Comment stocker des mots de passe écrits sur un ordinateur portable physique?

Dans un ordre approximatif de complexité croissante (pas sécurité, et les méthodes peuvent être combinées), voici quelques idées qui seraient faciles pour quiconque est habitué à des puzzles/à écrire du code/des mathématiques. Une idée plus complète est ci-dessous. NB: quand je dis "secret" je veux dire non écrit dans le livre. Ce sont tous faciles et plus utiles pour dissuader le voleur occasionnel.

• Avoir un élément secret mémorisé, commun à tous les mots de passe. *
• Variante mineure - un élément secret facilement dérivé du nom/nom d'utilisateur du site Web.
• Mettez trop informations dans le livre, par ex. sachez qu'en fait vous omettez les 4 premiers caractères de chaque mot de passe. *
• Compensez le compte et le mot de passe par un nombre constant d'entrées. *
• N'écrivez jamais le nom d'utilisateur complet, juste assez pour être un indice pour vous.

* Ces éléments présentent une vulnérabilité importante: une fois que l'obscurcissement est craqué pour une entrée, il est automatiquement craqué pour toutes les entrées sans autre effort.

Si l'algorithme exact est publié, il est clair qu'un voleur de cahiers qui pourrait également écrire des tentatives de connexion (ou une équipe bien sûr) pourrait appliquer l'algorithme de manière automatique - ou tous les algorithmes publiés. Le type de l'algorithme pourrait être publié, par exemple:

• À partir du mot de passe tel qu'écrit, appelez le premier chiffre x et le second y.
• Comptez x caractères du premier signe de ponctuation (ou premier caractère ou premier chiffre).
• Échangez ensuite la casse des lettres y suivantes (ou des lettres y) précédentes.
• Pour un code PIN à 4 chiffres mémorisé, incrémentez les quatre premières lettres par les chiffres de la broche (par exemple 1234 appliqué à a!bcd donnerait b!dfh).

Bien sûr, vous pourriez:

• Échangez les significations de x et y
• Incrémenter/décrémenter x et y.
• Comptez de la première voyelle.
• Échangez les cas de yconsonnes.
• Remplacez les chiffres par leurs lettres correspondantes par leur position alphabétique et vice versa.
• Échangez des chiffres pour la ponctuation sur la même touche (vous devez soit être sûr de la disposition du clavier que vous rencontrerez ou bien connaître votre propre clavier.)

Toutes ces opérations, par définition, peuvent être scriptées. Mais le voleur de bloc-notes devrait mettre la main sur (ou écrire) un script les implémentant (et c'est en fait un espace assez variable même sans élément secret. Ensuite, il devrait taper les mots de passe (un processus sujet aux erreurs avec au hasard -generated text), exécutez le script sur la liste et tentez de vous connecter avec les milliers de mots de passe potentiellement existants par site. Et espérez que le site ne se verrouille pas après plusieurs tentatives infructueuses.

Il vaudrait la peine de conserver une liste de sauvegarde, même si ce n'est pas une copie de sauvegarde du livre, comme une liste de sites pour lesquels les mots de passe doivent être modifiés/comptes marqués si le livre est manquant.

Comme pour de nombreuses mesures de sécurité, l'objectif doit être de faire trop d'efforts pour s'introduire. En combinant les efforts manuels et scriptés, vous faites beaucoup pour cela et augmentez vos chances qu'ils abandonnent.

J'ai créé un langage à cet effet. Aucun des symboles ne ressemble à l'anglais (sans dire s'ils ressemblent à une autre langue), il n'y a pas d'espaces, plusieurs lettres manquent, les modèles communs deviennent des symboles uniques (dis, ing, etc.) pour empêcher un décodage facile, il est écrit de haut en bas, de droite à gauche, dans une grille sans lignes, et j'ai utilisé la corbeille pour garnir chaque ligne.

