Mga kalamangan at kahinaan ng mga tagapamahala ng password – Lee Munson kumpara kay Simon Edwards

Dito sa Comparitech.com, matatag kaming naniniwala na ang lahat ay maaaring makinabang mula sa paggamit ng isang tagapamahala ng password.

imahe ng password

Ngunit hindi lahat ay sumasang-ayon sa amin, at kasama nito ang mga propesyonal sa seguridad ng impormasyon, tulad ng Simon Edwards, Direktor sa SE Labs.

Sa pag-iisip nito, naisip namin na magiging masaya na magkaroon ng isang face-off sa seguridad ng password.

Ipagpatuloy upang malaman kung paano naiiba ang pananaw ng akin at Simon sa mahalagang paksa na ito:

Lee Munson: Ang paggawa ng kaso para sa mga tagapamahala ng password

Sa palagay ko bilang isang propesyonal sa seguridad ng impormasyon, ang pinakamalaking pinakamalaking punto ng pagkabigo sa anumang sistema na idinisenyo upang matiyak ang pagiging kompidensiyal, integridad at pagkakaroon ng data ay ang elemento ng tao.

Habang ang mga kontrol sa teknikal (antivirus, firewall, atbp.) Lahat ay may kanilang mga mahihinang puntos – kung kaya’t palagi kong ipinapayo ang patching software at pag-update ng hardware sa pinakauna na pagkakataon – ang operating system ng tao ay wala kahit saan malapit sa maaasahan, o kahit na kalahati ng madaling ayusin.

Kahit na hindi mo pinansin ang minorya ng mga tao na may malisyosong hangarin, ang mas malaking bilang ng mga tao na walang interes kahit ano sa seguridad, at ang mayorya na kanino tayo, bilang isang industriya, ay gumagawa ng gayong mahirap na trabaho sa pakikipag-usap sa, may nananatiling kahit na mas malaking grupo ng mga potensyal na mapanganib na mga tao – ang mga nakakahanap ng seguridad na natural na masyadong nakakainis.

Bakit ang seguridad ay maging isang isyu na maaaring itanong mo?

Oo, ang sagot ay simple: nagiging mas kumplikado ito sa araw.

Habang ang mga umaatake ay nagiging mas sopistikado, gayon din ang mga panlaban, ngunit sa antas ng tao, ang problema ay higit na mas simple: lahat tayo ay may higit pang mga account upang maprotektahan ang mga araw na ito.

Mula sa mga online banking account hanggang sa SnapChat, Twitter hanggang Facebook, InstaGram hanggang sa online na mga account ng pera ng pera para sa mga bata, ang dami ng mga usernames at password na kinakailangan upang maprotektahan ang mga ito ay nagdaragdag sa pang araw-araw na batayan.

At alam mo ba?

Kami ay talagang kakila-kilabot sa pag-alala ng mga bagay.

Iyon ang dahilan kung bakit patuloy kaming nakakakita ng mga post sa blog tungkol sa lahat ng mga kakila-kilabot na mga password na natuklasan kasunod ng isang paglabag sa data.

Hindi sa tingin mo ang password1 ay isang mahusay na paraan ng pagpapatunay ng iyong pagkakakilanlan bagaman ito?

Hindi, alam ko kung ano ito: mayroon kang 250 mga password na alalahanin at kahit na mga parirala tulad ng CorrectHorseBatteryStaple ay naging masalimuot kapag kailangan mong makabuo ng passphrase pagkatapos ng passphrase.

Kaya ano ang dapat mong gawin?

Panatilihin itong simple sa pamamagitan ng paggamit ng parehong password para sa bawat site, sa kabila ng mga protesta ng mga taong tulad ko, o gumamit ng isang natatanging password para sa lahat ng iyong mga account na napaka nakakatawa, kahit na maaari mong tandaan ito?

Ni.

May isa pang paraan, at iyon ang tagapamahala ng password.

Habang ang mga doomsayers ay naniniwala ka na ang isang programa sa pamamahala ng kredensyal ay isang masamang ideya – ito ay isang solong punto ng pagkabigo pagkatapos ng lahat – Narito ako upang sabihin sa iyo kung hindi man.

Ako mismo ay may higit sa 300 mga password na sumasaklaw sa maraming iba’t ibang mga account.

Mayroon din akong pinakapangit na memorya na kilala sa tao – kung tatanungin mo ako sa aking mga kredensyal sa online banking, ang aking password sa Twitter, o anumang iba pang mga kredensyal sa pag-login na hindi ko masabi sa iyo.

Pangunahin dahil iyon ay magiging isang tunay, talagang masamang ideya sa una, ngunit din dahil sa totoo lang hindi ko alam kung ano ang alinman sa kanila.

Sa katunayan, alam ko lamang ang tatlong mga password. Ang dalawa sa mga nauugnay sa trabaho, ang iba ay ang master password para sa aking tagapamahala ng password.

