it-swarm.com.de

Passwortverwaltung für Kinder - was ist ein guter Anfang?

Stellen Sie sich ein junges Kind (Grundschulalter) vor, das anfängt, Passwörter für Online-Dienste zu sammeln. Wie kann ein Elternteil (oder ein gleichwertiger Mitarbeiter) ihm bei der Verwaltung seiner Passwörter helfen?

Ein Beispiel, um die Dinge klarer zu machen: Meine Tochter möchte sich möglicherweise von mehreren Standorten/Geräten aus bei http://scratch.mit.ed anmelden, um der Familie ihre Projekte zu zeigen. Sie hat auch ein paar E-Mail-Adressen, von denen sie sich wahrscheinlich bald selbst benutzen wird (unter Aufsicht). Während ihr eigenes Gerät angemeldet ist, benötigt sie möglicherweise Zugriff von anderen.

Bisher kümmere ich mich um sie: Ich kenne ihr Passwort und ihre (pseudonyme) Benutzer-ID und speichere sie in meinem KeePass. Das ist zu diesem Zeitpunkt angemessen, aber es hilft nicht viel, wenn sie sie ohne mich braucht (zum Beispiel ohne Anmeldedaten im Klartext an ihre Großeltern zu senden). Es sollte auch eine Lösung geben, bei der ich diese Daten nicht besitzen muss, um mich an die allgemeine Regel zu halten, Ihre Anmeldedaten geheim zu halten. Das Auswendiglernen eines wirklich starken Master-Passworts ist wahrscheinlich ein bisschen zu fragen, und sie wird wahrscheinlich jeden physischen Speicher verlegen.

Ich plane gerne im Voraus und bewege mich also vorwärts: Was ist der beste Ansatz für ein junges, ziemlich kluges Kind, um die Anmeldungen sicher zu halten und bewährte Verfahren vor wichtigeren Konten zu trainieren?

164
Chris H

Vielleicht sollte die Lektion für Kinder weniger darin bestehen, wie man Tools zum Verwalten eines Passworts verwendet, als vielmehr zu verstehen, warum das Verwalten von Passwörtern wichtig ist.

Lassen Sie sie ihre Passwörter in ein Notizbuch schreiben. Viel Spaß beim Entwickeln einer Methode zur Verschleierung, falls das Notebook verloren geht. Bringen Sie ihnen Backups bei - bewahren Sie eine Kopie an einem sicheren Ort auf. Nach meiner Erfahrung sind sich Kinder und alte Menschen in Bezug auf die (falsche) Verwaltung von Passwörtern sehr ähnlich

Bis sie die Fähigkeit hatten, ihre eigene Passwortdatenbank zu verwalten, habe ich die Kinderanmeldungen auch in einem "Familien-KeePass" aufbewahrt. Dies ist das gleiche, wo die alten Familienmitglieder sind - weil Menschen sterben und man manchmal Dinge für sonst unfähige Menschen wiederherstellen muss. Die Vertrauens-/Risikokalkulation ist in einer Familiengruppe anders als in einem Arbeits- oder Sozialkreis. Es gibt auch einen Unterschied zwischen der Freigabe des Zugriffs auf ein Kennwort und der Freigabe eines Kennworts.

Es ist großartig, dass Sie früh darüber nachdenken. Viel Glück!

94
not_very_nice

Das Auswendiglernen eines wirklich starken Master-Passworts ist wahrscheinlich ein bisschen zu fragen

Ich stimme dir nicht zu! Ich habe eine Tochter, die mit etwa 7 Jahren schnell ein sehr sicheres Passwort mit der Diceware-Methode auswendig lernen konnte in einem Passwort-Manager. Diese Methode wählt mehrere zufällige Wörter aus einem Wörterbuch aus, das (normalerweise) aus 7.776 Wörtern besteht. Nur 9 Wörter sind log2(77769) ≈ 116 Bit.

Wenn Sie einen Passwort-Manager verwenden, der die Passwortverstärkung mit einem Algorithmus wie PBKDF2 unterstützt, können Sie die Länge des Passworts noch weiter reduzieren. Verwenden von 262.144 (218) Hash-Iterationen können Sie die Sicherheit eines 6-stelligen Passworts für die Protokollierung erhöhen2(77766) + 18 ≈ 96 Bit. Ein Beispielkennwort:

octopus handrail chasing hull shy ambition

Das ist nicht schwer zu merken! Es erfordert etwas Übung und ist nicht so einfach wie das Auswendiglernen eines schwachen Passworts mit nur ein oder zwei Wörtern oder dem Namen eines Haustieres, aber es ist etwas, was ein Kind, sogar ein kleines Kind, tun kann. Einige Kennwortmanager unterstützen mehrere gleichwertige Hauptkennwörter, sodass Sie ein Sicherungskennwort behalten können, bis Sie sicher sind, dass Ihre Tochter ihr Kennwort nicht vergisst. Dann können Sie Ihr eigenes Passwort widerrufen, damit Sie nicht unnötig auf ihre Passwörter zugreifen müssen.

und sie wird wahrscheinlich jeden physischen Speicher verlegen.

