Pravila za kreiranje lozinki su jednostavna: koristite nasumičnu
kombinaciju brojeva, simbola i slova sa malim slovima.
Nikad više ne koristite lozinke, uključite 2FA i koristite menadžer lozinki. Evo zašto sebi ne možete priuštiti da to ne učinite.
Plus: odgovori na uobičajene prigovore.
Godinama čitam predviđanja o novim tehnologijama koje će lozinke učiniti zastarjelima. Zatim kliknem i pregledam detalje i na kraju odmahujem glavom. Postoji mnoštvo pametnih tehnologija identiteta koje se probijaju u mainstream, ali lozinke će ostati neophodno zlo dugi niz godina.
I osim ako ne želite biti sjedeća patka na Internetu, trebate strategiju upravljanja tim lozinkama. Velike organizacije mogu stvoriti razumne politike lozinki i koristiti softver za jednokratnu prijavu, ali mala preduzeća i pojedinci samostalni su.
Kako idu najbolje prakse, pravila za stvaranje lozinki su jednostavna. Koristite nasumičnu kombinaciju brojeva, simbola i slova s malim slovima. Nikad više ne koristite lozinke. Uključite dvofaktorsku provjeru autentičnosti ako je dostupna.
Postoje neslaganja oko toga trebate li redovno mijenjati lozinke. Mislim da postoji valjan slučaj za promjenu lozinki svake godine ili tako nešto za web lokacije koje sadrže važne podatke, makar samo kako bi se izbjeglo da nevino zatekne u kršenju baze podataka.
I što se mene tiče, najvažnije pravilo od svih je korištenje menadžera lozinki.
Tokom godina koristio sam nekoliko menadžera lozinki zasnovanih na softveru i ne mogu zamisliti da bez njega prođem dan.
Znam ljude koji drže liste lozinki u nekakvoj šifriranoj datoteci. Upravo to čini softverski menadžer lozinki. Ali tu sličnost prestaje.
U ovom članku objašnjavam zašto smatram menadžer lozinki neophodnim. Također se bavim nekim argumentima koje redovito čujem od skeptika.
Slučaj za menadžere lozinki
Možete birati između desetaka nezavisnih aplikacija i usluga za upravljanje lozinkom, komercijalnih i otvorenih koda. Uprkos nekim razlikama u korisničkom iskustvu, svi su slični u svojim osnovnim karakteristikama.
Na PC koji radi pod operativnim sistemom Windows ili Linux, na Macu sa MacOS-om ili na mobilnom uređaju instalirate aplikaciju koja upravlja bazom podataka koja sadrži skupove akreditiva (korisnička imena, lozinke i druge potrebne detalje).
Sadržaj baze podataka zaštićen je šifriranjem AES-256. Da biste otključali bazu podataka lozinki, unesite ključ za dešifriranje (glavnu lozinku) koji znate samo vi, a zatim dopustite programu da popunjava spremljene vjerodajnice kako biste se mogli prijaviti na web stranicu ili u aplikaciju.
Kao alternativu možete koristiti ugrađene alate za upravljanje lozinkom ugrađene u vaš pretraživač. (Za potpunu raspravu pogledajte Menadžer lozinki. Je li u redu koristiti ugrađene alate za upravljanje lozinkom vašeg pregledača?). Arhitektonski su ovi dizajni slični alatima nezavisnih proizvođača, osim što su dizajnirani za rad u jednom ekosustavu preglednika.
Oni su adekvatan izbor (i sigurno bolji od ničega!). Ali rješenja nezavisnih proizvođača su robusnija.
Menadžeri lozinki koji sinhroniziraju vašu bazu podataka lozinki sa oblakom koriste end-to-end enkripciju. Podaci su šifrirani prije napuštanja uređaja i ostaju šifrirani dok se prenose na udaljeni poslužitelj. Kada se prijavite u aplikaciju na lokalnom uređaju, program šalje jednosmjerno raspršivanje lozinke koja vas identificira, ali ne može se koristiti za otključavanje same datoteke.
Takođe: Zašto gotovo 50% organizacija ne radi na zaštiti lozinkom TechRepublic.