Selon la façon dont je le stocke, j'utilise également une roue codeuse qui s'ajuste sur le placement de la dernière lettre. Si la dernière lettre utilisée est quelque chose comme h (système sans cas), ajoutez 7 à la roue de code des lettres suivantes. Vous pouvez inclure les roues de code sur la page dans la corbeille pour confondre davantage un attaquant. Comme vous pouvez créer plusieurs roues de code par page et décaler les nombres comme vous le souhaitez, cela empêche une attaque facile. Une autre option consiste à chevaucher les roues de code. Si vous êtes paresseux, vous pouvez utiliser un modèle numérique comme + 5, -2, + 3,6 comme un code PIN.

Utilisez un masque.

Non sérieusement. Utilisez quelque chose comme du carton d'épaisseur moyenne, disponible dans les magasins de fournitures de bureau ou de bricolage, pour créer un masque de grille rigide, peut-être 30x6 emplacements de caractères, et découpez des trous placés au hasard pour peut-être 40 à 50 caractères. (Vous pouvez évidemment choisir différentes dimensions, selon vos besoins.)

Pour écrire un mot de passe, placez le masque sur votre ordinateur portable, écrivez la longueur du mot de passe à travers les deux premiers trous (ou choisissez un caractère spécial qui signifie toujours "c'est la fin du mot de passe" et écrivez cela à la fin à la place), puis le mot de passe lui-même à travers les trous restants (soit dans le sens de la longueur ou par colonne en premier, encore une fois votre choix), autant que nécessaire. Lorsque vous avez terminé, retirez le masque et remplissez tous les emplacements de caractères restants avec des caractères parasites; le plus aléatoire, mieux c'est. Pour vous faciliter la tâche, commencez par dessiner une grille dans le cahier avant de saisir le mot de passe.

Lorsque vous devez lire un mot de passe, placez simplement le masque au-dessus du fouillis de caractères et ce qui reste visible sera le mot de passe plus les ordures aléatoires que vous avez utilisées pour remplir les emplacements de caractères qui ne font pas partie du mot de passe. (À ce stade, il vous suffit de connaître la longueur du mot de passe, d'où le caractère de terminaison ou l'enregistrement du nombre de caractères.)

Gardez le masque en sécurité mais séparé de l'ordinateur portable, peut-être dans votre portefeuille. Considérez le masque comme votre "phrase secrète principale".

Cela ne protègera pas vraiment contre un attaquant qui cible spécifiquement votre système et peut-être même vous spécifiquement, mais cela devrait fournir une quantité raisonnable de sécurité contre quelqu'un qui arrive à mettre la main sur le portable tout en ayant une surcharge faible lorsque vous êtes légitimement - en utilisant les mots de passe. La surcharge ici est lorsque vous enregistrez un nouveau mot de passe dans le bloc-notes, ce qui est souvent une situation que vous êtes en mesure de mieux contrôler (par exemple, il n'est probablement pas nécessaire de changer votre mot de passe bancaire lorsque vous êtes dans un cybercafé de manière aléatoire pays du Tiers Monde).

Si vous souhaitez améliorer encore le facteur d'obscurcissement, vous pouvez ajouter un décalage au schéma: enregistrez le nombre de caractères au début pour ignorer lors de la saisie du mot de passe.

S'il y a une caméra qui enregistre votre ordinateur portable pendant que vous entrez le mot de passe, il semble tout aussi probable, sinon plus probable, qu'elle enregistre également le clavier que vous utilisez pour entrer le mot de passe, auquel cas vous avez perdu presque quoi qu'il arrive schéma que vous utilisez pour masquer les mots de passe écrits.

Une méthode de base pour minimiser l'impact d'une personne capable de trouver des mots de passe en jetant un œil au bloc-notes serait d'avoir un mot de passe par page - si vous regardez celui-ci, c'est tout ce qu'ils peuvent voir.

Une autre alternative serait d'avoir une Diceware ou une liste similaire, et noter les numéros. Il ajoute une étape au "décryptage", dans la mesure où le propriétaire légitime doit faire une référence croisée avec une liste Diceware, mais cela ralentirait probablement un attaquant ayant accès au portable pendant une brève période - ils devraient probablement photocopier le liste complète, ainsi que tous les numéros spécifiques au site pour être sûr de l'accès.

