试使用现在每个站点可能使用的数千个密码登录,并希望该站点在几次尝试失败后都不会被锁定。

最好保留一个备份列表,即使不是该书的备份副本,也可以作为一个站点列表,如果该书丢失了,则应该更改密码/标记帐户。

许多安全措施,其目标必须是投入太多精力。通过结合手动和脚本努力,您正在为此付出很多努力,并增加了他们放弃的机会。

评论


我正在考虑使用在笔记本上手写的无用文本作为密钥的书密码,这将是一种相当简单易用的方法,但实现起来却很晦涩。这些系统的主要风险是在城市大部分地区都存在无处不在的摄像机。甚至手机摄像头也具有从令人惊讶的距离拾取文字的分辨率。为了避免在有风险的情况下打开本书,这将需要操作安全性,从而降低其实用性。

–约翰·迪特斯
15年12月22日在18:15

@JohnDeters可以使用书密码。我想到的一件事是,需要进行迷惑处理,以便只需要书本和大脑。也许是迷迷的大脑。最坏的情况是CCTV会同时输入混淆的密码和键入的明文。这也是将密码从智能手机应用程序复制到计算机的问题。

–克里斯H
2015年12月22日在20:06

嘿,人们,我以为你是信息安全专家!如果我的网上银行管理员使用了这些技术中的任何一种,我会起诉他。整个问题都应该以“危险”结束,因为所有用户都会阅读并认为:“太好了!他们说可以将我所有的密码写在纸上!”

–vojta
15年12月23日在7:32

@vojta我认为问题的第一句话“对类似“ LastPass的密码管理器有多安全?”这个问题的答案表明,存储个人密码”明确表明我们不是在谈论企业级安全性。 :)

–tmh
15年12月23日在8:01

我的建议仅适用于随机字符串。如果有人把手放在书上,尝试了一些简单的操作并得到了真实的单词,即使这些单词是(例如)您的密码字谜,也会鼓励他们继续尝试。

–克里斯H
15年12月23日在8:19

#2 楼

我为此目的创建了一种语言。没有一个符号看起来像英语(不会告诉他们它们是否看起来像其他语言),没有空格,缺少几个字母,通用模式变成单个符号(dis,ing等),以防止容易解码,它被写成从上到下,从右到左,在没有线条的网格中,我用垃圾桶填充每行。

根据我的存储方式,我还使用了可移动的代码轮,该代码轮可调整最后一个字母的位置。如果最后使用的字母类似于h(无外壳系统),则将7添加到下一个字母代码轮。您可以在垃圾桶中的页面上放入代码轮,以进一步使攻击者感到困惑。由于您可以在每页上创建多个密码轮并按自己的喜好移动数字,因此可以防止容易受到攻击。另一种选择是重叠代码轮。如果您很懒,可以使用+ 5,-2,+ 3,6之类的数字模式,例如PIN码。

评论


如果哪个符号对应的字符从未发布过,并且您使用的是复杂密码而不是密码短语,则此方法可能会很好地工作,从而使统计分析无效。

–user72066
15/12/22在20:56

您需要解密一个密码多长时间?听起来可能要花几分钟(这不是一件坏事,也许有点不舒服)。不错的解决方案。

–十六进制
15年12月22日在21:13

我使用它的次数越多(在中学阶段就用它来传递便笺和进行寻宝游戏的地狱之谜),我就越快。在高中学习了几年之后,我能够使用密码以大约正常写作速度一半的速度来读写它。现在(12年后的几天),我使用AES和拇指驱动器,因此我生锈了,需要在上面挖掘我的原始论文。第一稿使用单行,上面有各种图案。后来,它变得很花哨,制作了仿造音乐字形的假线制动器。美好时光。

–卡约特
15年12月22日在22:17

#3 楼

最小化某人能够通过浏览笔记本查找密码的影响的一种基本方法是,每页只有一个密码-如果您正在查看该密码,那便是他们所能看到的全部内容。

另一种选择是拥有Diceware或类似的列表,并记下数字。它为“解密”增加了一个步骤,因为合法所有者需要与Diceware列表进行交叉引用,但是这可能会使攻击者在短暂时间内无法访问笔记本电脑–他们可能必须对笔记本电脑进行影印整个列表,以及任何可以确保访问的站点特定编号。

