Сигурни и лесни за ползване пароли

[zloster]

Всички сме имали проблеми с измислянето и помненето на пароли за различните сайтове и услуги в Интернет и на работното място. Тук накратко ще обобщя моя опит по темата и ще представя прост подход към

• създаването,
• помненето,
• опазването
• безпроблемно използване на много устройства
• и съхранението

на достатъчно сигурни и разнообразни/неповтарящи се пароли. Едва ли има човек, който не е имал проблем с паролите. А по-неприятните проблеми започват при невежо отношение към тях.

Коментарите в другата темата (https://fordbg.com/forum/index.php?topic=42.msg143585#msg143585) ме подтикнаха да напиша това по-подробно. В нея препоръчах примерен алгоритъм (последователност от действия), с който лесно да постигнем задачите ни около паролите. Там споменавам за автоматично създадените (генерираните) пароли примерно в браузъра. Този подход има няколко критични недостатъка, които затрудняват прилагането му:
1) ако се ползва повече от един браузър, трябва да се синхронизират данните, т.е. от единия към другия да се прехвърлят. Съответно прехвърлянето на самото работно копие става проблемно - един и същ браузър за настолен и телефон;
2) съхранението на базата данни с паролите е предизвикателство като съхранението на архив от всеки друг тип. Всички знаем, че с архивите/backup, ползвателите им е трудно да се оправят и ги оценяват чак, когато изгубят веднъж ценни данни;
3) повечето схеми за автоматично синхронизиране предлагани от различните доставчици не предлагат защита от вътрешен достъп. Т.е. различни звена/лица от организацията могат да получат достъп до съхранените данни в нешифрован вид.

Частично горните проблеми може да се решат с използването на "Управител на паролите"/Password manager. Но при него остава проблемът с архивирането и използването на няколко различни устройства.

Какво може да се направи по въпроса та да е лесно, просто и сигурно?

Моето предложение:

Ако не ползвате "помощник за паролите" (защото ако ползвате няколко браузъра на няколко физически машини/телефони, става криво с актуалността на паролите), измисляте една фраза. Необходимо е тя да се пише лесно и да я помните лесно.
Примерно: laikakosmos (от Лайка, първото куче в орбита и съответната трагична съдба)
"Разкрасявате" с някой и друг специален символ и цифра: la!ka1kosmOs. (тук "i" се заменя от "!", a "o" от "О" и сме добавили "1" като разделител);
За финал при всеки нов профил/парола си добавяте няколко букви или цифри. Буквите може да са съкращение/част от името на услугата (примерно "yho" за Yahoo, "kur" за Google и "frd" за FordBG.com. Числата може да са примерно 5XXX, a XХХ да са през 10.

Съответно:
la!ka1kosmOsyho
la!ka1kosmOskur
la!ka1kosmOsfrd

Ето още два примера:
1) https://www.passwordcard.org/en - лист хартия малък формат с напечатани произволни цифри и букви. Има различни цветове за всеки ред и число-ключ, което служи за възстановяване на картата при физически проблем с нея.
[attach=2]
Ползването е описано достатъчно подробно.  А тук има и впечатления и забележки от ползвател: https://pthree.org/2010/09/21/password-cards/
2) https://www.qwertycards.com/ - пластмасова карта с произволно създаден ключ (текстовия низ върху клавиша "Интервал") и схема за кодирането на всеки символ от клавиатурата (шифър със заместване/substitution cypher).
Една парола при тях се състои от:
ключ (поредица върху интервала) + тайна дума (измислена от нас потребителите) + "показалец" (текстов низ, шифрован чрез простото заместване на символите от името му).
Те използват името на даден сайт. Примерно за bazar.bg показалецът ще е "bazar" и а всяка буква ще я заменим със съответстващата ѝ от изобразеното на картата.
[attach=1]

Моето предложение е много подобно на това последното. Техният ключ е конструиран така, че да отговаря на широко използваните изисквания към една парола: наличие на малки и големи букви, специални символи и числа. Тайната дума пази от злоупотреба с информацията (защитава я, защото тя е само в нашата глава), а последната част пък пази от разбиване схемата ни евентуално изтичане на данните някъде.
При мен аз обединявам функциите на техния ключ и тайната дума в едно. Тяхната схема за защита на името на сайта е безкрайно по-добра от моето предложение.

Ако искате да разделите личните от служебните си пароли? Просто измисляте 2 (две) тайни думи - една за личните пароли, друга за служебните. Всичко друго остава същото.
Ако искате няколко профила на един сайт/варианти на сайт? Добавете към "указател на паролата" част от потребителското име. Пример:
   сайт:       fordbg.com   Указател на паролата   шифровано изписване
   профил 1:   osnoven      fordbgo               .Adz2A
   профил 2:   proba         fordbgp               .Adz2*
   
За съхранението на резервното копие на ключа
Двата примера предлагат едно цяло физическо копие да се съхранява на трудно достъпно и тайно място. Първото предложение дава възможност чрез съхранения ключ да се възстанови съдържанието на картата. Моя вариант няма нужда от записване, но ако пострада паметта ни, губим достъп.

Обобщение/заключение:
Простите неща обикновено са най-добри и удобни. Използвайте ги.

Допълнителна информация:
https://www.uic.edu/apps/strong-password/
https://password.kaspersky.com/
https://www.idstrong.com/tools/password-strength-checker/
https://bitwarden.com/password-strength/
https://en.wikipedia.org/wiki/Substitution_cipher