Essentiellement, cependant, si le propriétaire peut "décrypter" instantanément, un attaquant peut décrypter un temps donné. S'ils y ont accès pendant un certain temps, ils peuvent clairement prendre une copie du contenu et y travailler sans que vous le sachiez (en vous faisant trouver le livre quelque part que vous considéreriez sûr, par exemple - peut-être dans votre maison où vous gardez normalement votre sac , où il aurait pu tomber naturellement).

Vous pouvez vous souvenir d'un mot de passe partiel fixe et ne noter que les parties variables. Cependant, dans ce cas, vous ne comptez sur aucun des sites que vous authentifiez pour ne pas être violé - dès que l'un est, vous devez considérer la partie partielle comme compromise et changer tous les mots de passe en l'utilisant, tout comme si vous aviez utilisé le même mot de passe partout.

L'option la plus sûre pourrait être d'avoir un coffre-fort physique dans lequel le portable est conservé et qui n'est ouvert que lorsque personne d'autre n'est là. Cela semble un peu exagéré pour la plupart des utilisations, mais c'est à peu près la méthode utilisée pour certaines données critiques, telles que les clés de signature racine DNS.

Écrivez un journal et intégrez les mots de passe dans les entrées. Il ne ressemblera pas à un livre de mots de passe. Quelqu'un devra le lire pour remarquer les mots mal orthographiés. J'ai utilisé un carnet d'adresses où les adresses, numéros de téléphone et codes postaux d'amis proches et de membres de la famille qui étaient des codes PIN et des mots de passe. Je connais les adresses et les numéros de téléphone des membres de ma famille, donc les enregistrer incorrectement n'a pas d'importance.

Il existe de nombreux exemples meilleurs et plus sûrs, mais j'ai pensé mentionner une chose que j'ai utilisée dans le passé, qui est des mnémoniques sous la forme de dessins/bandes dessinées pour représenter des phrases secrètes. Cela nécessite cependant que vous vous souveniez vaguement de la phrase secrète.

Un exemple pourrait être la phrase "L'anniversaire de Tommy est le 23 mars!". La bande dessinée pourrait consister en un personnage que vous rappelez mentalement comme "Tommy", célébrant son anniversaire, avec une punchline à une blague à papa (ou quelque chose avec une référence au site que vous utilisez), et daté/signé le 23 mars. Vous pouvez également ajouter de nombreuses autres bandes dessinées qui ne représentent pas des mots de passe pour les obscurcir davantage.

Pour quelqu'un qui passe, ce n'est que votre carnet de croquis. La plupart des gens ne sont pas intéressés à voler des griffonnages à un mauvais caricaturiste, et ne s'attendent surtout pas à ce que ce soit un livre de mots de passe. Dans le cas où quelqu'un le vole et connaît votre système, il devrait toujours être en mesure de comprendre comment vous traitez mentalement vos propres dessins, ce qui sera largement subjectif. Cela peut également être entravé par l'ajout d'informations de remplissage dans chaque dessin pour ajouter du bruit au mot de passe pour quiconque essaie de le déchiffrer. Si vous aimez la fantaisie, vous pouvez même pousser plus loin en créant des "lois" mentales sur ce qui compte dans votre monde fantastique que vous dépeignez à travers des bandes dessinées/dessins.

Comme je l'ai dit, il existe de bien meilleures façons de stocker physiquement les mots de passe, mais cela peut fonctionner pour les personnes qui utilisent bien les mnémoniques et cela peut aussi être très amusant!

Il était une fois, j'ai noté les différents NIP de mes cartes de crédit et bancaires. Je les ai convertis en base 9, puis j'ai ajouté un faux 9 supplémentaire quelque part dans chaque numéro. Je pense que c'était assez sûr, mais bien sûr, cela ne fonctionne que pour les mots de passe entièrement numériques tels que les codes PIN.