本质上来说,如果所有者可以立即“解密”,则攻击者可以在给定时间解密。如果他们有一段时间可以访问,他们可以清楚地复制内容并进行处理,而无需您知道(例如,通过使您在认为安全的地方找到这本书-也许是在您通常将书包放在家里的房子里) ,它可能会自然脱落)。

您可能会记住固定的部分密码,而只注意可变部分。但是,在这种情况下,您无需依赖任何经过身份验证的网站就可以防止其遭到破坏-一旦遭到入侵,您就必须考虑部分已被破坏,并使用该部分更改所有密码,就像您曾经使用过相同密码无处不在。

最安全的选择可能是拥有一个物理保险箱,将其保存在笔记本电脑中,并且只有在没有其他人在附近的情况下才能打开。对于大多数用途而言,这似乎有些过分,但这几乎是用于某些关键数据的方法,例如DNS根签名密钥。

评论


以每页一个密码的价格,这将是一本相当大的书-我的KeePass数据库拥有100多个条目。更大的书更难获得。

–克里斯H
15/12/22在14:20

假设您在两面都写了一张纸,那么100条记录只需要50张纸即可,这将暴露您正在使用的单个密码,以及另外一张。在A7上,一本96页的笔记本肯定是口袋大小的,您只需要在每页上写几句话(网站和密码),就不需要一本大书了。通过快速的Google网站,whsmith.co.uk / products /…将是理想的选择

–马修
15年12月22日在14:28

我承认,您的2倍会有所作为。我在想像信用卡大小的笔记本之类的东西。

–克里斯H
15/12/22在14:32

我有点假设,到了一定程度,这将变得很笨拙,而您由于不得不翻遍笔记本电脑而感到无奈,您跳到使用密码安全类型的应用程序!

–马修
15/12/22在14:38

#4 楼

写日记,然后将密码嵌入条目中。它看起来不会像一本密码书。有人必须阅读它才能注意到拼写错误的单词。
我使用了一个通讯录,其中的密友和家人的地址,电话号码和邮政编码是PIN和密码。我知道我的家人的地址和电话号码,因此正确记录他们并不重要。

#5 楼

戴上口罩。

不,认真。使用可以从办公用品或业余爱好商店购买的中厚纸板之类的东西来创建一个刚性的网格蒙版,尺寸可能为30x6个字符,并从其中随机切出40至50个字符的孔。 (显然,您可以根据需要选择不同的尺寸。)

要写下密码,请将面罩放在笔记本顶部,通过前两个孔写下密码的长度(或选择一个始终表示“这是密码的末尾”的特殊字符,并在末尾写上),然后根据需要,通过剩余的空位(长度方向或每列第一,再次是您的选择)来输入密码本身。完成后,移除遮罩,并在所有剩余的字符槽中填充垃圾字符;随机性越好。为了简化操作,请先在笔记本中画一个网格,然后再填写密码。

当您需要阅读密码时,只需将遮罩放在字符杂乱的顶部,剩下的就可以了可见的是密码以及您用来填充不属于密码的字符插槽的任何随机垃圾。 (此时,您只需要知道密码的长度即可,因此可以知道终止字符或记录字符的数目。)

请保管好口罩,但要与笔记本电脑分开,也许要放在钱包里。认为面具是您的“主密码”。

这并不能真正抵御专门针对您的方案甚至可能针对您的方案的攻击者,但是它应该为那些正当您合理使用笔记本电脑而开销很小的人提供合理数量的安全性。密码。当您在笔记本中记录一个新密码时,这种开销通常是可以更好地控制的(例如,当您随机地在网吧中时,可能无需更改银行密码)第三世界国家/地区)。

