A jelszókezelők előnyei és hátrányai – Lee Munson és Simon Edwards

Meggyőződésünk, hogy itt, a Comparitech.com oldalon mindenki profitálhat a jelszókezelő használatából.

De nem mindenki ért egyet velünk, és ide tartoznak az információbiztonsági szakemberek is, például Simon Edwards, az SE Labs igazgatója.

Ezt szem előtt tartva azt gondoltuk, hogy szórakoztató lenne szembeszállni a jelszóvédelemmel.

Olvassa tovább, hogy megtudja, hogy az én és Simon nézetei mennyiben különböznek ebben a fontos témában:

Lee Munson: A jelszókezelők ügyének felvetése

Információbiztonsági szakember véleményem szerint az adatok titkosságának, integritásának és elérhetőségének biztosítását szolgáló rendszerek bármelyik legnagyobb hibája az emberi elem.

Míg a műszaki vezérlők (víruskereső, tűzfalak stb.) Mindegyikének megvan a gyenge pontja – ezért mindig a lehető leghamarabb javasolom a szoftver javítását és a hardver frissítését – az emberi operációs rendszer sehol sem olyan megbízható, sőt akár fele sem olyan egyszerű fix.

Még ha figyelmen kívül hagyjuk a rosszindulatú szándékú emberek kisebbségét is, a nagyobb számú embernek, akiknek nincs érdeke a biztonság iránt, és a többségnek, akiknek iparágként ilyen rossz munkát végezünk a kommunikációval kapcsolatban, továbbra is egyenletes a potenciálisan kockázatos emberek nagyobb csoportja – azok, akik a biztonságot természetesen túl zavarónak találják.

Miért lenne olyan biztonság a biztonság, amit feltehet??

Nos, a válasz egyszerű: napról napra egyre összetettebbé válik.

Ahogy a támadók kifinomultabbá válnak, ugyanúgy, mint a védekezés, de emberi szinten a probléma sokkal egyszerűbb: mindannyiunknak sokkal több beszámolónk van a napjaink védelmére..

Az online banki számláktól a SnapChat, a Twitter-től a Facebook-ig, az InstaGram-ig egészen az online vacsora pénzeszközig a gyerekek számára, a védelmükhöz szükséges felhasználónevek és jelszavak száma naponta növekszik..

És tudod mit?

Tényleg borzasztóan emlékszünk a dolgokra.

Éppen ezért folyamatosan látunk blogbejegyzéseket az adatok megsértése után felfedezett szörnyű jelszavakról.

Nem úgy gondolja, hogy a jelszó1 nagyszerű módszer személyazonosságának hitelesítésére, bár az is van?

Nem, tudom, mi az: 250 jelszóval rendelkezik, amelyekre emlékezni kell, sőt olyan kifejezések is, mint például a CorrectHorseBatteryStaple, nehézkessé válnak, amikor jelszóval kell kitalálnia a jelmondatot..

Szóval mit kell tenned??

Tartsd egyszerűen, ha ugyanazt a jelszót használsz minden webhelyen, a hozzá hasonló emberek tiltakozása ellenére, vagy használd az összes fiókodhoz olyan nevezetes jelszót, amely annyira nevetségesen egyszerű, még ha emlékszel rá is.?

Se.

Van egy másik mód, és ez a jelszókezelő.

Noha a végzettek azt hitték volna, hogy a hitelesítő adatok kezelési programja rossz ötlet – elvégre egyetlen hibapont – azért vagyok itt, hogy másképp mondjam.

Személy szerint több mint 300 jelszóval rengeteg különféle fiókot fedezem.

Nekem is az a legrosszabb memória van, amelyet az ember ismert – ha online banki hitelesítő adataimat, Twitter-jelszavamat vagy bármilyen más bejelentkezési hitelesítő adataimat kéri tőlem, akkor nem tudom megmondani.

Elsősorban azért, mert ez egy nagyon-nagyon rossz ötlet lenne, hanem azért is, mert őszintén nem tudom, mi ezek közül bármelyik.