J'ai rencontré plusieurs tentatives de création d'une carte de référence de la taille d'un portefeuille utilisée comme mot de passe pour votre mot de passe. Un exemple: http://www.passwordcard.org/en

Je n'utiliserais pas l'un d'entre eux, mais si je le faisais, je passerais plus de temps sur mon modèle mental de la façon dont j'ai dérivé mon mot de passe, qui devrait fournir suffisamment d'obscurcissement pour que vous ne puissiez probablement pas acquérir la carte et le mot de passe en même temps. Si cela vous inquiétait, vous auriez besoin de trouver un moyen de modifier votre chiffre. "Le numéro de ligne est le chiffre du numéro de téléphone avec le troisième caractère du nom de domaine de ce site, la colonne est l'avant-dernier caractère converti en position numérique dans l'alphabet." Donc, Google.com est O = 6 sur le clavier, donc la sixième ligne, la colonne est G = 7, donc la septième colonne, puis décidez d'un autre facteur pour le nombre de caractères et la façon dont vous lisez ou comment vous déplacez chaque caractère. Diagonale, jusqu'à 1 et plus de 2, etc.

Au moins avec cette solution, vous pouvez perdre le "bloc-notes" et le remplacer plus tard, et vous ne compliquez pas trop les choses en essayant de trouver un schéma sécurisé. Si je vous remets ma "carte" avec les personnages que j'ai réellement utilisés, les chances que vous commenciez au bon endroit avec un site Web donné et que vous choisissez la bonne direction, la longueur, etc., sont négligeables.

J'utilise des indices mnémoniques. J'ai donc inventé un mot de passe que je peux construire à partir des indices, puis je ne stocke les indices que sur papier. Les indices peuvent être un doodle, une partie d'un dessin ou quelque chose qui me rappelle quel est mon mot de passe. Ou qui me rappellent la partie que je n'ai pas mémorisée. Donc, sans savoir quelles sont mes associations, il semblerait assez difficile pour quelqu'un de comprendre mes mots de passe à partir de mes indices.

La sécurité par mémorisation est-elle considérée comme une sécurité par l'obscurité? Il me semble que dans le contexte de la question, c'est aussi loin que possible, étant donné que c'est un système de mot de passe, et c'est un moyen d'éviter de déduire le mot de passe en regardant le cahier, à moins que quelqu'un ne me connaisse si bien que ils peuvent en quelque sorte déduire de mes indices. Je suis presque sûr que je peux inventer certains mots de passe, même pas les personnes qui me connaissent le mieux pourraient jamais en déduire, bien que cela nécessite plus d'intention de créer une phrase secrète qui est une étrange combinaison de choses, dont mon seul contexte est de me rappeler la phrase que je composé.

Exemple - un doodle abstrait avec de nombreux symboles et mots de passe, et je choisis un endroit pour une partie de celui-ci où il y a une petite courbe, et dans une direction il y a trois petites marques puis une longue, mais elles ne sont pas distinctes des nombreux autres gribouillis et points et ainsi de suite. Mais je me souviens que c'est la partie que j'utilisais pour me rappeler mon mot de passe. La courbe me rappelle une partie du corps, et les deux premiers mots sont cette partie du corps dans deux langues différentes, puis les trois marques sont une phrase à trois tons dont je sais que je me souviendrai, comme "yo ho ho", et la barre oblique est une dernière remarque dont je me souviendrai également, comme YOW !. Donc, je peux toujours me souvenir de "gomitoelbowyohohoYOW!" ... mais je ne pense pas que quiconque va même savoir où dans mon doodle chercher, et encore moins déduire ce mot de passe.

Vous avez un modèle de menace différent pour les documents écrits que pour les documents électroniques, mais la façon de les gérer est assez bien connue: restreindre et auditer l'accès physique.

Peu importe qu'il s'agisse de codes de lancement nucléaire ou de la combinaison du cadenas de votre petite sœur, sauf dans la manière spécifique dont vous allez effectuer ce contrôle.

