it-swarm-tr.com

Şifre yöneticisi ve şifreleri hatırlama

Her zaman bir şifre yöneticisi kullanmamanız gerektiğini, ancak şifrelerinizi kafanızda tutmanız gerektiğini düşündüm, ancak son zamanlarda bir şifre yöneticisine sahip olmanın artılarını ve eksilerini düşündüm.

Bazı alanlar şunlar olabilir: şifre uzunluğu, tuş kaydedicinin önlenmesi, şifreler arasındaki entropi, erişilebilirlik.

(Ben değil nasıl zor ama unutulmaz bir şifre oluşturmak için soruyorum! Bu çözümün bir parçası olabilir ama tüm soru değil.)

Son olarak, bunları birleştirmenin herhangi bir yolu var mı: tuş kaydedicilerden kaçınmak için yöneticide bir buçuk tutmak ve diğerini yazmak.

50
KilledKenny

Ben yazdı bu geçen yıl şifre yöneticilerinin yanlısı ve eksilerini:

Artıları:

  • Büyük kolaylık ve güvenlik dengesi - insanlar basit şifreleri seçme ve aynı şifreyi (veya tabanı) tekrar kullanma eğilimindedir, çünkü bunların çoğu vardır ve bunları sık sık girmeniz gerekir. 1Password veya Lastpass ile gerçekten güçlü bir şifre oluşturabilirsiniz (en azından kritik hesaplarınız için), ancak yine de otomatik olarak doldurulmasını veya en azından telefonunuzda yazılı olmasını sağlayın. Gerçek bir fayda da gizli sorular gibi şeylerde, bu gerçekten güçlü bir şifrenin gizli bir soru cevabı olarak 5 harfli bir sözlük Word'e sahip olduğu zayıf bir noktadır. Artık güçlü gizli soru cevapları da oluşturabilirsiniz

  • Taşınabilirlik - tarayıcılarınızı şifre kaydetme işlevini kullanmayla ilgili sorun, Google veya Firefox senkronizasyonu gibi bir şeyle birleştirmediğiniz sürece taşınabilir olmamasıdır. O zaman bile şu anda telefonunuzda mevcut değil (en azından iPhone değil, Android tarayıcıda Google senkronizasyonu olup olmadığından emin değilim)

  • Güvenli depolama - hassas bilgileriniz depolama alanında şifrelenir ve bir ana parola ile korunur. Bu, bir yere yazmaktan veya not veya şifrelenmemiş bir e-tabloda depolamaktan çok daha iyi

  • Sadece şifreler için değil - banka bilgilerini, sigorta numaralarını, kredi kartlarını, pasaport numaralarını vb. Saklayabilir ve bu bilgileri girerek size zaman kazandırabilir ve hareket halindeki ayrıntılara güvenli erişim sağlayabilirsiniz. Ayrıca belgelerinizin taraması veya özel anahtarlarınız gibi dosyaları da saklayabilirsiniz

  • Hafızanızı geliştirin - neredeyse hiç kullanmadığım sitelerde ve bu karmaşık kullanıcı adlarına sahip devlet sitelerinde bu ayrıntıları asla hatırlayamıyorum. İPhone, 1Password ve her şeyi kolay arama ile başlatın

  • İnsanlar da bu listeye kimlik avı/kötü amaçlı yazılımdan koruma ekliyor, ancak bunu kabul etmiyorum. Yine de, kötü amaçlı yazılımın yakalayabileceği ana parolanızı girmeniz gerekir, eğer telefonunuzda varsa ve parolayı tekrar girerseniz yakalanabilir. Araçtan web siteleri başlatırsanız, kimlik avı karşıtı olabileceğini düşünüyorum, ancak doğrudan yazmak veya yer işaretlerinizi kullanmakla aynı şey

Eksileri:

  • Tek başarısızlık noktası, krallığın anahtarları - anahtarlığınızı telefonunuza senkronize ederseniz veya masaüstünüzde veya dizüstü bilgisayarınızda varsa, bazıları buna erişebilir. Ana şifreniz zayıfsa, tek seferde her şeyi kaybedersiniz. Bildiğim kadarıyla 1Password, ana parola için bu riski önemli ölçüde azaltacak bir donanım tabanlı iki faktörlü kimlik doğrulama seçeneği sunmuyor. Lastpass, iki faktörlü bir mekanizma olarak bir yubikey kullanımı sunar, ancak Lastpass bir web uygulamasına sahip olduğundan, hesap bilgilerinizi ve en kötü durumda şifreleri açıkta bırakabilecek web uygulaması güvenlik açıklarından (örn. XSS) muzdarip olabilir.