Valójában csak három jelszót tudok. Ezek közül kettő munkával kapcsolatos, a másik a jelszókezelő fő jelszava.

Ha nem erre az okos szoftverre lenne szükség, akkor én lennék az a személy, aki a jelszó visszaállítását kéri a napi öt percenként. Egyszerűen nem tudok működni.

Ez azt is mondja, hogy én is óvatosnak tartom, hogy minden tojásomat egy bizonytalan kosárban tartsák, tehát úgy döntöttem, hogy egy jelszókezelőt választottam, amely titkosítva tartja az összes hitelesítő adataimat, ha a legrosszabb is történt, és ezek az adatok megtaláltak Az interneten keresztül valószínű, hogy senkinek semmi haszna lenne.

A választott jelszókezelőmnek vannak más remek funkciói is – lépést tart a legújabb szabálysértésekkel, és tanácsot ad, ha esetleg bármilyen fiókomat érinthet, lehetőséget biztosítva arra, hogy ezeket a hitelesítő adatokat a lehető leghamarabb megváltoztassam..

Persze, a jelszókezelő nem egy ezüst golyó, amikor a bejelentkezési adatait védi, de akkor az ezüstgolyók nem léteznek a biztonsági iparban, annak ellenére, amit egyes eladók mondhatnak neked.

De ez egy jó eszköz egy tökéletlen világban, amely lehetővé teszi, hogy minden új megnyitott fiókhoz erős jelszavakat hozzon létre, miközben csak egy főjelszót kell megjegyeznie (és golly, jobb, ha ezt a jelszót jónak teszi)..

Amíg a szöveges jelszavak meg nem halnak – és a biometrikus adatok biztosítják, hogy meg fogják csinálni… egy napig – ez a legjobb választható lehetőség, és nagyon ajánlom, hogy vegye igénybe ezt..

A fiók biztonságának fokozásához csak annyit kell tennie, hogy teljes mértékben figyelmen kívül hagyja Simon Edward e cikk utáni visszautasítását, és olvassa el a jelszókezelői áttekintésünket, amely segít kiválasztani az Ön igényeinek megfelelő szoftvert..

Maradjon biztonságban a barátaim!

Simon Edwards: A jelszókezelőkkel szembeni eljárás megindítása

Igaz, hogy hatalmas számú online fiókot kell kezelnünk. Még azoknak is, akiket nem különösebben érdekel a számítógépek, valószínűleg több tucat fiókjuk van az e-mail, a közösségi hálózat, az online banki és az online vásárlási élet környékén. Szeretnél csinálni valamit? Belépés!

Mivel biztos vagyok benne, hogy nem kell mondanom neked, az azonos hitelesítő adatok használata minden fióknál veszélyes, mivel az egyik jogsértés könnyen hógolyóvá változhat valami sokkal komolyabb és széles körűvé. Az egyes fiókokhoz tartozó egyedi jelszavak emlékezete félelmetesnek tűnik, és egy ilyen jellegű szolgáltatás rávilágíthat arra, hogy egy jelszókezelő rendszert használjon, de mielőtt a digitális királyság kulcsait egyetlen tárolóba rakja, fontolja meg a következőket:.

Ha egy hackerek lennének, akik a lehető legtöbb fiókot szeretnék megtörni, akkor a népszerű webhelyek széles választékát célozza meg, remélve, hogy következetesen szerencsés sztrájkol, miközben elkerüli az észlelést? Vagy azt a néhány szolgáltatást célozza, amely potenciálisan milliárd felhasználó számára tárolja a jelszavakat? Miért kell sok webhelyre betörni, ha csak egy pár ugyanazt (vagy jobb) eredményt nyújt?

A hitelesítő adatok online tárházát biztosító jelszókezelési szolgáltatások nagyon aggasztanak. Nyilvánvaló célok, meglepően értékes kifizetéssel a sikeres támadóért.

Nem olyan, mintha eddig még nem történt. A LassPassot tavaly nyáron feltörték, amikor a támadók letöltötték a felhasználók e-mail címeit, titkosított jelszavait és emlékeztető kifejezéseit és megoldásait (Mi az e-mail címed? És az anyád leánykori neve? – Gladys? A munka elvégzett.)

