Ovdje na Comparitech.com, čvrsto vjerujemo da svi mogu imati koristi od korištenja upravitelja lozinki.
No, ne slažu se svi s nama, a to uključuje stručnjake za informacijsku sigurnost, poput Simon Edwardsa, direktora SE laboratorija.
S tim na umu, mislili smo da bi bilo zabavno imati sigurnosnu zaštitu zbog zaporke.
Pročitajte dalje kako biste saznali kako se moja i Simonova stajališta razlikuju o ovoj važnoj temi:
Lee Munson: Izrada slučaja za upravitelje lozinki
Po mom mišljenju kao stručnjaka za informacijsku sigurnost, najveći pojedinačni neuspjeh u bilo kojem sustavu osmišljenom za osiguranje povjerljivosti, integriteta i dostupnosti podataka je ljudski element.
Dok tehnička kontrola (antivirusni, zaštitni zidovi itd.) Ima svoje slabe točke – zbog čega uvijek savjetujem krpanje softvera i ažuriranje hardvera u najranijoj prilici – ljudski operativni sustav nije nigdje tako pouzdan, ili čak upola lakši popraviti.
Čak i ako zanemarite manjinu ljudi koji imaju zlonamjerne namjere, veći broj ljudi koji nemaju nikakvu zainteresiranost za sigurnost i većinu s kojom mi, kao industrija, radimo tako loše u komunikaciji, ostaje ravnomjeran veća skupina potencijalno rizičnih ljudskih bića – onih kojima je sigurnost prirodno previše dosadna.
Zašto bi sigurnost mogla biti takvo pitanje, možda se pitate?
Odgovor je jednostavan: svakim danom postaje sve složeniji.
Kako napadači postaju sofisticiraniji, tako i odbrana, ali na ljudskoj razini, problem je daleko jednostavniji: svi danas imamo puno više računa za zaštitu.
Od računa putem internetskog bankarstva do SnapChata, Twittera do Facebooka, InstaGrama do računa za novac na mreži za večeru za djecu, čista količina korisničkih imena i lozinki potrebnih za zaštitu tih korisnika svakodnevno se povećava..
I znate što?
Stvarno se grozno sjećamo stvari.
Zbog toga u kontinuitetu vidimo postove na blogovima o svim groznim zaporkama koje su otkrivene nakon kršenja podataka.
Nije da mislite da je lozinka1 odličan način provjere identiteta, iako je to?
Ne, znam što je: imate 250 zaporki koje se morate zapamtiti, pa čak i fraze poput CorrectHorseBatteryStaple postaju nezgodne kada trebate smisliti zaporku nakon zaporke..
Pa što ćeš učiniti?
Neka bude jednostavno koristeći istu lozinku za svaku web lokaciju, unatoč protestima ljudi poput mene, ili koristite jedinstvenu lozinku za sve svoje račune koji su tako smiješno jednostavni, čak se i toga možete sjetiti?
Ni.
Postoji još jedan način, a to je upravitelj lozinki.
Iako bi sudbinari vjerovali da je program upravljanja vjerodajnicama loša ideja – ipak je to jedna točka neuspjeha – ovdje sam da vam kažem drugačije.
Osobno imam preko 300 lozinki koje pokrivaju mnoštvo različitih računa.
Imam i najgore pamćenje koje je čovjeku poznato – ako me pitate za moje vjerodajnice za internet bankarstvo, moju Twitter lozinku ili bilo koju drugu moju vjerodajnicu za prijavu, neću vam moći reći.
Uglavnom zato što bi to u prvom redu bila stvarno, stvarno loša ideja, ali i zato što iskreno ne znam što od njih znači.
Zapravo znam samo tri lozinke. Dvije od njih povezane su s radom, a druga je glavna lozinka za moj upravitelj lozinki.
Da nije tog pametnog dijela softvera, ja bih bila ta osoba koja zahtijeva resetiranje zaporke svakih pet minuta dana. Jednostavno ne mogu funkcionirati bez njega.
