it-swarm-eu.dev

Správce hesel vs zapamatování hesel

Vždy jsem si myslel, že nemáte používat správce hesel, ale udržovat svá hesla v hlavě, ale v poslední době jsem přemýšlel o výhodách a nevýhodách, které mají správce hesel.

Některé oblasti mohou být: délka hesla, ochrana ústředny, entropie mezi hesly, dostupnost.

(Já ne ptám se, jak vytvořit tvrdé, ale nezapomenutelné heslo! Může to být část řešení, ale ne celá otázka.)

A konečně existuje nějaký způsob, jak je kombinovat: ponechte polovinu ve správci a napište druhý, abyste se vyhnuli loggerům klíčů.

50
KilledKenny

napsal tento loňský rok na klady a zápory správců hesel:

Pros:

  • Velká rovnováha pohodlí a bezpečnosti - lidé mají tendenci volit jednoduchá hesla a znovu použít stejné heslo (nebo základnu), protože jich je tolik a musíte je zadávat tak často. S heslem 1Password nebo Lastpass můžete vygenerovat skutečně silné heslo (alespoň pro vaše kritické účty), ale stále máte tu výhodu, že je automaticky vyplněno nebo alespoň k dispozici zapsáno do telefonu. Skutečná výhoda je také ve věcech, jako jsou tajné otázky, což je běžně slabá stránka, kde skutečně silné heslo má jako odpověď na tajnou otázku pětibodový slovník slov. Nyní můžete také vytvářet silné odpovědi na tajné otázky

  • Přenositelnost - problém s použitím funkce uložení hesla v prohlížeči je ten, že pokud jej nekombinujete s něčím, jako je synchronizace Google nebo Firefox, není přenosný. I v současné době není ve vašem telefonu k dispozici (přinejmenším ne iPhone, nevíte, zda má prohlížeč Android prohlížeč má Google synchronizaci))

  • Zabezpečené úložiště - vaše citlivé informace jsou šifrovány v úložišti a chráněny hlavním heslem. Je to mnohem lepší, než jen to někde napsat nebo uložit do poznámky nebo nešifrované tabulky

  • Nejen pro hesla - můžete ukládat bankovní údaje, čísla pojištění, kreditní karty, čísla pasů atd., Které vám mohou ušetřit čas zadáním těchto údajů a poskytnout vám bezpečný přístup k detailům v pohybu. Můžete také ukládat soubory, jako jsou skenování dokumentů nebo soukromé klíče

  • Vylepšete svou paměť - na webech, které téměř nikdy nepoužívám, a na vládních webech s těmito komplikovanými uživatelskými jmény si tyto podrobnosti nikdy nepamatuji. Spusťte iPhone, 1Password a vše, co máte po ruce, se snadným vyhledáváním

  • Lidé také do tohoto seznamu přidávají anti-phishing/anti-malware, ale ten, se kterým nesouhlasím. Stále musíte zadat hlavní heslo, které malware dokáže zachytit, pokud jej máte v telefonu, a znovu zadejte heslo, které lze zachytit. Pokud spustíte webové stránky z nástroje, myslím, že by to mohlo být anti-phishing, ale je to stejné, jako když je zadáte přímo nebo pomocí vašich záložek

Nevýhody:

  • Jeden bod selhání, klíče do království - pokud synchronizujete svůj přívěšek na telefon nebo jej máte na ploše nebo notebooku, někteří by k tomu měli přístup. Pokud je vaše hlavní heslo slabé, ztratíte vše najednou. Pokud vím, 1Password nenabízí hardwarovou dvoufaktorovou autentizaci pro hlavní heslo, což by toto riziko významně snížilo. Lastpass nabízí použití yubikey jako dvoufaktorového mechanismu, ale protože Lastpass má webovou aplikaci, může trpět zranitelnostmi webových aplikací (např. XSS), které by mohly nechat vystavit podrobnosti o vašem účtu a v nejhorším případě hesla.

  • Smluvní podmínky - stále je to „technické psaní hesla“. Může to být v rozporu s podmínkami, jako je váš web Internet banking. To může snížit nebo odstranit jakoukoli ochranu, kterou získáte v případě podvodu. Můžete to vždy zkontrolovat a neukládat heslo pro tyto weby

  • Důvěra v cloud - předpokládá se, že bude šifrována v úložišti, ale pokud synchronizujete data, někteří lidé nikdy nebudou důvěřovat tomu, že 1Password nebo Lastpass nemá backdoor, což potenciálně umožňuje škodlivý nebo nespokojený přístup zaměstnanců. Veškerý software má zranitelnost, opět závažný může útočníkovi umožnit přístup k vašim datům

Další možností je použití úschovny hesel uložených v hardwarově šifrovaném zařízení, jako je Ironkey. Verze přicházejí s nainstalovaným správcem hesel. Je to o něco méně pohodlné, protože jej musíte připojit k jednotce USB a mít k němu přístup pro čtení, ale je to určitě bezpečnější. Snižuje některá z výše uvedených rizik, je hardwarově šifrovaná a uložena pouze v zařízení. Také, pokud je váš Ironkey ve vašem řetězci fyzických klíčů, je mnohem méně pravděpodobné, že jej ztratíte než váš telefon nebo notebook. Můžete ji také vzdáleně zničit, pokud se vám ji podaří ztratit.