Kung hindi para sa matalinong piraso ng software na iyon, ako ang taong humihiling ng pag-reset ng password tuwing limang minuto ng araw. Hindi ako maaaring gumana nang walang isa.

Iyon ay sinabi, kahit na nag-iingat ako sa pagpapanatiling lahat ng aking mga itlog sa isang basket na hindi sigurado, kaya’t upang magsalita, kaya’t sinigurado kong pinili ko ang isang tagapamahala ng password na pinapanatili ang lahat ng aking mga kredensyal na naka-encrypt kaya, kung nangyari ang pinakamasama, at natagpuan ang data na paraan papunta sa web, may posibilidad na ito ay hindi magagamit sa sinuman.

Ang pagpipilian ng aking tagapamahala ng password ay mayroon ding iba pang mga magagandang tampok din – pinapanatili nito ang pinakabagong mga paglabag at pinapayuhan ako kung ang alinman sa aking mga account ay maaaring naapektuhan, na nagbibigay sa akin ng pagkakataong baguhin ang mga kredensyal sa pinakamaagang posibleng pag-agaw..

Sigurado, ang isang tagapamahala ng password ay hindi isang bullet na pilak pagdating sa pagprotekta sa iyong mga kredensyal sa pag-login, ngunit pagkatapos ay ang mga pilak na bala ay hindi umiiral sa industriya ng seguridad, kahit na kung ano ang maaaring sabihin sa iyo ng ilang mga tindero..

Ngunit ito ay isang mahusay na tool sa isang hindi perpektong mundo, na nagpapahintulot sa iyo na lumikha ng malakas na mga password para sa bawat bagong account na binuksan mo habang naalala lamang ang isang master password (at sa pamamagitan ng golly, mas mahusay mong gawin ang isang password na isang mahusay).

Hanggang sa mamatay ang mga password na batay sa teksto – at tiyakin ng biometrics na ginagawa nila … isang araw – ito ang pinakamahusay na opsyon na magagamit at lubos kong inirerekumenda na samantalahin mo ito.

Ang kailangan mo lang gawin upang palakasin ang seguridad ng iyong account ay upang ganap na huwag pansinin ang pagsubaybay ni Simon Edward sa artikulong ito at basahin ang aming mga pagsusuri sa tagapamahala ng password na makakatulong sa iyo na pumili ng tamang software para sa iyong mga pangangailangan.

Manatiling ligtas ang aking mga kaibigan!

Simon Edwards: Ang paggawa ng kaso laban sa mga tagapamahala ng password

Totoo na kailangan nating pamahalaan ang malaking bilang ng mga online account. Kahit na ang mga hindi interesado lalo na sa mga computer ay malamang na magkaroon ng dose-dosenang mga account na sumasaklaw sa kanilang email, social network, online banking at online shopping life. Nais mong gumawa ng isang bagay? Mag log in!

Tulad ng sigurado na hindi ko na kailangang sabihin sa iyo, ang paggamit ng parehong mga kredensyal para sa bawat account ay mapanganib dahil ang isang paglabag ay madaling mag-snowball sa isang bagay na mas malubha at malawak. Ang pag-alala ng mga natatanging mga password para sa bawat account ay nakakatawa sa pag-iisip at ang tulad ng isang feat ay maaaring humimok sa iyo upang gumamit ng isang sistema ng pamamahala ng password, Ngunit, bago mo itapon ang mga susi sa iyong digital na kaharian sa isang arko, isaalang-alang ang sumusunod.

Kung ikaw ay isang hacker na nais na lumabag sa maraming mga account hangga’t maaari, mai-target mo ba ang isang malawak na pagpipilian ng mga sikat na website, na umaasa na hampasin ang suwerteng patuloy, habang ang pag-iwas sa pagtuklas? O hangarin mo ang ilang mga serbisyo na nag-iimbak ng mga password para sa potensyal na bilyun-bilyong gumagamit? Bakit masira sa maraming mga site kapag ang mag-asawa ay magbibigay ng parehong (o mas mahusay) na mga resulta?

Mga serbisyo sa pamamahala ng password na nagbibigay ng isang online na imbakan ng mga kredensyal na mag-alala sa akin – marami. Ang mga ito ay isang malinaw na target na may isang kamangha-manghang mahalagang payout para sa isang matagumpay na taga-atake.

Hindi tulad nito ay hindi nangyari dati. Ang LassPass ay na-hack noong nakaraang tag-araw, kasama ang mga umaatake na nag-download ng mga email address ng mga gumagamit, naka-encrypt na mga password at mga parirala ng paalala at mga solusyon (Ano ang iyong email address? At ang pangalan ng batang babae ng iyong ina? – Gladys? Tapos na si Job?)