To je rečeno, čak i pazim da svoja jaja čuvam u jednoj nesigurnoj košarici, da tako kažem, pa sam se pobrinuo da odaberem upravitelja lozinki koji čuva šifriranje svih mojih vjerodajnica, ako se najgore desilo, i podaci su našli svoje Na mreži, vjerojatno je da to nikome neće biti od koristi.
Moj izbor upravitelja lozinki ima i neke druge sjajne značajke – on ide ukorak s najnovijim kršenjima i savjetuje me da li je moguće utjecati na bilo koji od mojih računa, dajući mi mogućnost da promijenim te vjerodajnice u najranijem mogućem trenutku.
Svakako, upravitelj lozinki nije srebrni metak kada je u pitanju zaštita vaših vjerodajnica za prijavu, ali tada srebrni metci ne postoje u sigurnosnoj industriji, bez obzira na to što vam mogu reći neki prodavači.
No, to je dobar alat u nesavršenom svijetu, omogućava vam stvaranje jakih lozinki za svaki novi račun koji otvorite, a pritom morate zapamtiti samo jednu glavnu lozinku (i, hvala, bolje je da je lozinka postane dobra).
Sve dok lozinke koje se temelje na tekstu umiru – a biometrijske usluge osiguravaju da rade… jednog dana – to je najbolja moguća opcija i toplo preporučujem da je iskoristite.
Sve što trebate učiniti je ojačati sigurnost vašeg računa je potpuno zanemariti povratak Simona Edwarda na ovaj članak i pročitati naše preglede upravitelja zaporki koji će vam pomoći odabrati pravi softver za vaše potrebe..
Budite sigurni moji prijatelji!
Simon Edwards: Slučaj protiv upravitelja lozinki
Istina je da moramo upravljati ogromnim brojem mrežnih računa. Čak će i oni koji nisu posebno zainteresirani za računala vjerojatno imati desetak računa koji obuhvaćaju njihove e-poštu, društvenu mrežu, internetsko bankarstvo i živote mrežne kupovine. Želiš nešto učiniti? Prijaviti se!
Kao što sam siguran da vam ne moram reći, upotreba istih vjerodajnica za svaki račun opasna je jer jedno kršenje lako može snijeg pretvoriti u nešto daleko ozbiljnije i šire. Sjećanje na jedinstvene lozinke za svaki račun zvuči nevjerojatno nevjerojatno i takav bi vas podvig mogao natjerati da koristite sustav za upravljanje lozinkama, ali prije nego što ključeve svog digitalnog kraljevstva pohranite u jedan trezor, uzmite u obzir sljedeće.
Ako ste haker koji je želio prekršiti što je moguće više računa, ciljali biste na širok izbor popularnih web stranica, nadajući se dosljednom napadu, izbjegavajući otkrivanje? Ili biste ciljali na nekoliko servisa koji pohranjuju lozinke za potencijalno milijarde korisnika? Zašto se probijati na puno web mjesta kada će samo par pružiti iste (ili bolje) rezultate?
Usluge upravljanja zaporkama koje pružaju internetsko spremište vjerodajnica brinu me – puno. Oni su očigledna meta sa nevjerojatno vrijednom isplatom za uspješnog napadača.
Nije kao da se prije nije dogodilo LassPass je bio hakiran prošlog ljeta, a napadači su preuzimali adrese e-pošte korisnika, šifrirane lozinke i podsjetničke fraze i rješenja (Kakva je vaša adresa e-pošte? I djevojačko prezime vaše majke? – Gladys? Posao obavljen.)
Šifriranje se može slomiti, ali čak ni ne morate toliko ići. LastPass je sam napomenuo da hakeri mogu pogoditi lozinke pomoću dodatnih informacija pruženih zbog kršenja pravila (vidi https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).