Pro online vzdálené zničení potřebujete podnikovou verzi klíče. Vzdálené zničení je funkce v konzole pro správu. Když je klíč zapojen, telefonuje domů. Pokud bylo zničení aktivováno, stane se v této fázi nepoužitelné a všechna data budou účinně ztracena (věřte do koše dešifrovacími klíči). K dispozici je také režim offline (podobný jako iPhone), kde jej můžete nastavit na automatické sebezničení po 10 neúspěšných pokusech o hlavní heslo.

Závěr

Celkově si myslím, že profík převáží nevýhody. Nemáte-li možnost dvoufaktorové autentizace, je jedinou obranou silné heslo. Použití úschovny hesel to dělá mnohem praktičtějším a pohodlnějším.

Neexistuje žádný důvod, proč byste si nemohli ponechat polovinu hesla ve správci hesel a zapamatovat si zbytek, ztěžovalo by to záznamníkovi klíčů zachytit vaše heslo, avšak kompromis za použitelnost nemusí být za to. Lepší možností může být použití dvou faktorů pro vaše opravdu citlivé informace a správce hesel pro ostatní

46
Rakkhi

Pokud někdo zakořenil vaši schránku, pak si myslím, že může získat vaše hesla z obou metod bez přílišného úsilí. Budou moci získat váš soubor hesel pro správce hesel a heslo k tomuto souboru pomocí keyloggeru. Pokud používáte pouze zapomenutá hesla, sbírají vaše hesla v průběhu jejich zadávání.

Pokud má někdo k vašemu počítači fyzický přístup k instalaci a načtení keyloggeru, může se přihlásit k vašemu počítači pokud má fyzický přístup po značnou dobu. Pokud na to nemají dostatek času, měli byste být bezpečnější ve správci hesel, protože nemají váš soubor hesel (pouze heslo k němu). Pokud mají čas získat přístup ke kořenové schránce a povolit vzdálený přístup ve svém volném čase, jste na stejné pozici jako v prvním odstavci.

Když o tom takto přemýšlíte, je jen málo, pokud něco, co si pamatování drží nad správci hesel. A že vy a vaše hesla jsou hosed, pokud někdo nekalý má fyzický přístup OR může počítač vzdáleně rootovat. Předcházení těmto dvěma útokům je klíčové.

Nejprve potřebujete dobré fyzické zabezpečení, abyste zabránili fyzickým útokům. Pak je třeba zabránit vzdáleným útokům - implementovat dobré zabezpečení obvodů sítě, povolit minimum služeb a mít dobré bezpečnostní postupy pro ty, které nemáte jinou možnost, než povolit. A také praktikujte bezpečné návyky procházení, pravidelně aktualizujte svůj počítač atd., Tj. Preventivní opatření, která vám v první řadě zabrání zakořenit. A pokud budete mít kořeny, musíte mít zálohy. Pokud se zakořeníte, měli byste předpokládat, že musíte změnit každé heslo bez ohledu na to, zda používáte správce hesel.

Jediná věc, kterou si zapamatujete, si IMO je možná trochu času, než někdo zaznamená vaše důležitá hesla. Za to hodně obětujete. Memorizace není škálovatelná. Čím více webů používáte (a jak web proniká do našich životů, roste potřeba více uživatelských jmen a hesel), tím více věcí potřebujete hesla. A stále více těží z toho, že jsou silní. Aby byli silní, vyžaduje velké úsilí ze strany uživatele a ztěžování zapamatování. Nebo pokud je zapíšete na list papíru, máte stejný problém jako správce hesel, kromě toho, že je obtížnější zálohovat a synchronizovat, nápadnější, snáze ztracitelný, prostý text atd. A musíte je napsat po celou dobu, nikoli kopírovat a vkládat.

Alespoň použití správce hesel vám dává možnost mít velmi silná a různá hesla na všech stránkách na internetu, které používáte (což může být mnoho). A také schopnost snadno si pamatovat různá uživatelská jména spolu s poznámkami o konkrétních webech. Pokud si do svého správce hesel zapamatujete silné heslo, musí mít možnost nějakým způsobem stisknout klávesy, aby váš soubor využil, nebo potřebují váš soubor, aby mohly používat vaše stisknutí kláves.

7
user1971

Věci se za 10 let hodně změnily. Téměř všechny odpovědi jsou v předchozím příspěvku zastaralé. V těchto posledních letech rozhodně používám správce klíčů místo zapamatování klíčů pro online služby. Místní tajemství však uchovávejte odděleně. Existují 2 hlavní směry, které mohou obsahovat vaše tajemství.

