Плюсове и минуси на мениджърите на пароли – Лий Мънсън срещу Саймън Едуардс

Тук, в Comparitech.com, ние твърдо вярваме, че всеки може да се възползва от използването на мениджър на пароли.


изображение на парола

Но не всички са съгласни с нас и това включва специалисти по сигурността на информацията, като Саймън Едуардс, директор в SE Labs.

Имайки това предвид, решихме, че би било забавно да се изправим лице в лице със сигурността на паролата.

Прочетете, за да разберете как моите и мнението на Саймън се различават по тази важна тема:

Ли Мънсън: Създаване на случай за мениджъри на пароли

Според мен като професионалист по сигурността на информацията, най-голямата единична точка на отказ във всяка система, създадена да гарантира поверителността, целостта и достъпността на данните, е човешкият елемент.

Докато техническите контроли (антивирусни, защитни стени и др.) Имат всички свои слаби страни - затова винаги съветвам да свързвате софтуер и актуализация на хардуера при първа възможност - операционната система на човека никъде не е толкова надеждна или дори наполовина лесна за корекция.

Дори да пренебрегнете малцинството от хора, които имат злонамерени намерения, по-големият брой хора, които нямат никакъв интерес към сигурността, и мнозинството, с което ние като индустрия вършим толкова лоша работа в общуването, остава равномерно по-голяма група от потенциално рискови човешки същества - тези, които намират сигурността естествено за твърде притеснителна.

Защо сигурността би била такъв проблем, може да попитате?

Е, отговорът е прост: той става все по-сложен с всеки изминал ден.

Тъй като нападателите стават по-сложни, това прави и защитата, но на човешко ниво проблемът е далеч по-опростен: всички имаме много повече акаунти за защита в наши дни.

От онлайн банкови сметки до SnapChat, Twitter към Facebook, InstaGram до онлайн сметки за вечеря за деца, чистият обем от потребителски имена и пароли, необходими за защитата им, се увеличават ежедневно..

И знаеш какво?

Наистина ни е страшно да си спомняме неща.

Ето защо непрекъснато виждаме публикации в блога за всички ужасни пароли, открити след нарушаване на данните.

Не че мислите, че password1 е чудесен начин за удостоверяване на самоличността ви, въпреки че е така?

Не, знам какво е: имате 250 пароли за запомняне и дори фрази като CorrectHorseBatteryStaple стават тромави, когато трябва да излезете с парола след парола.

И така, какво ще правиш?

Дръжте го просто като използвате една и съща парола за всеки сайт, въпреки протестите на хора като мен, или използвайте уникална парола за всички ваши акаунти, която е толкова нелепо проста, дори можете да я запомните?

Нито едно.

Има и друг начин и това е мениджърът на паролите.

Въпреки че съдбите биха ви накарали да вярвате, че дадена програма за управление на доверие е лоша идея - в крайна сметка това е един провал - тук съм, за да ви кажа друго.

Аз лично имам над 300 пароли, покриващи множество различни акаунти.

Имам и най-лошия спомен, познат на човека - ако ме питате за моите идентификационни данни за онлайн банкиране, паролата ми в Twitter или други мои идентификационни данни за вход, няма да мога да ви кажа.

Най-вече защото това би било наистина, наистина лоша идея на първо място, но и защото, честно казано, не знам какво е всяко от тях.

Всъщност знам само три пароли. Два от тях са свързани с работата, а другият е основната парола за моя мениджър на пароли.

Ако не беше този умен софтуер, щях да съм този човек, който иска нулиране на парола на всеки пет минути от деня. Просто не мога да работя без такъв.

Това каза, дори аз внимавам да запазя всичките си яйца в една несигурна кошница, така да се каже, затова се уверих, че избрах мениджър на пароли, който поддържа всичките ми идентификационни данни криптирани, така че, ако се случи най-лошото някога, и тези данни намериха своите по интернет, има вероятност да не е от полза за никого.

Моят избор на мениджър на пароли също има някои други отлични функции - той е в крак с най-новите нарушения и ме съветва дали някой от моите акаунти може да е засегнат, давайки ми възможност да променя тези идентификационни данни в най-ранния възможен момент.

Разбира се, мениджърът на пароли не е сребърен куршум, когато става въпрос за защита на вашите данни за вход, но тогава сребърните куршуми не съществуват в индустрията за сигурност, независимо от това, което някои търговци могат да ви кажат.

Но това е добро средство в несъвършен свят, което ви позволява да създавате силни пароли за всеки нов акаунт, който отворите, като същевременно трябва да запомните само една главна парола (и по дяволите, по-добре да направите тази парола добра).

Докато текстовите пароли не умрат - а биометричните елементи ще гарантират, че се справят ... един ден - това е най-добрата налична опция и горещо препоръчвам да се възползвате от нея.

Всичко, което трябва да направите, за да засилите сигурността на акаунта си, е напълно да пренебрегнете повторното ремонтиране на Саймън Едуард към тази статия и да прочетете нашите прегледи на мениджъра на пароли, които ще ви помогнат да изберете подходящия софтуер за вашите нужди.

Бъдете сигурни моите приятели!

