Pages

Thursday, 21 September 2017

用PasswordCard管理你的密码

PasswordCard是一个信用卡大小的卡片,把它留在您的钱包里,您就可以轻松的为您的所有网站帐号选择非常安全的密码,而不必记住它们!您只需要随身携带它们,即使你的钱包被偷,小偷仍然不知道您的真实密码
PasswordCard生成地址:https://zh.passwordcard.org (我已经将其翻译为了中文)
PasswordCard在团队工作中,相比密码管理软件和人工管理,有很大的优势。让我们想想一下在一个系统运维团队中,我们需要管理多个系统帐号的密码和授权。只有我们授权的用户,才可以得到密码。这样问题来了,在这样一个团队里,我们 如何保证密码的安全呢?
我已知的方法有:
  1. 在一个被保护的页面(需要登录认证)保存密码列表
  2. 使用几个内定密码,不保存密码列表,定期更换
  3. 将密码信息文件,储蓄在具有密码保护的储蓄设备里(如 加密USB设备)
  4. 不使用密码认证,使用别的方式(SSH key的方式登录)
  5. 使用LDAP服务器认证登录,集中管理授权信息
在这里,我就不比较几种方式的优劣,下面就介绍使用PasswordCard可以带来哪些好处。在一个团队中,我们可以使用一张卡片,然后在团队安全会议中,告知方向规则,方向查找规则,是密码的核心,这些都不写在任何地方,并且也可以定期更改。然后使用一个密码列表来保存密码。这里的密码,已经通过PasswordCard“加密”过,通常呈现为这样的形式:
Server IP: 192.168.1.2
User Name: root
Password: Red smile
为了获得更高的安全,我们可以把这个密码列表采用第一种方式保存(在一个被保护的页面(需要登录认证)保存密码列表) ,这样,攻击者就算获得了访问密码页面的权限,也看不懂“Red smile”是什么意思。
如果攻击者同时拿到了PasswordCard,又破解了密码页面,找到了“Red smile”的对应码(在上图中 “Red smile” 对应的是数字5),也很难猜解到我们的读取规则。前提是,读取规则不是简单的从左向右或者从上到下的简单规则。
在团队中,询问密码是一件很尴尬的事情,我们不能在公开场合念出密码,这样有可能会被别有用心的人听到。使用PasswordCard也可以避免这样的情况。
PasswordCard是一种简单,高效的团队合作密码保护机制,它的作者也许没有意识到它在团队中的作用,而只是用作个人的密码保护工具。PasswordCard相比实施度复杂的LDAP方式和SSH key方式,是比较简单,成本低,高收益的方式。
但是,其实如果知道了“Red smile”,并拿到密码卡片,其实加大了对密码穷举成功的危险,例如密码长度是6,攻击者可以围绕数字5(“Red smile”)划一个6 x 6矩阵,如果你的密码提取规则没有超过这个范围,那么使用这个矩阵中的字符来穷举,需要的的最大尝试次数就减少到了36的6次方,相比盲目穷举(字母[大小写]+数字+符号),成功率就提高了很多.

No comments:

Post a Comment