Ưu và nhược điểm của người quản lý mật khẩu – Lee Munson so với Simon Edwards

Ở đây tại so sánh.com, chúng tôi tin chắc rằng mọi người đều có thể hưởng lợi từ việc sử dụng trình quản lý mật khẩu.


hình ảnh mật khẩu

Nhưng không phải ai cũng đồng ý với chúng tôi và điều đó bao gồm các chuyên gia bảo mật thông tin, như Simon Edwards, Giám đốc tại SE Labs.

Với ý nghĩ đó, chúng tôi nghĩ sẽ rất vui nếu được bảo mật bằng mật khẩu.

Đọc tiếp để tìm hiểu cách nhìn của tôi và Simon sườn về chủ đề quan trọng này:

Lee Munson: Làm cho các nhà quản lý mật khẩu

Theo tôi là một chuyên gia bảo mật thông tin, điểm thất bại lớn nhất trong bất kỳ hệ thống nào được thiết kế để đảm bảo tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu là yếu tố con người.

Mặc dù các điều khiển kỹ thuật (chống vi-rút, tường lửa, v.v.) đều có điểm yếu – đó là lý do tại sao tôi luôn khuyên bạn nên vá phần mềm và cập nhật phần cứng trong thời gian sớm nhất – hệ điều hành của con người gần như không đáng tin cậy, hoặc thậm chí chỉ bằng một nửa sửa chữa.

Ngay cả khi bạn phớt lờ thiểu số những người có mục đích xấu, số lượng lớn hơn những người không có hứng thú với an ninh, và phần lớn chúng ta, như một ngành công nghiệp, làm công việc giao tiếp kém như vậy, vẫn có một nhóm lớn hơn của những con người tiềm ẩn rủi ro – những người tìm thấy an ninh tự nhiên quá phiền phức.

Tại sao bảo mật sẽ là một vấn đề như vậy bạn có thể hỏi?

Chà, câu trả lời rất đơn giản: nó ngày càng trở nên phức tạp hơn.

Khi những kẻ tấn công trở nên tinh vi hơn, phòng thủ cũng vậy, nhưng ở cấp độ con người, vấn đề đơn giản hơn nhiều: tất cả chúng ta đều có nhiều tài khoản hơn để bảo vệ những ngày này.

Từ tài khoản ngân hàng trực tuyến đến SnapChat, Twitter đến Facebook, InstaGram đến tài khoản tiền ăn tối trực tuyến cho trẻ em, khối lượng tên người dùng và mật khẩu cần thiết để bảo vệ chúng đang tăng lên hàng ngày.

Và bạn biết những gì?

Chúng tôi thực sự khủng khiếp khi nhớ những thứ.

Đó là lý do tại sao chúng tôi liên tục thấy các bài đăng trên blog về tất cả các mật khẩu khủng khiếp được phát hiện sau khi vi phạm dữ liệu.

Nó không phải là bạn nghĩ rằng password1 là một cách tuyệt vời để xác thực danh tính của bạn mặc dù nó là?

Không, tôi biết đó là gì: bạn có 250 mật khẩu cần nhớ và thậm chí các cụm từ như CorrectHorseBatteryStaple trở nên cồng kềnh khi bạn cần đưa ra cụm mật khẩu sau cụm mật khẩu.

vậy bạn định làm gì?

Giữ cho nó đơn giản bằng cách sử dụng cùng một mật khẩu cho mọi trang web, bất chấp sự phản đối của những người như tôi hoặc sử dụng một mật khẩu duy nhất cho tất cả các tài khoản của bạn rất đơn giản, thậm chí bạn có thể nhớ nó?

Cũng không.

Có một cách khác, và đó là trình quản lý mật khẩu.

Mặc dù những người tận thế sẽ khiến bạn tin rằng một chương trình quản lý thông tin xác thực là một ý tưởng tồi – sau tất cả, đó là một điểm thất bại – tôi đã nói ở đây để nói với bạn khác.

Cá nhân tôi có hơn 300 mật khẩu bao gồm vô số tài khoản khác nhau.

Tôi cũng có bộ nhớ tồi tệ nhất đối với con người – nếu bạn hỏi tôi về thông tin ngân hàng trực tuyến, mật khẩu Twitter của tôi hoặc bất kỳ thông tin đăng nhập nào khác của tôi, tôi đã thắng được có thể cho bạn biết.

Chủ yếu bởi vì đó sẽ là một ý tưởng thực sự, thực sự tồi tệ ngay từ đầu, nhưng cũng bởi vì tôi thực sự không biết bất kỳ ai trong số họ là.

Trong thực tế, tôi chỉ biết ba mật khẩu. Hai trong số đó là liên quan đến công việc, cái còn lại là mật khẩu chính cho trình quản lý mật khẩu của tôi.

