Плюси і мінуси менеджерів паролів – Лі Мусон проти Саймона Едвардса

Тут, на Comparitech.com, ми твердо віримо, що кожен може отримати користь від використання менеджера паролів.

зображення пароля

Але не всі згодні з нами, і це включає професіоналів з інформаційної безпеки, таких як Саймон Едвардс, директор SE Labs.

Маючи на увазі це, ми думали, що було б весело мати вивірку над захистом пароля.

Читайте далі, щоб дізнатися, як мій погляд та погляд Саймона на цю важливу тему відрізняються:

Лі Мусон: Створення справи для менеджерів паролів

На мою думку, як професіонала з інформаційної безпеки, найбільший єдиний момент відмови в будь-якій системі, призначеній для забезпечення конфіденційності, цілісності та доступності даних, є людським елементом..

Хоча технічний контроль (антивірус, брандмауер тощо) має всі свої слабкі сторони – саме тому я завжди раджу виправити програмне забезпечення та оновити апаратне забезпечення при першій же можливості – операційна система людини ніде не є такою надійною, або навіть наполовину простішою виправити.

Навіть якщо ви ігноруєте меншину людей, які мають зловмисні наміри, більша кількість людей, які не мають жодного інтересу до безпеки, і більшість, з якими ми, як галузь, робимо таку бідну роботу з спілкуванням, залишається рівномірною більшу групу потенційно ризикованих людей – тих, хто вважає, що безпека природно занадто турбує.

Чому безпека буде такою проблемою, ви можете запитати?

Ну, відповідь проста: з кожним днем ​​вона стає все складнішою.

Коли нападники стають все більш досконалими, так і захисні сили, але на людському рівні проблема набагато спрощена: у всіх нас є набагато більше рахунків для захисту цих днів.

З онлайн-банківських рахунків в SnapChat, Twitter у Facebook, InstaGram до грошових рахунків на вечерю в Інтернеті для дітей, об’єм імен користувачів та паролів, необхідних для їх захисту, щодня збільшується..

І ти знаєш що?

Нам справді страшно згадувати речі.

Ось чому ми постійно бачимо публікації в блозі про всі жахливі паролі, виявлені внаслідок порушення даних.

Справа не в тому, що ви думаєте, що пароль1 – це чудовий спосіб автентичності своєї особистості, але це так?

Ні, я знаю, що це: у вас є 250 паролів, які потрібно запам’ятати, і навіть фрази на зразок CorrectHorseBatteryStaple стають громіздкими, коли вам потрібно придумати парольну фразу після парольної фрази..

То що ти робиш?

Зберігайте це просто, використовуючи один і той же пароль для кожного сайту, незважаючи на протести таких людей, як я, або використовуйте унікальний пароль для всіх ваших облікових записів, який так смішно простий, навіть ви можете його запам’ятати?

Ні.

Є ще один спосіб, і це менеджер паролів.

Хоча думці вважають, що програма управління обліковими записами – це погана ідея – адже це єдина точка провалу – я тут, щоб сказати вам інакше.

Я особисто маю понад 300 паролів, що охоплюють безліч різних облікових записів.

У мене також є найгірша пам’ять, яка відома людині – якщо ви запитаєте мене про мої облікові дані в Інтернеті, мій пароль Twitter або будь-який інший мій обліковий запис, я не зможу вам сказати.

Головним чином тому, що це була б в першу чергу по-справжньому погана ідея, а також тому, що я, чесно кажучи, не знаю, що з них.

Насправді я знаю лише три паролі. Два з них пов’язані з роботою, інший – головний пароль для мого менеджера паролів.

Якби не той розумний фрагмент програмного забезпечення, я б ця людина вимагала скидання пароля кожні п’ять хвилин дня. Я просто не можу функціонувати без одного.

Це означає, що я навіть насторожено зберігаю всі свої яйця в одному незахищеному кошику, так би мовити, тому я переконався, що вибрав менеджер паролів, який зберігає всі мої облікові дані в зашифрованому вигляді, якщо трапилося найгірше, і ці дані знайшли своє До речі, в Інтернеті ймовірно, що це нікому не принесе користі.

Мій менеджер паролів на вибір також має деякі інші чудові функції – він іде в ногу з останніми порушеннями і радить мені, якщо хтось із моїх облікових записів може бути порушений, даючи мені можливість змінити ці дані якнайшвидше..

Звичайно, менеджер паролів – це не срібна куля, коли мова йде про захист облікових даних для входу, але тоді срібні кулі не існують у галузі безпеки, незважаючи на те, що можуть сказати вам деякі продавці.

Але це хороший інструмент у недосконалому світі, що дозволяє створювати надійні паролі для кожного нового облікового запису, який ви відкриваєте, при цьому потрібно запам’ятати лише один головний пароль (а боже, вам краще зробити цей пароль хорошим).

Поки текстові паролі не помруть – і біометричні дані забезпечать… один день – це найкращий варіант, і я настійно рекомендую скористатися цим.

Все, що вам потрібно зробити, щоб посилити безпеку свого облікового запису – це повністю знехтувати ремонтами Саймона Едуарда до цієї статті та ознайомитись із відгуками менеджера паролів, які допоможуть підібрати потрібне програмне забезпечення для ваших потреб..

Будьте в безпеці мої друзі!