  1. Z internetu. To znamená, že online služby, které používáte, byly napadeny hackery nebo byly nuceny odhalit váš průchod.
  2. Váš místní systém byl ohrožen: malware, fyzická krádež, loupež ...

Těžko říct, který směr je dnes obecně riskantnější. Ale musím říci, že druhé riziko je pro odpovědného uživatele mnohem menší. Odpovědný uživatel nebude provádět:

  1. udržujte tajemství na jakémkoli zařízení jako prostý text.
  2. ať ostatní používají vaše vlastní účty.
  3. zapomeňte si zálohovat vaše tajemství šifrovaným způsobem.
  4. používat stejné heslo déle než 3 měsíce
  5. z důvodu pohodlí deaktivujte svůj firewall a antimalwarový software
  6. zapomeňte upgradovat bezpečnostní záplaty pro váš systém ...

Pokud pachatelé získali více zařízení. Stále nemohou nic odemknout v krátkém časovém období (několik let), protože nemají vaše hlavní klíče. Takže poté bude odpovědný uživatel pouze měnit svá hesla ASAP (za několik dní). Pak všechno zpět do normálu. Jeden by se zeptal, co kdybychom byli nuceni vzdát se master pass? No, v tomto případě jsme stejně šukali. Mohou vás dokonce donutit k přímému převodu vašich aktiv, aniž by vás obtěžovali sbírat hesla. Pokud máte pocit, že jste vždy v nebezpečí, může vám pomoci jen jedna věc: použití věrohodně odmítnutelného šifrování.

Na druhé straně, první riziko není to, co máme pod kontrolou. A to se v posledních letech hodně děje. Tomu se opravdu nemůžete vyhnout. Jediné, co můžeme udělat, je minimalizovat škody. Teoreticky si nikdo nemůže pamatovat více než desítky hesel a měnit je každých pár měsíců. Pokud tedy nepoužíváme správce hesel, je pravděpodobnější, že budete muset sdílet podobné přístupové frázi napříč různými službami. To dává pachatelům šanci snadno se dostat na vaše další účty po úspěšném útoku na jednu službu. Proto je zde riziko velmi vysoké. Pomocí správce hesel můžete generovat náhodné znaky pro heslo každých několik týdnů. Dokonce ani nebudete moci uhodnout své heslo. Ztratili jsme tedy jen jeden účet. @ Rakkhi měl obavy z více kopií klíčenek na různých zařízeních, což může po fyzickém přístupu ohrozit vše. Toto riziko je v posledních letech velmi nízké, protože jsme se zmínili ve druhém směru útoku. Navíc už nemusíte mít klíčenky na jiných zařízeních. V nápadné situaci ponecháte své správce hesel pouze na svém hlavním počítači na bezpečném místě. Všechna ostatní zařízení mohou používat aplikaci/průchod zařízení poskytnuté poskytovatelem služeb. Heslo aplikace je náhodná přístupová fráze generovaná poskytovatelem služeb, jako je MS, google, facebook atd. Tato hesla aplikace jsou uložena v zařízení šifrovaná mechanismem odemknutí/uzamčení zařízení. Normálně bude mít každé zařízení různé sady náhodných hesel aplikace. Tato hesla můžete odvolat z webových stránek poskytovatelů služeb. Dokonce i někdo se podařilo dostat do jednoho svého mobilního zařízení, může získat přístup na několik minut, ale můžete zakázat přístup tohoto zařízení ke svým účtům ASAP. Pokud správně nastavíte šifrování zařízení, jako je otisky prstů nebo výkresy, nebudou mít přístup k vašim datům v dlouhém období, jak jsme se zmínili v druhém riziku.

Závěr je tedy: měli byste určitě používat správce hesel na hlavním zařízení, nastavit heslo aplikace pro jiná zařízení a být odpovědným uživatelem.

1
Wang

Rakkhi dělá velmi dobrou prezentaci výhod a nevýhod správců hesel. Chcete-li to přidat a odpovědět na svou otázku, zda lze přístupy kombinovat, existuje jednoduchý způsob, jak tak učinit. Správce hesel můžete použít k zapsání složitých hesel, která by byla příliš obtížná na zapamatování, ale přidat další míru ochrany zapamatováním snadného algoritmu pro transformaci hesel.

Jedním takovým algoritmem je zřetězit část názvu služby heslem (někteří to nazývají solením, ale nejsem si jistý, zda je to v tomto případě vhodné).

Řekněme například, že vám správce hesel dává „Aw! EI10“. jako vaše heslo na Facebooku může být vaše skutečné heslo „FB-Aw! eI10“. . Náklady na takovou metodu použitelnosti jsou jednoduché (nezapomeňte zadat svůj algoritmus, poté vložte své heslo od svého správce) a mohlo by to odradit někoho, kdo má ruce na správci hesel, nebo vám alespoň poskytnout dostatek času na resetování vaše hesla, pokud zjistíte, že váš správce byl ohrožen.

0
Bushibytes