Nếu đó không phải là phần mềm thông minh, tôi sẽ là người yêu cầu đặt lại mật khẩu cứ sau năm phút mỗi ngày. Tôi chỉ đơn giản là không thể hoạt động mà không có một.

Điều đó nói rằng, ngay cả tôi cũng cảnh giác giữ tất cả trứng của mình trong một giỏ không an toàn, có thể nói, vì vậy tôi đảm bảo rằng tôi đã chọn một trình quản lý mật khẩu giữ cho tất cả thông tin của mình được mã hóa, nếu điều tồi tệ nhất xảy ra, và dữ liệu đó đã tìm thấy lên web, rất có thể nó sẽ không hữu dụng với bất cứ ai.

Trình quản lý mật khẩu của tôi cũng có một số tính năng tiện lợi khác – nó luôn cập nhật những vi phạm mới nhất và thông báo cho tôi nếu bất kỳ tài khoản nào của tôi có thể bị ảnh hưởng, cho tôi cơ hội thay đổi những thông tin đó sớm nhất có thể.

Chắc chắn, một người quản lý mật khẩu không phải là một viên đạn bạc khi nói đến việc bảo vệ thông tin đăng nhập của bạn, nhưng sau đó, viên đạn bạc donith tồn tại trong ngành bảo mật, mặc dù một số nhân viên bán hàng có thể nói với bạn.

Nhưng nó là một công cụ tốt trong một thế giới không hoàn hảo, cho phép bạn tạo mật khẩu mạnh cho mọi tài khoản mới bạn mở trong khi chỉ cần nhớ một mật khẩu chính (và bằng cách, bạn nên biến mật khẩu đó thành mật khẩu tốt).

Cho đến khi mật khẩu dựa trên văn bản chết – và sinh trắc học sẽ đảm bảo họ thực hiện một ngày nào đó – đó là tùy chọn tốt nhất hiện có và tôi khuyên bạn nên tận dụng lợi thế của nó.

Tất cả những gì bạn cần làm để tăng cường bảo mật tài khoản của bạn là hoàn toàn không để ý đến câu trả lời của Simon Edward, bài viết này và đọc các bài đánh giá về trình quản lý mật khẩu của chúng tôi sẽ giúp bạn chọn phần mềm phù hợp với nhu cầu của bạn.

Giữ an toàn cho bạn bè của tôi!

Simon Edwards: Làm vụ kiện chống lại người quản lý mật khẩu

Đúng là chúng tôi phải quản lý số lượng lớn tài khoản trực tuyến. Ngay cả những người không quan tâm đặc biệt đến máy tính có khả năng có hàng tá tài khoản trải dài qua email, mạng xã hội, ngân hàng trực tuyến và cuộc sống mua sắm trực tuyến của họ. Bạn muốn làm điều gì đó? Đăng nhập!

Như tôi chắc chắn tôi không muốn nói với bạn, sử dụng cùng một thông tin đăng nhập cho mỗi tài khoản là nguy hiểm vì một vi phạm có thể dễ dàng ném tuyết vào một thứ gì đó nghiêm trọng và rộng hơn. Ghi nhớ mật khẩu duy nhất cho mỗi tài khoản nghe có vẻ khó hiểu và một kỳ tích như vậy có thể thúc đẩy bạn sử dụng hệ thống quản lý mật khẩu, Nhưng, trước khi bạn cất chìa khóa vào vương quốc kỹ thuật số của mình vào một kho tiền, hãy xem xét những điều sau đây.

Nếu bạn là một hacker muốn xâm phạm càng nhiều tài khoản càng tốt, bạn sẽ nhắm mục tiêu nhiều lựa chọn các trang web phổ biến, hy vọng sẽ gặp may mắn một cách nhất quán, trong khi trốn tránh sự phát hiện? Hay bạn sẽ nhắm đến một vài dịch vụ lưu trữ mật khẩu cho hàng tỷ người dùng tiềm năng? Tại sao đột nhập vào nhiều trang web khi chỉ một cặp đôi sẽ cung cấp kết quả giống nhau (hoặc tốt hơn)?

Dịch vụ quản lý mật khẩu cung cấp kho lưu trữ thông tin trực tuyến làm tôi lo lắng – rất nhiều. Chúng là một mục tiêu rõ ràng với khoản thanh toán đáng kinh ngạc cho một kẻ tấn công thành công.

Nó không giống như nó đã xảy ra trước đây. LassPass đã bị hack vào mùa hè năm ngoái, với những kẻ tấn công tải xuống địa chỉ email của người dùng, mật khẩu được mã hóa và các cụm từ và giải pháp nhắc nhở (Bạn có địa chỉ email nào? Và tên mẹ của bạn là gì? – Gladys? Công việc đã hoàn thành.)