A titkosítás megszakadhat, de nem is kell ilyen messzire mennie. Maga a LastPass megjegyezte, hogy a hackerek kitalálhatják a jelszavakat a jogsértésből származó kiegészítő információk felhasználásával (lásd: https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).

Választhat offline jelszókezelőt is, amely természetesen csökkenti a támadások felületét. Ezek azonban nem teszik lehetővé a könnyű bejelentkezést több eszköz használatával, ami némileg csökkenti azok hasznosságát. És ha a számítógépet veszélybe sodorja a rosszindulatú program, akkor semmi sem indokolja, hogy a támadó miért nem célozza meg egy ilyen alkalmazást. Ez megint történt egy KeeFarce nevű eszközzel, amely a KeyPass jelszókezelőt célozza (lásd: https://github.com/denandz/KeeFarce).

Az igazi szakemberek választhatják a saját jelszókezelő rendszerük bevezetését. A HackingTeam, az olasz biztonsági cég, amely a kormányok közötti hackelés legmagasabb szintjén működött, adminisztrátora a jelszavait a tiszteletben tartott TrueCrypt szoftver által védett szöveges fájlokba mentette..

Szomorúan bejelentkezett a rendszerébe, és már beillesztette a TrueCrypt köteteit, amikor a rendszer veszélybe került, így a rendszerén tárolt összes jelszó elérhető volt a támadó számára. Nem volt semmi baj a TrueCrypt titkosításával. Hibája az volt, hogy jelszavait számítógépre mentte. A számítógépeket folyamatosan feltörik.

Mi az alternatíva a számítógépes jelszókezelő rendszer használatának? Használjon papír alapú papírt. Írj le mindent, és csak a fizikai tolvajok és támadók veszélyezteti őket. Kivéve, ha egy filmben élsz élettel, rendben kell lenned. Ezenkívül egyedi jelszavak is létrehozhatók, amelyek könnyen megjegyezhetők.

Kezdjük kedvenc jelszavával, amelyet az összes webhelyén használt: letmein123.

Feltételezem, hogy ezt használja a Gmail, az Amazon és a HSBC számára. Könnyen megváltoztathatjuk ezt a jelszót könnyen emlékezetes variációra, ha néhány szabályt megváltoztatjuk:

Gmail: letmeinGMAIL123!
Amazon: letmeinAMAZ123!
HSBC: letmeinHSBC123!

Nevetségesen könnyű, tudom. De jobb, mint újra és újra ugyanazokat a jelszavakat újrafelhasználni – és apró trükkökkel is erőfeszítéseket tehet a biztonság növelésére. Lehet, hogy megváltoztatja a számokat, vagy kissé módosítja a „letmein” jelmondatot. Nem kell 100 jelszónak, amelyek homályos formában vannak „123hjgsdfpakelk”. Így fekszik az őrület.

Készítsen egy emlékezetes jelszókészletet, írja le őket papírra (egy biztonságban tartó betétben), vagy legalább ellenőrizze, hogy az e-mail címének jelszava erős-e, mert végül, amikor elfelejtette jelszavait, mindent ellenőrizni fog a e-mail cím a végén. És ezért engedélyeznie kell kétfaktoros hitelesítést az e-mail címére, ha van ilyen. Mivel a jelszókezelővel ellentétben az e-mail fiók valóban a királyság kulcsainak tárolója.

Itt az ideje a gondolatoknak

Most, hogy elolvasta a jelszókezelők ellen és ellen indokolt ideje, hogy saját döntését meghozza.

Velem hisz abban, hogy a jelszókezelők a legbiztonságosabb lehetőséget kínálják a bejelentkezési adatok tárolására?

Vagy Simon táborában vagy, úgy gondolja, hogy az összes tojását egy összecsavarható kosárban tárolja, mert nem hajlandó vállalni?

Mindkét esetben szeretnénk meghallgatni az Ön véleményét az alábbi megjegyzésekben.