Možete odlučiti koristiti izvanmrežni upravitelj lozinki, što svakako smanjuje vašu površinu napada. Oni vam ne omogućuju lako prijavu na više uređaja, što donekle smanjuje njihovu korisnost. A ako vaše računalo postane kompromitirano od zlonamjernog softvera, apsolutno nema razloga zašto napadač ne bi ciljao takvu aplikaciju. Ponovno se to dogodilo, pomoću alata pod nazivom KeeFarce za ciljanje upravitelja lozinki KeyPass (vidi https://github.com/denandz/KeeFarce).
Pravi stručnjaci mogli bi odlučiti uvesti vlastiti sustav upravljanja zaporkama. Administrator za HackingTeam, talijansku zaštitarsku tvrtku koja je radila na najvišim nivoima međuvladinog hakiranja, spremao je svoje lozinke u tekstualne datoteke zaštićene uglednim softverom TrueCrypt.
Nažalost, on je bio prijavljen u svoj sustav i već je montirao svoje TrueCrypt sveske kada je njegov sustav ugrožen, pa su napadači bili dostupni sve lozinke pohranjene u njegovom sustavu. Sa šifriranjem TrueCrypta nije bilo ništa loše. Njegova je pogreška bila spremanje lozinki na računalu. Računala se cijelo vrijeme haraju.
Koja je alternativa korištenju računalnog sustava upravljanja lozinkom? Upotrijebite papirni papir. Zapišite sve i ranjivi ste samo fizičkim lopovima i napadačima. Ako ne živite život u filmu, trebali biste biti u redu. Također, moguće je stvoriti jedinstvene lozinke koje se lako pamte.
Započnimo s vašom omiljenom zaporkom koju ste koristili na svim svojim web lokacijama: letmein123.
Pretpostavljam da to koristite za Gmail, Amazon i HSBC. Ovu lozinku lako možemo promijeniti u varijaciju koja se lako pamti mijenjajući je nekim pravilima:
Gmail: letmeinGMAIL123!
Amazon: letmeinAMAZ123!
HSBC: letmeinHSBC123!
Znam smiješno lako. Ali bolje je nego ponovno koristiti iste lozinke iznova i iznova – i možete uložiti napore da povećate sigurnost koristeći male trikove. Možda promijenite brojeve ili lagano uredite zaporku “letmein”. Ne morate imati 100 lozinki koje su u neodređenom obliku “123hjgsdfpakelk”. Na taj način leži ludilo.
Stvorite nezaboravan skup lozinki, zapišite ih na papir (u jastučić koji čuvate) ili barem osigurajte da vam lozinka e-adrese bude jaka jer, na kraju, kad zaboravite svoje lozinke, sve se na kraju provjerava putem vaše e-adresa na kraju. I zato biste trebali, ako je dostupno, omogućiti dvofaktornu provjeru autentičnosti za svoju adresu e-pošte. Jer za razliku od vašeg upravitelja lozinki, vaš račun e-pošte zaista je trezor za ključeve vašeg kraljevstva.
Sada je vrijeme za vaše misli
Sada kada ste pročitali slučaj za i protiv upravitelja lozinki vrijeme je da donesete svoju odluku.
Da li ste sa mnom u vjerovanju da upravitelji lozinki nude najsigurniju opciju za pohranu vaših vjerodajnica za prijavu?
Ili ste u Simonovom kampu, razmišljanje o spremanju svih jaja u jednu košulju koja se može hakirati je rizik koji ne želite preuzeti?
Bilo kako bilo, voljeli bismo čuti vaše stavove u komentarima u nastavku.
Ovdje na Comparitech.com, slažem se da je korištenje upravitelja lozinki korisno za sve. Ljudski element je najveći pojedinačni neuspjeh u bilo kojem sustavu osmišljenom za osiguranje povjerljivosti, integriteta i dostupnosti podataka. Svakim danom postaje sve složeniji, a mi imamo puno više računa za zaštitu. Upravitelj lozinki je jednostavan način za upravljanje svim tim lozinkama. Međutim, važno je odabrati upravitelja lozinki koji čuva šifriranje svih vjerodajnica kako bi se spriječilo kršenje podataka.