如果要进一步提高混淆因素,可以在方案中添加偏移量:记录输入密码时开头要跳过的字符数。

如果在输入密码时有一台摄像机记录了您的笔记本,那么似乎也很可能也在记录您用于输入密码的键盘,无论您采用哪种方案来混淆记下的密码,都几乎丢失了。

#6 楼

有许多更好,更安全的示例,但我想我提到的是过去使用过的一件事,即以图形/漫画形式表示助记符的助记符。但是,这确实要求您可以模糊地记住密码短语是什么。

例如“ Tommy的生日是3月23日!”这样的短语。
漫画可能包含一个您在脑海中想起的“ Tommy”角色,用打孔线庆祝他的生日开玩笑(或与您正在使用的网站有关的东西)开玩笑,并于3月23日签名/签名。您还可以添加更多不代表密码的漫画,以进一步模糊它们。

对于路过的人来说,这只是您的素描本。大多数人都没有兴趣从坏的漫画家那里窃取涂鸦,尤其是不要指望它会成为一本密码书。如果有人偷了它并了解您的系统,那么他们仍然需要能够理解您在心理上如何处理自己的图纸,这在很大程度上将是主观的。通过在每个图形中添加填充信息以给试图解密密码的人增加噪音,也可以阻止这种情况。如果您喜欢幻想,您甚至可以通过在漫画/绘画中描绘的幻想世界中重要事物的心理“定律”来进一步推动这一发展。

我说过,有很多更好的方法可以物理存储密码,但这可能对那些使用助记符的人有效,而且也很有趣!

#7 楼

曾几何时,我写下了信用卡和银行卡的不同PIN。我将它们转换为基数9,然后在每个数字的某处添加了一个虚假的额外9。我认为这是相当安全的,但是当然它仅适用于完全数字的密码,例如PIN。

#8 楼

我曾多次尝试使用钱包大小的参考卡作为您的密码密文。一个例子:http://www.passwordcard.org/en

我不会使用其中之一,但是如果我这样做了,我会花更多的时间在我的思维方式上我的密码,这应该提供足够的混淆性,以至于您可能无法同时获取卡和密码。如果您对此有所担心,则需要想出一些方法来改变密码。 “行号是该站点域名中第三个字符的电话号码,列是转换为字母中数字位置的倒数第二个字符。”因此,Google.com在拨号盘上的位置是O = 6,所以第六行,列是G = 7,因此是第七列,然后决定其他一些因素来决定多少个字符,读取哪种方式或移动每个字符。对角线,向上1或大于2,等等。

至少使用此解决方案,您可能会丢失“笔记本”并在以后替换它,并且不会使尝试提出的问题过于复杂一个安全的方案。如果我把我实际使用的字符交给您的“卡片”,那么您在任何给定网站上从正确的位置开始并选择正确的方向,长度等的机会都可以忽略不计。

评论


请注意,更换公用卡需要您安全地存储卡号,因此您可能在方格中。我将使用自己的列表并保留一份副本,而不是使用公用卡(可以很容易地替换)。也许您可以根据一项常见的工作来建立清单,例如使用在莎士比亚戏剧X中从Y页开始的顺序字母(不过要注意字母的频率)。这样,在最坏的情况下,您将能够从莎士比亚戏剧的副本中复制清单。

–Ángel
15年12月22日在22:03

无论哪种方式,您都在制作副本。手写的“随机”数据(哈哈)的笔记本页面也可能丢失。但是将卡号隐藏在您的钱包中或在其他任何数量的地方都可以单独识别为您的密码卡索引的地方是微不足道的。无论如何,这个问题的核心前提首先是非常荒谬的。

– jth
15年12月24日在5:05

#9 楼

我使用助记符提示。因此,我发明了可以从线索中构造的密码,然后仅将线索存储在纸上。提示可能是涂鸦,或者是绘图的一部分,或者是提醒我密码的东西。或那让我想起了我还没有记住的那部分。因此,在不知道我的关联是什么的情况下,似乎有人很难从我的线索中找出我的密码。

通过记忆进行的安全性是否算作通过隐秘的安全性?在我看来,在这个问题的背景下,这与可能的情况相去甚远,因为它是一个密码系统,并且是一种防止通过看笔记本来推导密码的方法,除非有人非常了解我,他们可以从我的线索中推断出来。我敢肯定,即使不是最了解我的人也无法推断出一些密码,尽管这需要更多的意图来构成一种奇怪的组合的密码,我唯一的上下文是记住我