  • Şartlar ve koşullar - hala teknik olarak 'şifre aşağı yazmak'. Bu, İnternet Bankacılığı siteniz gibi şeylerle ilgili şartlar ve koşullara aykırı olabilir. Bu, bir sahtekarlık durumunda aldığınız korumayı azaltabilir veya kaldırabilir. Bunu her zaman kontrol edebilir ve bu siteler için şifreyi saklayamazsınız

  • Buluta güven - depolamada şifrelenmesi gerekiyor, ancak verileri senkronize ederseniz, bazı insanlar 1Password veya Lastpass'ın arka kapıya sahip olmadığına ve potansiyel olarak kötü niyetli veya hoşnutsuz bir çalışan erişimine izin vermediğine asla güvenmezler. Tüm yazılımların güvenlik açıkları vardır, yine ciddi bir saldırganın verilerinize erişmesine izin verebilir

Başka bir seçenek de Ironkey gibi donanım şifreli bir cihazda saklanan bir şifre kasası kullanmaktır. Sürümler bir parola yöneticisi yüklü olarak gelir. Bir USB sürücüsüne takmanız ve okuma erişimine sahip olmanız biraz daha az uygundur, ancak kesinlikle daha güvenlidir. Yukarıda vurgulanan bazı riskleri azaltır, donanım şifreli ve yalnızca cihazınızda saklanır. Ayrıca Ironkey'iniz fiziksel anahtar zincirinizde ise, telefonunuzu veya dizüstü bilgisayarınızı kaybetmekten çok daha az olasıdır. Ayrıca kaybetmeyi başarırsanız uzaktan da yok edebilirsiniz.

Çevrimiçi uzaktan imha için anahtarın kurumsal sürümüne ihtiyacınız vardır. Uzaktan imha, yönetim konsolundaki bir özelliktir. Anahtar prize takıldığında, ev telefonu. Yıkım etkinleştirildiyse, bu aşamada kullanılamaz hale gelir ve tüm veriler etkili bir şekilde kaybolur (şifre çözme anahtarlarını çöpe attığına inan). Ayrıca, 10 başarısız ana şifre denemesinden sonra otomatik olarak kendi kendini imha edecek şekilde ayarlayabileceğiniz bir çevrimdışı mod (iPhone'a benzer) vardır.

Sonuç

Genel olarak profesyonel eksilerini ağır basar inanıyorum. İki faktörlü kimlik doğrulama seçeneğiniz yoksa, güçlü bir parolaya sahip olmak tek savunmanızdır. Parola kasası kullanmak bunu çok daha pratik ve kullanışlı hale getirir.

Parolanın yarısını bir parola yöneticisinde tutamamanızın ve geri kalanını hatırlayamamanızın bir nedeni yoktur, bir tuş kaydedicinin parolanızı yakalamasını zorlaştırır, ancak kullanılabilirlik ödünç almaya değmeyebilir. Gerçekten hassas bilgileriniz için iki faktör ve diğerleri için bir şifre yöneticisi kullanmak için daha iyi bir seçenek olabilir

46
Rakkhi

Birisi kutunuzu köklendirmişse, o zaman çok fazla çaba harcamadan şifrelerinizi her iki yöntemden de alabilirler. Parola yöneticisi için parola dosyanızı ve bir keylogger aracılığıyla o dosyanın parolasını alabilirler. Sadece hatırlanan şifreleri kullanırsanız, şifrelerinizi girerken zaman içinde toplarlar.

Birisi bir keylogger'ı kurmak ve almak için makinenize fiziksel erişime sahipse, makinenize oturum açabilir if önemli bir süre fiziksel erişime sahiptir. Bunun için yeterli zamanları yoksa, parola dosyanız olmadığı için parola yöneticisiyle daha güvende olursunuz (yalnızca parola). Kutunuza root erişimi almak ve boş zamanlarında uzaktan erişimi etkinleştirmek için zamanları varsa, ilk paragrafta olduğu gibi konumtasınız.

Bu şekilde düşündüğünüzde, ezberlemenin şifre yöneticileri üzerinde tuttuğu bir şey varsa çok az. Ve siz ve parolalarınız haksız bir kişinin fiziksel erişime sahip olması durumunda korunur OR makinenizi uzaktan köklendirebilirsiniz. Bu iki saldırıyı önlemek önemlidir.