Mã hóa có thể bị phá vỡ nhưng bạn không cần phải đi xa đến thế. Bản thân LastPass lưu ý rằng tin tặc có thể đoán mật khẩu bằng cách sử dụng thông tin bổ sung được cung cấp từ vi phạm (xem https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).

Bạn có thể chọn sử dụng trình quản lý mật khẩu ngoại tuyến, điều này chắc chắn làm giảm bề mặt tấn công của bạn. Mặc dù vậy, don don cho phép bạn đăng nhập dễ dàng bằng nhiều thiết bị, tuy nhiên, điều này phần nào làm giảm tính hữu dụng của chúng. Và nếu PC của bạn bị xâm nhập bởi phần mềm độc hại, hoàn toàn không có lý do nào khiến kẻ tấn công không nhắm mục tiêu vào một ứng dụng như vậy. Một lần nữa, điều này đã xảy ra, với một công cụ có tên là KeeFarce nhắm mục tiêu quản lý mật khẩu KeyPass (xem https://github.com/denandz/KeeFarce).

Các chuyên gia thực sự có thể chọn để cuộn hệ thống quản lý mật khẩu của riêng họ. Một quản trị viên của HackingTeam, công ty bảo mật của Ý hoạt động ở mức độ hack liên chính phủ cao nhất, đã lưu mật khẩu của mình trong các tệp văn bản được bảo vệ bởi phần mềm TrueCrypt được tôn trọng.

Đáng buồn thay cho anh ta, anh ta đã đăng nhập vào hệ thống của mình và đã gắn khối lượng TrueCrypt của mình khi hệ thống của anh ta bị xâm nhập, vì vậy tất cả mật khẩu được lưu trữ trên hệ thống của anh ta đều có sẵn cho kẻ tấn công. Không có gì sai với mã hóa TrueCrypt. Sai lầm của anh là lưu mật khẩu trên máy tính. Máy tính bị hack mọi lúc.

Sự thay thế cho việc sử dụng một hệ thống quản lý mật khẩu dựa trên máy tính là gì? Sử dụng một cái dựa trên giấy. Viết tất cả mọi thứ xuống và bạn chỉ dễ bị tổn thương trước những tên trộm và kẻ tấn công vật lý. Trừ khi bạn sống cuộc sống trong một bộ phim, bạn sẽ ổn thôi. Ngoài ra, có thể tạo mật khẩu độc đáo dễ nhớ.

Hãy bắt đầu với mật khẩu yêu thích của bạn, mà bạn đã từng sử dụng cho tất cả các trang web của mình: letmein123.

Tôi sẽ cho rằng bạn sử dụng nó cho Gmail, Amazon và HSBC. Chúng ta có thể dễ dàng thay đổi mật khẩu này thành một biến thể dễ nhớ bằng cách thay đổi nó với một số quy tắc:

Gmail: letmeinGMAIL123!
Amazon: letmeinAMAZ123!
HSBC: letmeinHSBC123!

Vô lý dễ dàng, tôi biết. Nhưng nó tốt hơn là sử dụng lại cùng một mật khẩu hết lần này đến lần khác – và bạn có thể nỗ lực để tăng cường bảo mật bằng cách sử dụng các thủ thuật nhỏ. Có thể bạn thay đổi số hoặc chỉnh sửa một chút cụm mật khẩu ‘letmein. Bạn không cần phải có 100 mật khẩu ở dạng mơ hồ của 123 123jjdfdfakakkk. Đó là sự điên rồ dối trá.

Tạo một bộ mật khẩu đáng nhớ, viết chúng ra giấy (trong một bảng mà bạn giữ an toàn) hoặc ít nhất là đảm bảo rằng mật khẩu của địa chỉ email của bạn mạnh bởi vì, cuối cùng, khi bạn quên mật khẩu, mọi thứ cuối cùng sẽ được xác minh thông qua địa chỉ email cuối cùng. Và đó là lý do tại sao bạn nên, nếu có sẵn, kích hoạt xác thực hai yếu tố cho địa chỉ email của bạn. Bởi vì không giống như trình quản lý mật khẩu của bạn, tài khoản email của bạn thực sự là kho tiền cho các khóa của vương quốc của bạn.

Bây giờ là thời gian cho những suy nghĩ của bạn

Bây giờ bạn đã đọc trường hợp và chống lại các nhà quản lý mật khẩu, đó là thời gian để bạn tự đưa ra quyết định.

Bạn có tin tôi không, người quản lý mật khẩu cung cấp tùy chọn an toàn nhất để lưu trữ thông tin đăng nhập của bạn?

Hoặc bạn đang ở trong trại Simon, nghĩ rằng việc lưu trữ tất cả trứng của bạn vào một giỏ có thể hack là một rủi ro mà bạn không muốn nhận?

Dù bằng cách nào, chúng tôi rất thích nghe quan điểm của bạn trong các bình luận bên dưới.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map