考虑一个开始收集在线服务密码的年轻(小学年龄)孩子。家长(或同等人员)如何帮助他们管理密码?
一个让事情更清楚的例子:我的女儿可能想从几个位置/设备登录到http://scratch.mit.edu向家人展示她的项目。她还有几个电子邮件地址,其中一个她可能很快就会自己使用(在监督下)。虽然她自己的设备将登录,但她可能需要其他人的访问权限。
到目前为止,我已经为她处理好了:我知道她的密码和(假名)用户 ID,并将它们存储在我的 KeePass 中。这在现阶段是合适的,但如果她在没有我的情况下需要它们(例如,没有以明文形式将登录详细信息发送给她的祖父母),这并没有多大帮助。从坚持将登录详细信息保密的一般规则的角度来看,还应该有一个不需要我拥有这些详细信息的解决方案。记住一个非常强大的主密码可能有点要求,而且她可能会误用任何物理存储。
我喜欢提前计划,所以向前迈进:对于一个年轻、相当聪明的孩子来说,在更重要的帐户之前保持登录安全并训练良好做法的最佳方法是什么?
也许给孩子们的课应该少讲如何使用工具来管理密码,而应该更多地理解为什么管理密码很重要?
让他们将密码写在笔记本上。如果笔记本丢失,请尝试设计一种混淆方法。教他们有关备份的知识——将副本保存在安全的地方。根据我的经验,在密码(错误)管理方面,儿童和老人非常相似
在他们熟练地管理自己的密码数据库之前,我还将孩子们的登录信息保存在“家庭 KeePass”中。这与年迈的家庭成员的东西是一样的——因为人们死了,有时你需要为其他没有能力的人恢复东西。家庭群体中的信任/风险计算与工作或社交圈中的不同。共享对密码的访问权和共享密码之间也有区别。
你这么早就考虑到这一点真是太棒了。祝你好运!
记住一个非常强大的主密码可能有点要求
我不同意!我有一个女儿,她 7 岁左右能够使用Diceware 方法快速记住一个非常强的密码,以便在密码管理器中使用。此方法从包含 7,776 个单词的字典(通常)中挑选几个随机单词。仅仅 9 个字就是 log 2 (7776 9 ) ≈ 116 位。
如果您使用支持密码强化的密码管理器,使用 PBKDF2 等算法,您可以进一步减少密码的长度。使用 262,144 (2 18 ) 次哈希迭代,您可以将 6 字符密码的安全性提高到 log 2 (7776 6 ) + 18 ≈ 96 位。示例密码:
octopus handrail chasing hull shy ambition
这不难记住!这确实需要一些练习,并不像只用一两个单词或宠物的名字记住一个弱密码那么容易,但这是一个孩子,甚至是年幼的孩子都能做到的事情。一些密码管理器支持多个等效的主密码,使您可以保留备用密码,直到您确定您的女儿不会忘记她的密码。然后你可以撤销你自己的密码,这样你就不需要不必要地访问她的密码了。
而且她很可能会误用任何物理存储。
如果不想同步密码数据库,可以使用无状态密码管理器。这是一个密码管理器,它结合了您要登录的服务的标识符以及一个单一的强主密码。无状态密码管理器通过散列主密码和服务标识符的串联来工作。但是,它有一些缺点:
如果不更改标识符或主密码,则无法更改站点密码。
如果您的主密码曾经被泄露,那么您的所有站点密码也会被泄露。
主密码必须足够强大以抵抗自身的攻击。
如果依赖存储设备来保存密码数据库是不可接受的,那么无状态密码管理器绝对是不二之选。如果使用得当,它们会非常安全。
“从多个设备登录”如果您不拥有它们,这是一种需要停止以确保一般安全的习惯。
一旦你拥有了场景中的所有设备,我看到的一种对年轻人有用的方法是完全避免处理密码:使用“忘记密码”过程。
如果设备是自己的并且可以在设备上访问电子邮件,那么您只需请求密码重置链接并使用它。没什么好记的。
另一种方法是使用在线家庭密码管理器(例如,LastPass 具有此功能)。这个功能是专门为这个问题设计的,但它是有成本的,而且你可能不喜欢云存储和多设备同步。但是拥有它并为您的孩子管理它可能是值得的。
您还可以教授强密码模式。是的,模式具有固有且明显的漏洞,但它是一种可以考虑用于您的个人风险评估的方法。
我自己是“密码重置”过程的粉丝。
现在我不确定我是否正确,但我认为向孩子们教授基本的记忆技巧对我来说似乎是一个绝妙的主意。这是一项可以帮助她终生的技能,也有助于避免写下任何密码和低熵密码。考虑一个 10 位数的乱码密码,例如1kej@!lej2. 如果您只是使用密码字符编造故事,则可以轻松记住这一点。老实说,施罗德的建议似乎也不错。你也可以及时教她“如何生成足够熵的密码”,并使用密码管理器。在那之前,助记符应该对孩子们有用。他们有丰富的想象力。
编辑:我写的答案是错误的。助记符部分是正确的,但我选择的密码不够长或不容易记住。这个问题详细讨论了数学和可用性问题。一种更好的方法是森林在他的回答中写的。