Kompanije koje upravljaju i sinhroniziraju te sačuvane datoteke nemaju pristup ključevima za dešifriranje. U stvari, ako su programeri svoj posao obavili pravilno, vaša glavna lozinka nije nigdje pohranjena. Vaš je posao čuvati tu tajnu. A ako zaboravite ključ za dešifriranje, nemate sreće. Čak i uz najmoćnije računarske resurse, ne postoji praktičan način za probijanje AES-256 šifrirane datoteke koja je zaštićena jakim ličnim ključem.
Ta arhitektura nudi pet različitih prednosti u odnosu na uradi sam rješenje.
1) Integracija pregledača
Većina menadžera lozinki uključuje ekstenzije pregledača koje automatski od vas traže da spremite vjerodajnice kada kreirate novi račun ili se prvi put prijavite pomoću tih vjerodajnica na uređaju. Ta integracija preglednika također vam omogućava da automatski unesete vjerodajnice kada posjetite odgovarajuću web lokaciju i ažurirate spremljene vjerodajnice kada promijenite lozinku.
Uporedite taj pristup sa neizbježnim trenjem ručnog popisa. Ne morate pronaći datoteku i dodati joj lozinku da biste spremili novi ili promijenjeni niz vjerodajnica, a ne trebate pronaći i otvoriti istu datoteku da biste kopirali i zalijepili lozinku.
2) Generiranje lozinke
Svaki menadžer lozinki vrijedan svog usoljenog hasha uključuje generator lozinki koji je u stanju trenutno stvoriti zaista slučajnu, nikada prije korištenu lozinku. Ako vam se ta lozinka ne sviđa, možete kliknuti da biste generirali novu. Tada tu slučajnu lozinku možete koristiti prilikom kreiranja novog računa ili promjene vjerodajnica za postojeći.
Većina menadžera lozinki takođe vam omogućava da prilagodite dužinu i složenost generirane lozinke kako biste mogli raditi sa web lokacijama koje imaju posebna pravila lozinke.
Uz moguće izuzetke Johna Forbesa Nash-a mlađeg i Raymonda Babbitta, puki smrtnici nisu sposobni za takve podvige nasumičnog odabiranja.
3) Zaštita od krađe identiteta
Integriranje upravitelja lozinki u preglednik izvrsna je zaštita od phishing stranica. Ako posjetite web lokaciju koja je uspjela savršeno duplicirati stranicu za prijavu vaše banke, pa čak i petljati se s prikazom URL-a kako bi izgledala zakonito, možda ćete se prevariti. Vaš menadžer lozinki, s druge strane, neće unijeti vaše spremljene vjerodajnice, jer se URL lažne web stranice ne podudara s legitimnom domenom povezanom s njima.
Takođe: Google je objavio proširenje za Chrome radi provjere procurjelih korisničkih imena i lozinki
Ta je zaštita od phishinga vjerojatno najcjenjenija karakteristika od svih. Ako ručno upravljate lozinkama, kopiranjem i lijepljenjem iz šifrirane lične datoteke, zalijepit ćete svoje korisničko ime i lozinku u odgovarajuća polja na toj dobro osmišljenoj lažnoj stranici, jer ne shvaćate da je lažna.
4) Cross Platform Access
Menadžeri lozinki rade na svim uređajima, uključujući računare, Mac računare i mobilne uređaje, uz mogućnost sinhronizacije vaše šifrirane baze podataka lozinki u oblak. Pristup toj datoteci i njenom sadržaju može se osigurati biometrijskom autentifikacijom i 2FA.
Suprotno tome, ako upravljate lozinkama u šifriranoj datoteci koja se lokalno sprema, tu datoteku morate ručno kopirati na druge uređaje (ili je zadržati u oblaku na lokaciji pod vašom ličnom kontrolom), a zatim provjeriti sadržaj svake kopije ostanite sinkronizirani Više trenja.
5) Nadzorna zaštita
Menadžeri lozinki uglavnom nude dobru zaštitu od "surfanja ramenom". Napadač koji vas može gledati kako tipkate, bilo uživo ili uz pomoć nadzorne kamere, može s lakoćom ukrasti vaše podatke za prijavu. Menadžeri lozinki nikada ne izlažu te detalje.