Wenn Sie die Kennwortdatenbank nicht synchronisieren möchten, können Sie einen zustandslosen Kennwortmanager verwenden. Dies ist ein Kennwortmanager, der eine Kombination aus einer Kennung für den Dienst, bei dem Sie sich anmelden möchten, und einem einzelnen, starken Hauptkennwort verwendet. Ein zustandsloser Kennwortmanager hasst eine Verkettung Ihres Hauptkennworts und der Dienstkennung. Es hat jedoch einige Nachteile:

  1. Sie können das Kennwort einer Site nicht ändern, ohne die Kennung oder das Hauptkennwort zu ändern.

  2. Wenn Ihr Hauptkennwort jemals kompromittiert wird, sind dies auch alle Ihre Website-Kennwörter.

  3. Das Hauptkennwort muss stark genug sein, um Angriffen von selbst zu widerstehen.

Wenn es einfach nicht akzeptabel ist, sich auf ein Speichergerät zu verlassen, um die Kennwortdatenbank zu speichern, sind zustandslose Kennwortmanager der richtige Weg. Sie können bei korrekter Verwendung sehr sicher sein.

30
forest

"Von mehreren Geräten aus anmelden", wenn Sie diese nicht besitzen, ist eine Gewohnheit, die aus Gründen der allgemeinen Sicherheit gestoppt werden müsste.

Sobald Sie alle Geräte im Szenario besitzen, ist eine Methode, die ich für junge Leute gesehen habe, die nützlich war, den Umgang mit Passwörtern insgesamt zu vermeiden: verwenden Sie den Prozess "Passwort vergessen".

Wenn das Gerät im Besitz ist und der Zugriff auf E-Mails auf dem Gerät erfolgt, fordern Sie einfach einen Link zum Zurücksetzen des Kennworts an und verwenden diesen. Nichts zu erinnern.

Eine andere Methode ist die Verwendung eines Online, Family Password Manager (LastPass verfügt beispielsweise über diese Funktion). Diese Funktion wurde speziell für dieses Problem entwickelt, ist jedoch mit Kosten verbunden, und der Cloud-Speicher und die Synchronisierung mehrerer Geräte mögen Sie möglicherweise nicht. Aber dies zu haben und es für Ihr Kind zu verwalten, könnte sich lohnen.

Sie können auch ein starkes Passwortmuster unterrichten. Ja, Muster weisen eine inhärente und offensichtliche Schwachstelle auf, aber diese Methode kann für Ihre persönliche Risikobewertung in Betracht gezogen werden.

Ich bin selbst ein Fan des "Passwort-Reset" -Prozesses.

15
schroeder

Jetzt bin ich mir nicht sicher, ob ich Recht habe, aber ich denke, dass es mir eine wunderbare Idee ist, Kindern grundlegende Gedächtnistechniken beizubringen. Es ist eine Fähigkeit, die ihr lebenslang hilft und auch hilft, das Aufschreiben von Passwörtern und Passwörtern mit niedriger Entropie zu vermeiden. Betrachten Sie ein 10-stelliges Kauderwelsch-Passwort wie [email protected]!lej2. Dies könnte leicht in Erinnerung bleiben, wenn Sie gerade eine Geschichte mit Zeichen des Passworts erfunden haben. Schröders Rat scheint auch gut zu sein, um ehrlich zu sein. Sie können ihr auch rechtzeitig beibringen, wie man Passwörter mit ausreichender Entropie generiert, und einen Passwort-Manager verwenden. Bis dahin sollte Mnemonik für Kinder gut funktionieren. Sie haben eine lebendige Vorstellungskraft.

EDIT: Die Antwort, die ich geschrieben habe, ist falsch. Der Mnemonics-Teil ist korrekt, aber das von mir gewählte Passwort ist nicht lang genug oder nicht leicht zu merken. Diese Frage befasst sich mit dem Thema Mathematik und Benutzerfreundlichkeit in Detail . Eine weitaus bessere Methode ist die, die Forest in seiner Antwort geschrieben hat.

0
Vipul Nair