Maaaring masira ang pag-encrypt ngunit hindi mo na kailangan pumunta pa sa malayo. Nabanggit mismo ng LastPass na maaaring hulaan ng mga hacker ang mga password gamit ang karagdagang impormasyon na ibinigay mula sa paglabag (tingnan ang https://blog.lastpass.com/2015/06/lastpass-security-notice.html/).

Maaari mong piliing gumamit ng isang offline manager ng password, na tiyak na binabawasan ang iyong pag-atake sa ibabaw. Hindi ka pinapayagan nitong mag-log in nang madaling gamitin ang maraming mga aparato, bagaman, na kung saan medyo binabawasan ang kanilang pagiging kapaki-pakinabang. At kung ang iyong PC ay maging kompromiso sa pamamagitan ng malware, talagang walang dahilan kung bakit hindi mai-target ng attacker ang naturang aplikasyon. Muli, nangyari ito, gamit ang isang tool na tinatawag na KeeFarce na nagta-target sa tagapamahala ng password na KeyPass (tingnan ang https://github.com/denandz/KeeFarce).

Ang mga tunay na eksperto ay maaaring pumili upang igulong ang kanilang sariling sistema ng pamamahala ng password. Ang isang tagapangasiwa para sa HackingTeam, ang kompanya ng seguridad ng Italya na nagtrabaho sa pinakamataas na antas ng pag-hack ng inter-governmental, na-save ang kanyang mga password sa mga file ng teksto na protektado ng mahusay na iginagalang TrueCrypt software.

Nakalulungkot para sa kanya siya ay naka-log in sa kanyang system at na-mount ang kanyang mga volume ng TrueCrypt kapag ang kanyang system ay nakompromiso, kaya lahat ng mga password na naka-imbak sa kanyang system ay magagamit sa attacker. Walang mali sa pag-encrypt ng TrueCrypt. Ang kanyang pagkakamali ay nagse-save ng kanyang mga password sa isang computer. Ang mga computer ay nai-hack sa lahat ng oras.

Ano ang kahalili sa paggamit ng isang computer-based password management system? Gumamit ng isang batay sa papel. Isulat ang lahat at mahina ka lamang sa mga pisikal na magnanakaw at assailant. Maliban kung nabubuhay ka sa isang pelikula, dapat maging OK ka. Gayundin, posible na lumikha ng mga natatanging password na madaling matandaan.

Magsimula tayo sa iyong paboritong password, na ginamit mo para sa lahat ng iyong mga site: letmein123.

Ipagpalagay ko na gagamitin mo iyon para sa Gmail, Amazon at HSBC. Madali nating baguhin ang password na ito sa isang madaling natatandaan na pagkakaiba-iba sa pamamagitan ng pagbabago nito sa ilang mga patakaran:

Gmail: letmeinGMAIL123!
Amazon: letmeinAMAZ123!
HSBC: letmeinHSBC123!

Madali akong madali, alam ko. Ngunit mas mahusay ito kaysa sa muling paggamit ng parehong mga password ng oras at oras – at maaari kang magsumikap upang madagdagan ang iyong seguridad sa pamamagitan ng paggamit ng kaunting mga trick. Siguro binago mo ang mga numero, o bahagyang i-edit ang passphrase ‘letmein’. Hindi mo kailangang magkaroon ng 100 mga password na nasa hindi malinaw na anyo ng “123hjgsdfpakelk”. Sa ganitong paraan ay namamalagi ang kabaliwan.

Lumikha ng isang di malilimutang hanay ng mga password, isulat ang mga ito sa papel (sa isang pad na panatilihin mong ligtas) o hindi bababa sa tiyakin na ang password ng iyong email address ay malakas dahil, sa huli, kapag nakalimutan mo ang iyong mga password, lahat ay natatapos na napatunayan sa pamamagitan ng iyong email address sa dulo. At iyon ang dahilan kung bakit dapat, kung magagamit, paganahin ang pagpapatunay ng dalawang salik para sa iyong email address. Dahil hindi katulad ng iyong tagapamahala ng password, ang iyong email account talaga ang vault para sa mga susi ng iyong kaharian.

Ngayon na ang oras para sa iyong mga saloobin

Ngayon ay nabasa mo na ang kaso para at laban sa mga tagapamahala ng password oras na upang makagawa ng iyong sariling desisyon.

Kasama mo ba ako sa paniniwala ng mga tagapamahala ng password ay nag-aalok ng pinaka-secure na pagpipilian para sa pag-iimbak ng iyong mga kredensyal sa pag-login?

O ikaw ay nasa kampo ni Simon, ang pag-iisip na itabi ang lahat ng iyong mga itlog sa isang hackable basket ay isang panganib na ayaw mong dalhin?

Alinman, nais naming marinig ang iyong mga pananaw sa mga komento sa ibaba.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me