示例-一个抽象涂鸦,上面有许多符号和密码,我选择了一个有一点曲线的地方,在一个方向上有三个小标记,然后是很长的一个,但它们与许多其他花键和点等没有区别。但是我记得他们是我用来提醒自己密码的部分。曲线使我想起了身体部位,前两个词是两种不同语言中的身体部位,然后三个标记是我会记得的三个音调的短语,例如“ yo ho ho”和斜杠是我还记得的最后一句话,例如YOW!。因此,我总是可以使我记住“ gomitoelbowyohohoYOW!” ...,但我认为其他人甚至都不会知道我涂鸦中的外观,更不用说推断出该密码了。

#10 楼

书面文档的威胁模型与电子文档的威胁模型不同,但是处理它们的方式是众所周知的:限制和审核物理访问。

不管是核发射代码还是妹妹日记的挂锁的组合都没有关系,除非您要执行该控制的特定方式。

此这也意味着,如果您想保护此数据,则不应简单地对其进行混淆,而应对其进行加密。一种方法是使用密码对数据加密,将密文作为QRCode打印并存储。但是,与适当的访问控制相比,它没有给您带来太多优势:它当然更安全,但是使用起来非常不便,并且在您实际需要它时可能会使您失望。

评论


您提出的加密+将加密数据存储为QR码的建议仍然取决于拥有能够读取QR码并将其解密的功能强大的受信任设备。在智能手机或类似设备上存储密码数据库并没有真正的改进。

–克里斯H
15年12月22日在13:43

我认为,在这个地方,我们应该追求更高的标准,而不是“它将保护笔记本电脑免受弟弟的侵害”。混淆从来没有而且也永远不会是适当的通用保护,但是它肯定会引起错误的安全感。如果忽略者只是有电话,该怎么办?还是护目镜?还是有摄像机的保安人员?混淆增加了高度复杂性,几乎没有增加保护。

– Stephane
15年12月22日在14:19

现在,闭路电视已经成为一个现实问题-看看它能多久看到PIN键盘。多年来,该领域中一些受人尊敬的人一直在说,实际上写下密码是一个好方法,因此,寻找防范什至相当简单的攻击的方法似乎是可行的。通过尝试促使人们使用在线服务(无论他们是否喜欢),脱机安全性可能是一个不错的方法。如果不采取定型观念,我相信我们所有人都会想到没有智能手机并且不应该因为恶意软件而在PC上运行数据库密码的人。

–克里斯H
15/12/22在14:27

@ChrisH并且使用密码依赖于具有动力的,受信任的设备,该设备能够访问密码所对应的资源。

–黑光闪耀
15年12月22日在20:33

@BlacklightShining。有信任就有信任。例如,旅行时朋友机器上的Webmail与从Internet Cafe进行银行业务的情况截然不同。在很多情况下,值得冒一个帐户被盗的小风险,或者不登录的风险大于不信任机器上登录的风险(酒店机器打印仅可用于电子机票的计算机)。飞行前一天,没有它,您将无法飞行)。

–克里斯H
15年12月22日在20:43

#11 楼

用不可见的墨水为您编写密码。

拿起具有不同用途的普通书本或笔记本(学校笔记),并使用只能在紫外线下可见的墨水在空白处写密码。任何看过笔记本/书本的人都会认为这是您仍然可以访问密码的样子。

注意:不知道使用不可见墨水的寿命是多少?纸。

评论


我怀疑您在笔记本电脑上发出紫色光可能会为您提供一些线索!