Postoji li slučaj protiv menadžera lozinki?
Čak i naoružan tim argumentima, kada dajem tu preporuku drugim ljudima, obično čujem iste izgovore. Iskreno, međutim, niko od njih ne drži se nadzora.
"Već imam savršeno dobar sistem za upravljanje lozinkama."
Obično ovaj sistem uključuje ponovnu upotrebu neke lako zapamćene osnovne lozinke, dodavanjem posebnog sufiksa ili prefiksa koji je pričvršćen za tu bazu po lokaciji. Problem s tom shemom je što te lozinke nisu slučajne i ako netko otkrije vaš obrazac, u velikoj mjeri ima ključ kostura da sve otključa. A istraživački rad iz 2013. godine informatičara sa Univerziteta Illinois, Princeton i University of Indiana, The Tangled Web of Password Ponovna upotreba, pokazao je da napadači mogu vrlo brzo shvatiti te obrasce.
Još važnije, ovakva šema se ne skalira. Na kraju se sudara s pravilima lozinke na web mjestu koje, recimo, ne dopušta posebne znakove ili ograničava dužinu lozinke. (Znam, to je ludo, ali te web lokacije postoje.) Ili vas usluga prisiljava da promijenite lozinku i neće prihvatiti novu lozinku, jer je preblizu prethodnoj i sada imate još jedan izuzetak od svog sistema koji imate pratiti.
Takođe: Kako efikasno upravljati svojim lozinkama pomoću KeePass TechRepublic
I tako završavate čuvanjem šifrirane liste lozinki koje nisu baš jedinstvene i nisu baš slučajne, a nisu nimalo sigurne. Zašto jednostavno ne koristiti softver napravljen u tu svrhu?
"Ako mi netko ukrade datoteku lozinke, ima sve moje lozinke."
Ne, nemaju. Imaju AES-256 šifrirani blob koji je, u sve svrhe i svrhe, beskorisna nerazumljivost. Jedini način da izvučete njegove tajne je pomoću ključa za dešifriranje, koji i vi sami znate.
Naravno, ovo podrazumijeva da ste slijedili neke razumne mjere predostrožnosti s tim ključem za dešifriranje. Konkretno, da ste to napravili dovoljno dugo, da to ne može pretpostaviti čak ni neko ko vas dobro poznaje i da ga nikada niste koristili ni za što drugo. A ako ste omogućili višefaktorsku autentifikaciju, lopovu ste dali još jednu vrlo veliku prepreku da to prevlada.
Ako vam treba jaka i jedinstvena lozinka, možete je generirati na ispravnomhorsebatterystaple.net, koji koristi iznenađujuće sigurnu metodologiju iz ovog klasičnog crtanog filma XKCD. Ostali visokokvalitetni generatori slučajnih lozinki dostupni su na 1Password, LastPass i Random.org.
Definitivno ne biste trebali zapisati taj ključ ni na ljepljivu ceduljicu ni na papir na ladici stola. Ali možda ćete htjeti zabilježiti tu lozinku i pohraniti je na vrlo sigurno mjesto ili kod osobe od velike povjerenja, zajedno s uputama kako je koristiti za otključavanje datoteke lozinke u slučaju da vam se nešto dogodi.
"Ne vjerujem nekome drugom da čuva moje lozinke na njihovom serveru."
Razumijem instinktivnu reakciju da dopuštanje usluzi u oblaku da čuva vašu punu bazu podataka lozinki mora biti zastrašujući sigurnosni rizik. Kao i sve što se odnosi na oblak, postoji kompromis između pogodnosti i sigurnosti, ali taj je rizik relativno nizak ako usluga slijedi najbolje prakse za šifriranje i ako postavite jaku glavnu lozinku.
Ali ako jednostavno ne vjerujete oblaku, imate alternative.