Fiziksel saldırıları önlemek için öncelikle iyi bir fiziksel güvenliğe ihtiyacınız vardır. O zaman uzaktan saldırıları önlemeniz gerekir - iyi ağ çevre güvenliği uygulayın, minimum hizmetleri etkinleştirin ve etkinleştirmek dışında başka seçeneğiniz olmayanlar için iyi güvenlik uygulamalarına sahip olun. Ayrıca güvenli tarama alışkanlıkları uygulayın, makinenizi düzenli olarak güncelleyin vb., Yani öncelikle kök salmanızı önleyen önleyici tedbirler. Köklenmeniz durumunda yedeklemeniz olması gerekir. Köklendirilirseniz, bir şifre yöneticisi kullansanız da kullanmasanız da her şifreyi değiştirmeniz gerektiğini varsaymalısınız.

Ezberlemenin size sunduğu tek şey hakkında IMO, birisi önemli şifrelerinizi kaydetmeden önce biraz zaman alabilir. Bunun için çok fedakarlık ediyorsun. Ezberleme ölçeklenebilir değildir. Ne kadar çok site kullanırsanız (ve web hayatımıza nüfuz ettikçe, daha fazla kullanıcı adı ve parolaya ihtiyaç duyulursa), o kadar parolaya ihtiyacınız olur. Ve güçlü olmaktan giderek daha fazla faydalanıyorlar. Onları güçlü kılmak, ezberlemeyi zorlaştırmanın yanı sıra, kullanıcının çok çaba sarf etmesini gerektirir. Ya da bunları bir kağıda yazarsanız, şifre yöneticisi ile aynı sorun yaşarsınız, ancak yedekleme ve senkronizasyon daha zor, daha göze çarpan, yanlış yerleştirme daha kolay, düz metin vb. Ve bunları yazmak zorundasınız. kopyalamak ve yapıştırmak yerine her zaman.

En azından bir şifre yöneticisi kullanmak, kullandığınız internetteki her siteye (çok sayıda olabilir) çok güçlü ve farklı şifreler verebilmenizi sağlar. Ayrıca belirli siteler hakkında notlar ile birlikte farklı kullanıcı adlarını kolayca hatırlama yeteneği. Parola yöneticinize güçlü bir parola ezberlerseniz, dosyadan faydalanmak için tuş vuruşlarınızı bir şekilde alabilmeleri gerekir veya tuş vuruşlarınızı kullanmak için dosyanıza ihtiyaçları vardır.

7
user1971

10 yılda işler çok değişti. Yani neredeyse tüm cevaplar önceki yazıda modası geçmiş. Bu son yıllarda, çevrimiçi hizmetler için anahtarları hatırlamak yerine kesinlikle bir anahtar yöneticisi kullanıyorum. Ancak yerel sırları ayrı bir şekilde/yerde saklayın. Sırlarınızın oluşabileceği 2 ana yön vardır.

  1. İnternetten. Bu, kullandığınız çevrimiçi hizmetlerin saldırıya uğradığını veya geçişinizi göstermek zorunda kaldığı anlamına gelir.
  2. Yerel sisteminizin güvenliği ihlal edildi: kötü amaçlı yazılım, fiziksel hırsızlık, soygun ...

Bugünlerde genel olarak hangi yönün daha riskli olduğunu söylemek zor. Ancak sorumlu bir kullanıcı için 2. riskin çok daha az olduğunu söylemeliyim. Sorumlu bir kullanıcı şunları yapmaz:

  1. herhangi bir cihazdaki sırları düz metin olarak saklayın.
  2. başkalarının kendi hesaplarınızı kullanmasına izin verin.
  3. sırlarınızı şifrelenmiş bir şekilde yedeklemeyi unutmayın.
  4. aynı şifreyi 3 aydan fazla kullan
  5. rahatlık için güvenlik duvarınızı ve kötü amaçlı yazılımdan koruma yazılımınızı devre dışı bırakın
  6. sisteminiz için güvenlik yamalarını yükseltmeyi unutmayın ...

Failler tarafından birden fazla cihaz alınmışsa. Ana anahtarlarınız olmadığı için kısa bir süre içinde (birkaç yıl) hiçbir şeyin kilidini açamazlar. Bundan sonra, sorumlu bir kullanıcı şifrelerini en kısa zamanda değiştirecektir (birkaç gün içinde). Sonra her şey normale döndü. Birisi soracaktı, eğer ana geçişten vazgeçmek zorunda kalırsak? Bu durumda, yine de berbat ettik. Sizi parolalar için sıkmak zorunda kalmadan doğrudan varlıklarınızı aktarmaya zorlayabilirler. Her zaman bu risk altında olduğunuzu düşünüyorsanız, yararlı bulabileceğiniz tek bir şey vardır: makul olarak reddedilebilir şifreleme kullanmak.