–马修
2015年12月22日在16:56



您将不得不私下查看密码,但是如果该书是在您的办公桌上公开放置的,则没人能知道这是您的密码书。紫外线会一直留在您的身上,或者远离笔记本电脑,以免引起注意。

–埃里克·约翰逊(Eric Johnson)
15年12月22日在17:01

确实,我每次想查找密码时都依靠紫外线光源和隐私确实不切实际。但是,如果您想保留笔记本的备份(不需要定期查阅),则不可见的墨水可能会很有用。

–tmh
15/12/23在10:27

#12 楼

七年级我们班上写了日记。我使用了一个简单的代码,在字母上使用了新颖的符号,并在后面指出了这一点。但是我很快就记住了,可以轻松地直接写出来。

使用新颖的符号比使用字母的替换密码要容易一些。实际上,这很容易。

它有点晦涩难懂,但是可以通过常规技术来破解...如果您有普通的英语(或其他任何形式)文字!对于随机字母的密码,除非您有某种方法可以破坏某些条目并使用结果读取其他内容,否则这是非常安全的。可以通过具有多个条目并使用另一种隐藏的方法来知道哪一个是正确的来改善这一点。

#13 楼

规则一:不要写下密码

在60年代后期,企业开始使用大型计算机。这是一个新的业务概念。该企业的所有者会找到一个有任何才能的人(请参阅他们实际看到计算机的大学课程),并要求他们(面临解雇的威胁)成为系统管理员。将向新管理员提供登录名和密码。对于很多人来说,这是一个新概念。因此,他们写下了密码,以防万一。

多个人使用同一帐户使用大型机。问题在于,有人会为批处理配置所有内容,稍后再回来完成它,然后发现其他人进入并为他们的批处理重新配置了所有内容。这不是很有效。设置了帐户,并发放了登录名和密码。当然,密码是写下来的。

在80年代,是时候将计算机放在人们的办公桌上了。它们都通过网络连接回大型机。这样,您不必离开办公桌就可以得到大型机所做的工作。它还为人们提供了足够的马力,可以执行大型机要完成的某些任务。许多系统需要八个字符的密码,以帮助防止猜测简单的流行密码。由于密码现在变得更加复杂(哦,看起来,密码有8个字符,而且没人会猜到),所以人们将它们写下来。

在90年代,这种新风潮使每个人都感到兴奋关于。它被称为interweb,不,intertoobz,不,等等... Internet。并且系统之间建立了连接。我们可以立即发送电子邮件,而不必写一封电子邮件。因此,我们开始在高安全性的8个字符的密码中使用字母,数字和字符...我们仍在写下来。

在……我们应该开始网上银行,购买和上学。我们创建了帐户,并使用相同的密码来保护所有帐户。为了确保我们不会忘记该密码,我们将其写下来。

这里是2015年。每个人平均需要记住30种不同的登录名和密码。它们的长度应为15个字符,不是基于语言的单词,包括符号,数字以及大小写字符。还有一些绝对不应该的事情。

现在,我知道我们花了5年的时间训练人们违反第一条规则。我也得到人们讨厌变革和技术。

我不在乎借口是什么。是的,恶意软件是一个考虑因素。但是,当您进行真实的风险分析时,恶意软件的风险不如记下密码大。您可能会想出一个隐藏密码的系统非常棘手。

我所要做的就是拍摄一张页面的照片,而且只要我需要破解您的密码即可。一旦弄清了您的系统,就可以开始学习本书中的所有内容。这就是为什么这是不可接受的答案。计算机是比您更好的解决方案。如果不是这种情况,政府将不会使用计算机来创建和控制密码。

评论


根据这种逻辑,似乎也没有充分的理由对存储在计算机上的密码进行加密。它所需要的只是密码文本的副本,而且您需要破解密码。 “真实风险分析”可以涵盖多种威胁,写下您的密码是缓解这些风险的一种可接受的方式。

– schroeder♦
15/12/23在21:43

这不仅不是答案,而且是由来已久的历史,与提出的问题无关。

– schroeder♦
15/12/23在21:44

@施罗德不,你是对的。我们应该告诉人们写下他们的密码。我们没有任何证据表明这是个坏主意,而且我们绝对没有任何证据表明这与将它们存储在受控制的加密系统中完全不同,因为它会使用同样容易破解的加密方法。查找模棱两可的逻辑谬误。

–埃弗里特
2015年12月23日在21:50



想象一下你坐在法庭上。您正在解释为什么以这种“加密”方式记下密码。首先,他们将一个明确的立场放到架子上,加密需要公开审查。他们通过假设您知道加密(WEP)来演示该问题。然后,辩护方将立场专家摆上了立场,他们说人们已经被告知“多年不要写下来”。接下来是政策。公司会为您的愚蠢行为承担责任吗?不见得。那么,帮助某人做在每个词义上都不好的事情是我的职责吗?