Саймън Едуардс: Създаване на дело срещу мениджъри на пароли

Вярно е, че трябва да управляваме огромен брой онлайн акаунти. Дори онези, които не се интересуват особено от компютри, вероятно имат десетки акаунти, обхващащи имейла, социалната мрежа, онлайн банкирането и живота на онлайн пазаруването. Искате ли да направите нещо? Влизане!

Както съм сигурен, че не е нужно да ви казвам, използването на едни и същи идентификационни данни за всеки акаунт е опасно, тъй като едно нарушение може лесно да се превърне в снежна топка в нещо много по-сериозно и широкообхватно. Запомнянето на уникални пароли за всеки акаунт звучи умопомрачително и подобен подвиг може да ви накара да използвате система за управление на пароли, но преди да подредите ключовете от цифровото си кралство в един трезор, помислете за следното.

Ако сте хакер, който иска да наруши възможно най-много акаунти, бихте ли се насочили към широк избор от популярни уебсайтове, надявайки се да нанесете удари последователно, като същевременно избягвате откриването? Или бихте се насочили към малкото услуги, които съхраняват пароли за потенциално милиарди потребители? Защо да се разпадате на много сайтове, когато само една двойка ще осигури същите (или по-добри) резултати?

Услугите за управление на пароли, които предоставят онлайн хранилище от пълномощия, ме притесняват - много. Те са очевидна цел с поразително ценна печалба за успешен нападател.

Не е като преди. LassPass бе хакнат миналото лято, като нападателите изтегляха имейл адресите на потребителите, шифровани пароли и напомнящи фрази и решения (Какъв е имейл адресът ти и моминското име на майка ти? - Gladys? Job done.)

Шифроването може да бъде разбито, но дори не е нужно да стигате толкова далеч. Самата LastPass отбеляза, че хакерите могат да познаят паролите, като използват допълнителната информация, предоставена от нарушението (вижте https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).

Можете да изберете да използвате офлайн мениджър на пароли, което със сигурност намалява вашата атака. Те обаче не ви позволяват да влизате лесно с няколко устройства, което донякъде намалява тяхната полезност. И ако вашият компютър стане компрометиран от зловреден софтуер, няма абсолютно никаква причина, поради която нападателят не би се насочил към такова приложение. Отново това се случи, с инструмент, наречен KeeFarce насочване на мениджър на пароли KeyPass (вижте https://github.com/denandz/KeeFarce).

Реалните експерти могат да изберат да въведат своя собствена система за управление на пароли. Администратор на HackingTeam, италианската фирма за сигурност, която работи на най-високо ниво на междуправителствено хакерство, запази паролите си в текстови файлове, защитени от добре уважавания софтуер TrueCrypt.

За съжаление за него той е влязъл в системата си и вече е монтирал обемите си TrueCrypt, когато системата му е била компрометирана, така че всички пароли, съхранявани в неговата система, са били на разположение на нападателя. Нямаше нищо лошо в криптирането на TrueCrypt. Грешката му беше запазването на паролите на компютър. Компютрите са хакнати през цялото време.

Каква е алтернативата на използването на компютърна система за управление на пароли? Използвайте хартиена. Напишете всичко и сте уязвими само за физически крадци и нападатели. Освен ако не живеете живот във филм, трябва да сте наред. Също така е възможно да се създадат уникални пароли, които лесно се запомнят.

Нека започнем с любимата си парола, която сте използвали за всичките си сайтове: letmein123.

Предполагам, че го използвате за Gmail, Amazon и HSBC. Ние можем лесно да променим тази парола на лесно запомняща се версия, като я променим с някои правила:

Gmail: letmeinGMAIL123!
Амазонка: letmeinAMAZ123!
HSBC: letmeinHSBC123!

Смешно лесно, знам. Но е по-добре, отколкото да използвате отново едни и същи пароли - и можете да положите усилия за повишаване на сигурността си, като използвате малки трикове. Може би променяте числата или леко редактирате паролата „letmein“. Не е необходимо да имате 100 пароли, които са в неясната форма на „123hjgsdfpakelk“. По този начин лъжата.

Създайте запомнящ се набор от пароли, запишете ги на хартия (в подложка, която пазите) или поне се уверете, че паролата на вашия имейл адрес е силна, защото в крайна сметка, когато забравите паролите си, всичко приключва да бъде проверено чрез вашия имейл адрес в крайна сметка. И затова трябва, ако е налице, да активирате двуфакторна автентификация за вашия имейл адрес. Защото за разлика от вашия мениджър на пароли, вашият имейл акаунт наистина е трезорът за ключовете на вашето кралство.

Сега е време за вашите мисли

Сега, когато прочетохте случая за и срещу мениджърите на пароли, е време да вземете свое собствено решение.

Смятате ли, че с мен вярват, че мениджърите на пароли предлагат най-сигурната опция за съхраняване на вашите данни за вход?

Или сте в лагера на Саймън, като мислите, че съхраняването на всичките ви яйца в една кошница за хакване е риск, който не искате да поемете?

Така или иначе бихме искали да чуем вашите мнения в коментарите по-долу.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 83 = 93

Adblock
detector