Diğer yandan, birinci risk bizim kontrolümüz altında değildir. Ve bu son yıllarda çok oluyor. Bundan gerçekten kaçınamazsınız. Yapabileceğimiz tek şey hasarı en aza indirmektir. Teorik olarak, hiç kimse onlarca şifreyi hatırlayamaz ve birkaç ayda bir değiştirmeye devam edemez. Bu nedenle, şifre yöneticisini kullanmazsak, benzer parolayı farklı hizmetler arasında paylaşmanız daha olasıdır. Bu, faillere bir hizmete başarılı bir şekilde saldırdıktan sonra diğer hesaplarınıza kolayca girme şansı verir. Bu nedenle buradaki risk çok yüksektir. Parola yöneticisini kullanarak birkaç haftada bir parola için rastgele karakterler oluşturabilirsiniz. Parolanızı bile tahmin edemezdiniz. Bu yüzden kayıpları sadece bir hesapta kısıtladık. @Rakkhi, farklı cihazlardaki anahtarlıkların birden fazla kopyasının fiziksel olarak erişildikten sonra her şeyi tehlikeye atabileceği konusunda endişeliydi. İkinci risk yönünde bahsettiğimiz için bu risk son yıllarda çok düşüktür. Üstelik artık anahtarlıklarınızı başka cihazlarda tutmanıza bile gerek yok. Fikir durumunda, şifre yöneticilerinizi sadece ana bilgisayarınızdaki güvenli bir yerde saklarsınız. Diğer tüm cihazlar servis sağlayıcınız tarafından sağlanan uygulama/cihaz geçişini kullanabilir. Uygulama şifresi, MS, google, facebook vb. Gibi servis sağlayıcınız tarafından oluşturulan rastgele bir paroladır. Bu uygulama şifreleri, cihazınızın kilidini açma/kilitleme mekanizması tarafından şifrelenen cihazınıza kaydedilir. Normalde her cihaz farklı rasgele uygulama şifreleri grubuna sahip olacaktır. Bu şifreleri servis sağlayıcınızın web sayfalarından iptal edebilirsiniz. Bu nedenle, birisi tek bir mobil cihazınıza girmeyi başardı, ancak birkaç dakika boyunca erişim kazanabilir, ancak bu cihazın ASAP hesaplarınıza erişimini devre dışı bırakabilirsiniz. Cihaz şifrelemenizi parmak izi veya çizimler gibi düzgün bir şekilde ayarlarsanız, 2. riskte belirttiğimiz gibi verilerinize uzun süre erişemezler.

Sonuç olarak: kesinlikle bir ana cihazda şifre yöneticisi kullanmalı, diğer cihazlar için uygulama şifresi ayarlamalı ve sorumlu bir kullanıcı olmalısınız.

1
Wang

Rakkhi, şifre yöneticilerinin artıları ve eksileri hakkında çok iyi bir sunum yapar. Buna eklemek ve yaklaşımların birleştirilip birleştirilemeyeceği sorunuzu yanıtlamak için bunu yapmanın kolay bir yolu vardır. Hatırlanması çok zor olan karmaşık şifreleri yazmak için bir şifre yöneticisi kullanabilirsiniz, ancak şifrelerinizi dönüştürmek için kolay bir algoritmayı ezberleyerek ekstra bir koruma önlemi ekleyebilirsiniz.

Böyle bir algoritma hizmet adının bir kısmını şifrenizle birleştirmektir (bazıları tuzlama olarak adlandırılır, ancak bu durumda uygun olup olmadığından emin değilim).

Örnek olarak, şifre yöneticinizin size "Hata! EI10" verdiğini varsayalım. Facebook şifreniz olarak, gerçek şifreniz "FB-Aw! eI10" olabilir. . Kullanılabilirlik üzerine böyle bir yöntemin maliyeti basittir (algoritmanızı yazmayı unutmayın, ardından şifrenizi yöneticinizden yapıştırın) ve şifre yöneticinize ellerini atan birinin cesaretini kırabilir veya en azından sıfırlamak için yeterli zaman verebilir. yöneticinizin güvenliğinin ihlal edildiğini fark ederseniz, şifreleriniz.

0
Bushibytes