Cela signifie également que, si vous souhaitez protéger ces données, vous ne devez pas simplement les brouiller, mais les chiffrer. Une façon de le faire pourrait être de crypter les données avec un mot de passe, d'imprimer le texte de cryptage sous forme de QRCode et de le stocker. Cependant, cela ne vous donne pas beaucoup d'avantages sur un contrôle d'accès approprié: c'est certainement plus sûr, mais il est assez peu pratique à utiliser et vous échouera probablement lorsque vous en aurez réellement besoin.

En 7e année, notre classe nous a fait écrire un journal. J'ai utilisé un code simple qui utilisait de nouveaux symboles pour les lettres, et je l'ai noté à l'arrière. Mais je l'ai vite mémorisé et facilement écrit directement.

L'utilisation de nouveaux symboles est moins déroutante que l'utilisation d'un chiffre de substitution des lettres. En fait, c'est plutôt facile.

Il obscurcit mais peut être brisé par des techniques normales ... si vous avez un texte anglais (ou autre) normal! Pour les mots de passe de lettres aléatoires, c'est assez sûr, sauf si vous avez un moyen de briser les entrées some et d'utiliser les résultats pour en lire d'autres. Cela peut être amélioré en ayant plusieurs entrées et en utilisant une autre méthode cachée pour savoir laquelle a raison.

Écrivez vos mots de passe à l'encre invisible.

Prenez un livre ordinaire ou un cahier qui avait une fonction différente (notes scolaires) et écrivez vos mots de passe dans les marges en utilisant une encre qui ne peut être visible qu'avec une lumière UV. Quiconque regarde le cahier/livre supposera que c'est ce qui semble être pendant que vous avez toujours accès aux mots de passe.

Remarque: je ne sais pas quelle est la durée de vie de l'encre invisible lorsqu'elle est utilisée sur du papier.

Règle numéro un: N'ÉCRIVEZ PAS VOTRE MOT DE PASSE

À la fin des années 60, les entreprises ont commencé à utiliser des ordinateurs centraux. C'était un nouveau concept dans les affaires. Le propriétaire de l'entreprise trouverait quelqu'un qui avait des aptitudes (voir avait un cours universitaire où ils ont effectivement vu un ordinateur) et leur demanderait (sous peine de résiliation) de devenir l'administrateur système. Le nouvel administrateur recevra un identifiant et un mot de passe. C'était un nouveau concept pour beaucoup de gens. Alors, ils ont écrit le mot de passe, juste au cas où.

Plusieurs personnes utilisaient l'ordinateur central sous le même compte. Le problème était que quelqu'un configurait tout pour un processus par lots, revenait plus tard pour le terminer et découvrait que quelqu'un d'autre était entré et avait tout reconfiguré pour leur processus par lots. Ce n'était pas très efficace. Des comptes ont été créés et des identifiants et mots de passe ont été distribués. Et bien sûr, les mots de passe ont été écrits.

Dans les années 80, il était temps de mettre des ordinateurs sur les bureaux des gens. Ils étaient tous connectés via un réseau à l'ordinateur central. De cette façon, vous n'avez pas à vous éloigner de votre bureau pour obtenir les résultats du travail que vous avez effectué sur l'ordinateur central. Cela a également donné aux gens juste assez de puissance à leur bureau pour effectuer certaines des tâches qu'ils devaient effectuer sur l'ordinateur central. De nombreux systèmes nécessitaient des mots de passe à huit caractères pour éviter que des mots simples et populaires ne soient devinés. Étant donné que les mots de passe étaient désormais plus complexes (oh, regardez, le mot de passe a 8 caractères, et personne ne le devinerait), les gens les ont notés.

Dans les années 90, il y a eu cette nouvelle mode qui a enthousiasmé tout le monde. Cela s'appelait les interwebs, non, intertoobz, non, attendez ... Internet. Et les systèmes se connectaient. Nous pourrions envoyer un e-mail instantanément au lieu d'avoir à en écrire un et à le poster. Nous avons donc commencé à utiliser des lettres, des chiffres et des caractères dans nos mots de passe de haute sécurité à 8 caractères ... que nous écrivions encore.