Takođe: 57% IT radnika koji se phishing ne mijenjaju ponašanje lozinke TechRepublic
Nekoliko menadžera lozinki koje sam pogledao nude opciju pohrane lokalne kopije vaše AES-256 šifrirane datoteke, bez ikakvih funkcija sinhronizacije. Ako odaberete tu opciju, morat ćete se odreći opcije da koristite menadžer lozinki na više web lokacija ili smisliti način ručne sinhronizacije tih datoteka između različitih uređaja.
Kao sredinu možete koristiti ličnu uslugu u oblaku za sinhronizaciju datoteka sa lozinkom. Na primjer, 1Password podržava automatsku sinhronizaciju s Dropboxom i iCloudom, osiguravajući da ste zaštićeni čak i ako je jedna od tih usluga ugrožena.
"Nisam meta."
Da, jesi.
Ako ste novinar koji radi na sigurnosnim pitanjima, ili ste aktivist u zemlji čiji čelnici ne odobravaju aktivizam, ili zaposlenik u istaknutoj političkoj kampanji, ili dobavljač koji komunicira s ljudima u osjetljivim industrijama, ponovno cilj visoke vrijednosti. Svatko tko se uklapa u jednu od tih kategorija trebao bi ozbiljno shvatiti opsec, a menadžer lozinki je važan dio dobro slojevitog sigurnosnog programa.
Ali čak i ako niste očiti kandidat za ciljane napade, možete biti pometeni u kršenju web stranice. Zbog toga su me odveli? postoji. Dovoljno je lako da vas ugrožena web lokacija prisili da resetirate lozinku, smanjujući rizik od tog kršenja, ali ako ste tu istu kombinaciju vjerodajnica koristili negdje drugdje, rizikujete ozbiljno. Bez obzira na to koliko ste pažljivi, uvijek postoji rizik da ćete se prevariti u predaji vjerodajnica u dobro osmišljenom phishing napadu.
Koji menadžer lozinki je pravi za vas?
Bilo koje rješenje menadžera lozinki je bolje od nikakvog.
Najjednostavnije rješenje je korištenje alata za upravljanje lozinkom ugrađenih u zadani preglednik ili operativni sistem. Ta opcija posebno dobro radi za one koji su tehnički nesofisticirani, imaju ograničen broj vjerodajnica za pohranu i koriste hardver i usluge iz jednog ekosistema. Ako stvari postavljate prijatelju ili rođaku koji ima Mac i iPhone, na primjer, Appleov privjesak za ključeve bit će dovoljan. Oni koji žive u Googleovom ekosustavu vjerovatno mogu proći s Chromeovim menadžerom lozinki.
Za one kojima je kompjuterski život kompliciraniji, rješenje treće strane je najprikladnije.
Iako većina komercijalnih programa nudi besplatni nivo, ta opcija obično uključuje neprihvatljiva ograničenja, poput ograničenja broja i vrste uređaja koje možete koristiti ili broja vjerodajnica koje možete spremiti. Izuzetak vrijedan pažnje je Bitwarden, besplatna aplikacija otvorenog koda čiji besplatni nivo nema takvih ograničenja.
Za ličnu upotrebu, većina komercijalnih opcija s puno značajki košta nekoliko dolara mjesečno; porodične pretplate obično koštaju malo više, ali omogućavaju pet ili šest članova porodice da dijele pretplatu. Ovi plaćeni planovi obično nude i neke naprednije funkcije, uključujući podršku za hardversku autentifikaciju i mogućnost sigurnog dijeljenja lozinki.
Napokon, većina komercijalnih menadžera lozinki uključuje poslovne planove koji omogućavaju centralnu administraciju i robusno dijeljenje i sigurnost organizacije. Kao bonus, neki poslovni planovi uključuju besplatne lične licence tako da zaposlenici mogu upravljati ličnim lozinkama koristeći iste alate koje koriste u poslu.
Ovdje smo sastavili listu najboljih besplatnih i plaćenih opcija: Najbolji menadžer lozinki 2021. godine. Svaki unos na ovoj listi uključuje detalje o cijenama, kao i vezu do sigurnosnih podataka. Svaki plaćeni program nudi besplatnu probnu verziju i toplo preporučujemo da iskoristite te probe kako biste provjerili odgovara li vam program.
Napisao: Ed Bott
Izvor: www.zdnet.com