Саймон Едвардс: Складання справи проти менеджерів паролів

Це правда, що нам доводиться керувати величезною кількістю онлайн-акаунтів. Навіть ті, хто не особливо цікавиться комп’ютерами, швидше за все, мають десятки облікових записів, що охоплюють електронну пошту, соціальну мережу, Інтернет-банкінг та життя в Інтернеті. Ви хочете щось зробити? Увійти!

Як я впевнений, я не повинен вам говорити, використання однакових облікових даних для кожного облікового запису небезпечно, оскільки одне порушення може легко передати сніг у щось набагато серйозніше і широкомасштабніше. Запам’ятовування унікальних паролів для кожного облікового запису виглядає приголомшливо, і такий подвиг цілком може змусити вас використовувати систему керування паролями, але, перш ніж зберігати ключі від вашого цифрового царства в одному сховищі, врахуйте наступне.

Якщо ви були хакером, який хотів зламати якомога більше облікових записів, націлили б на широкий вибір популярних веб-сайтів, сподіваючись нанести удару послідовно, уникаючи виявлення? Або ви б націлилися на кілька служб, які зберігають паролі для потенційно мільярдів користувачів? Навіщо розбиватися на безліч сайтів, коли лише пара дасть однакові (або кращі) результати?

Служби управління паролем, які надають інтернет-сховище облікових даних, мене хвилюють – дуже багато. Вони є очевидною ціллю з надзвичайно цінною виплатою за успішного нападника.

Це не так, як раніше. LassPass був зламаний минулого літа, коли зловмисники завантажували електронні адреси користувачів, зашифровані паролі та нагадувальні фрази та рішення (Що це за ваша електронна адреса? І дівоче прізвище вашої матері? – Gladys? Job done.)

Шифрування може бути порушено, але вам навіть не потрібно йти так далеко. Сам LastPass зазначив, що хакери можуть відгадати паролі, використовуючи додаткову інформацію, надану в результаті порушення (див. Https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).

Ви можете використовувати офлайн-менеджер паролів, що, безумовно, зменшує вашу атаку. Вони не дозволяють легко входити в систему за допомогою декількох пристроїв, що дещо зменшує їх корисність. І якщо ваш ПК буде зірваний зловмисним програмним забезпеченням, то абсолютно немає причин, чому зловмисник не націлився б на таку програму. Знову це сталося, за допомогою інструменту під назвою KeeFarce націлення менеджера паролів KeyPass (див. Https://github.com/denandz/KeeFarce).

Реальні експерти можуть вирішити запровадити власну систему управління паролями. Адміністратор HackingTeam, італійської охоронної фірми, яка працювала на найвищому рівні міждержавного злому, зберігала свої паролі у текстових файлах, захищених добре шанованим програмним забезпеченням TrueCrypt.

На жаль для нього він увійшов у свою систему і вже встановив свої томи TrueCrypt, коли його система була порушена, тому всі паролі, що зберігаються в його системі, були доступні для зловмисника. З шифруванням TrueCrypt нічого поганого не було. Його помилка полягала в збереженні паролів на комп’ютері. Комп’ютери постійно ламаються.

Яка альтернатива використанню комп’ютерної системи управління паролями? Використовуйте паперовий. Запишіть все, і ви вразливі лише до фізичних злодіїв і нападників. Якщо ви не живете життям у фільмі, ви повинні бути в порядку. Також можна створити унікальні паролі, які легко запам’ятати.

Почнемо з вашого улюбленого пароля, який ви використовували для всіх своїх сайтів: letmein123.

Я вважаю, що ви використовуєте це для Gmail, Amazon та HSBC. Ми можемо легко змінити цей пароль на легко запам’ятовуваний варіант, змінивши його за допомогою деяких правил:

Gmail: letmeinGMAIL123!
Амазонка: letmeinAMAZ123!
HSBC: letmeinHSBC123!

Я знаю, насмішкувато легко. Але краще, ніж повторно використовувати ті ж паролі знову і знову – і ви можете докласти зусиль для підвищення безпеки, використовуючи невеликі хитрощі. Можливо, ви змінили номери або трохи відредагували парольну фразу “letmein”. Вам не потрібно мати 100 паролів, що містять розпливчасту форму “123hjgsdfpakelk”. Таким чином лежить божевілля.

Створіть запам’ятовується набір паролів, запишіть їх на папері (в колодку, яку ви зберігаєте) або принаймні переконайтеся, що пароль вашої електронної адреси є міцним, оскільки, зрештою, коли ви забудете ваші паролі, все закінчується перевіреним через ваш врешті-решт електронна адреса. І саме тому вам слід, якщо вони доступні, дозволити двофакторну автентифікацію для вашої електронної адреси. Оскільки на відміну від менеджера паролів, ваш обліковий запис електронної пошти дійсно є скарбницею ключів вашого королівства.

Настав час ваших думок

Тепер, коли ви читали справу за та проти менеджерів паролів, саме час приймати власне рішення.

Ви зі мною вірите, що менеджери паролів пропонують найбільш безпечний варіант для зберігання ваших даних для входу?

Або ви перебуваєте в таборі Саймона, думаючи, що зберігати всі свої яйця в одному кошику, який можна зламати, це ризик, який ви не бажаєте брати на себе?

Так чи інакше, ми хотіли б почути ваші погляди в коментарях нижче.