Dans le ... devrait (?) Nous avons commencé les opérations bancaires, les achats et l'école en ligne. Nous avons créé des comptes et utilisé le même mot de passe pour tous les protéger. Et pour ne pas oublier ce mot de passe, nous l'avons noté.

Nous voici en 2015. La personne moyenne a 30 identifiants et mots de passe différents dont elle doit se souvenir. Ils doivent comporter 15 caractères, des mots non basés sur la langue qui incluent des symboles, des chiffres et des majuscules et des minuscules. Il y a aussi une liste de choses qu'ils ne devraient absolument pas être.

Maintenant, je comprends que nous avons passé 5 décennies à former des gens à violer la règle numéro un. Je comprends aussi que les gens détestent le changement et la technologie.

Je me fiche de l'excuse. Oui, les logiciels malveillants sont une considération. Cependant, lorsque vous effectuez une véritable analyse des risques, les logiciels malveillants ne représentent pas un risque aussi important que d'écrire votre mot de passe. Vous pensez peut-être que vous êtes incroyablement difficile à trouver un système pour cacher votre mot de passe.

Tout ce dont j'ai besoin, c'est de prendre une photo d'une page, et j'ai aussi longtemps que j'ai besoin de déchiffrer votre mot de passe. Une fois que j'ai compris votre système, je peux entrer dans n'importe quoi dans le livre. C'est pourquoi c'est une réponse inacceptable. Un ordinateur est une meilleure solution que vous. Si ce n'était pas le cas, les gouvernements n'utiliseraient pas d'ordinateurs pour créer et contrôler les mots de passe.

Juste pour être complet, selon les commentaires à la question:

tilisez un texte ou un livre existant et dérivez-en des mots de passe

Imprimez un article ou emportez un livre avec vous, de préférence un livre qui ne suscitera aucun soupçon dans l'environnement ou les environnements que vous prévoyez d'utiliser le "cahier".

Décidez d'un algorithme sur la façon dont vous dérivez les mots de passe du texte du livre. Quelque chose comme "à partir des dix premiers mots d'un paragraphe spécifique, prenez la première lettre et assemblez-les pour former le mot de passe" est probablement un peu trop simple, mais vous trouverez sûrement un algorithme personnel qui est un peu plus difficile à deviner.

Pour mapper des mots de passe (c'est-à-dire des parties du texte) à des comptes, vous avez essentiellement deux options, mais elles peuvent également être combinées:

• Pour un compte, choisissez un passage de texte qui se rapporte en quelque sorte au thème du compte. Cela demande un peu de créativité. Par exemple, la partie d'une nouvelle où le personnage principal envoie une lettre à son amie peut indiquer que le mot de passe de votre compte de messagerie y est caché.
• Mettez des notes autocollantes ou similaires dans le livre. Marquez des parties du texte et écrivez des notes à côté d'elles. Il est parfaitement normal pour quiconque étudie un texte de le saupoudrer de toutes sortes d'annotations. Surtout si vous emportez ce livre avec vous tout le temps, c'est très plausible. Veillez à ce que vos notes ne rendent pas trop évident qu'un passage peut contenir un mot de passe. Peut-être aussi marquer certaines parties du texte qui ne contiennent pas de mots de passe, pour attirer l'attention.

Cela pourrait sembler un peu étrange si vous allez courir avec le même livre pendant les dix prochaines années. Cependant, les mots de passe sont censés être modifiés de temps en temps de toute façon. Donc, après un certain temps, procurez-vous un nouveau livre, préparez-le comme suggéré ci-dessus et changez vos mots de passe.

En prime, vous voudrez peut-être choisir un livre qui contient des listes de code source ou d'autres parties techniques. L'idée derrière cela est qu'ils se composent naturellement d'un grand nombre de caractères spéciaux (non alphanumériques). De cette façon, vous pouvez plus facilement dériver un mot de passe avec des caractères spéciaux à partir du texte.