–埃弗里特
2015年12月23日在21:58



所以...不要将您的书面密码粘贴在显示器上吗?我知道,一旦找到书面密码,访问密码会更容易,但是我认为,在商业场景之外,大多数人更有可能将其帐户丢失给键盘记录器,而不是因混淆而盗窃笔记本电脑。不过,我了解您的无奈,并同意书面密码无法与一般办公环境完美融合。

–user72066
15年12月24日在1:01

#14 楼

为了完整起见,请针对以下问题发表评论:

使用现有文本或书籍并从中获取密码

打印文章或随身携带书籍,最好不要在您打算使用“笔记本”的环境中引起任何怀疑。

确定一种算法,如何从书中的文本中获取密码。诸如“从特定段落的前十个单词开始,取第一个字母并将它们放在一起以形成密码”之类的东西可能有点太简单了,但是您肯定会找到一种很难猜测的个人算法。

要将密码(即文本的一部分)映射到帐户,您基本上有两种选择,但也可以将它们组合使用:


对于帐户,选择某种程度上与帐户主题相关的文字。这需要一点创造力。例如,在短篇小说中,主角向她的朋友发送一封信可能表明该帐户中隐藏了您电子邮件帐户的密码。
在书中放入便笺或类似内容。标记文本的各个部分,并在其旁边写上注释。对于正在研究文本的人来说,在文本上加上各种注释是完全正常的。特别是如果您一直带着这本书,这是最合理的。请注意,您的笔记不要太明显以至于段落可能包含密码。也许还会在文本中标记一些不包含密码的部分,以引起人们的注意。

如果您打算为同一本书籍四处浏览,可能会有点奇怪。未来十年。但是,无论如何都要更改密码。因此,过一段时间后,请购买一本新书,按照上面的建议进行准备并更改密码。

另外,您可能希望选择一本包含源代码清单或其他技术部分的书。其背后的想法是,它们自然包含许多特殊(非字母数字)字符。这样,您可以更轻松地从文本中导出带有特殊字符的密码。

#15 楼

写/打印纸上的完整字符,或使用已经写过的书或学校的旧论文,记住一些位置和样式并完成。

一页上可容纳5000个字符,
可能有5000 ^ n种不同的图案,
因此,信息为0时,比简单的纸张更难破解

如果不限制密码尝试的次数,则还需要在纸张上打印特殊字符和大写小写,或者也可以使用长密码。 br />
您还可以在纸上做一些假标记/伪造的谜语/伪造的词,以诱使攻击者尝试登录并潜在地警告/通知您。

评论


这大部分被jth的答案所涵盖

– schroeder♦
17年3月14日在16:21

我不同意,虽然方法很相似,但不尽相同,我的方法也更简洁。密码卡只有228个字符,来自互联网。该方案也很愚蠢,它实际上要求您记住2个比起1个符号更难记的东西。它还建议使用愚蠢的简单模式。它很容易暴力破解。

–希望对您有所帮助
17-3-14在16:54



您忘记了必须记住方案中的模式-一旦这样做,熵就直线下降,无论有多少个字符,它都容易被暴力破解。另外,该卡是便携式的。这个答案没有明显的不同。

– schroeder♦
17年3月14日在17:45



好吧,由于选择更多,所以基数要高得多,容易记住的可能模式数量也要高得多。这意味着无论如何我的回答都明显更好。一张纸或一本书也很容易携带。而且,如果您经常使用主密码,并且在旅途中使用lastpass登录到每个社交媒体帐户,那么您的密码可能就没关系了。卡的熵实际上比使用ascii密码的蛮力小,即使您将模式的存储空间减少到最小,我的回答实际上也更高。

–希望对您有所帮助
17 Mar 14 '18:19