Saate sõnumi lingiga saidile, mille olemasolu te isegi ei mäletanud; sisestate ja palutakse teil sisestada oma kasutajanimi ja parool ... Parimal juhul mäletate oma kasutajanime ja panete parooli, mida kasutate kõigeks: tähtede, numbrite ja märkide kombinatsioon, mis muudab teie juurdepääsu turvaliseks (või nii arvate sina); halvimal juhul ei tea te isegi, mis kasutajanimi teil on, veel vähem parool.
Seda stsenaariumi on elus kogenud peaaegu igaüks, kui mitte, siis see on jätkuvalt igapäevane sagedane episood. Me teame, et turvalise parooli olemasolu on väga oluline, kuid midagi sellist on väga raske meelde jätta, seega on "kõige praktilisem" omada midagi lihtsat, mis pole nii ilmne, probleem on see, et kahjuks "vähem ilmse" tegemine on sageli see, mida paljud arvasid ja teil on lõpuks väga ebaturvaline (ja ilmselge) parool. Vastupidi, turvalise parooli loomine, mida teistel on raske ära arvata, kuid mis on teie jaoks lihtne, on tavaliselt üks sündmus, nii et kordate sama parooli kõigis oma volitustes, mis pole nii hea mõte.
Kuna enamik turvateadlikke inimesi nõustub, on parim asi paroolihaldurite kasutamine. Üldiselt on kahte tüüpi: neid, mis salvestavad teie andmebaasi oma serveritesse krüptitud viisil (parimal juhul) ja neid, mis loovad krüpteeritud kohaliku andmebaasi (kuigi on teenuseid, mis liiguvad kahe kategooria vahel aadressil kasutaja maitse).
Sünkroonitud paroolihaldurid
Enamik kommertsjuhtidest kuuluvad sellesse kategooriasse: 1password, LastPass, Dashlaneja teised, kes võtavad teie paroolivaramu haldamise eest kuu- või aastamaksu. Kuna selle eesmärk on jõuda enamuse inimesteni (ja enamus taskuteni), on selle filosoofia olla võimalikult praktiline, nii et kõige lihtsam on omada laua- ja mobiilirakendusi ning sünkroonida paroole omaenda kaudu serverid. Üldiselt on tegemist suletud lähtekoodiga rakendustega, mida ei saa nende turvalisuse kontrollimiseks auditeerida; Selle eesmärk on luua ka baas maksvatelt kasutajatelt, kes võtavad tasu oma elu lihtsustamise eest ja kes juhuslikult annavad jätkata äritegevust (kuigi muidugi on ka erandeid, näiteks BitWarden, mis on avatud lähtekoodiga ja tasuta).
Paroolihaldurid pole sünkroonitud
Need haldurid ei sünkrooni Internetis, eriti turvalisust silmas pidades. Nende argument on see, et ainus viis, kuidas end kaitsta häkkerid hoiab asju offline Kuna paroolide andmebaas on sõna otseses mõttes meie digitaalsete teenuste peamine võti, on parim asi see, et kasutaja vastutab oma andmebaasi turvalisuse eest. Selle puuduseks on see, et see nõuab kasutaja tahtmist ja mõningaid teadmisi, seega pole see suurema osa elanikkonnast esimene valik. Selle kategooria parim näide on KeePass, vaba tarkvara, mitmeplatvormiline ja tasuta.
Hübriidparoolihaldurid
Need on haldurid, kes annavad kasutajale võimaluse lasta oma andmebaasides sünkroonida kohalik andmebaas, Dropboxis, Google Drive'is või muus kommertsteenuses või isegi privaatserverites, mida sama kasutaja saab hallata (NextCloud või Owncloud). Hea näide on EnpassKuigi selle rakenduse kood on privaatne, võtab see tasu ainult mobiiltelefoni kliendi eest, mis muudab selle ökonoomseks ja paindlikuks võimaluseks, mis kohandub kasutaja soovidega.
Turvalisusele mõeldes on parim võimalus omada kohalikku andmebaasi või omada seda oma serveris, nii välditakse suuri lekkeid nagu siis, kui LastPass oli rikutud. Ilmselge probleem on see, et kõigil pole privaatserverit ja nad ei taha, et nende andmebaas kommertsteenustes oleks valitsuste või ettevõtete järelevalve all, siis milliseid muid võimalusi on?
Vähem passe, erinev paroolihaldur
Vähem passe, rohkem kui juht on idee, idee, et paroolide andmebaasis on täielik turvalisus ainult ühel viisil: andmebaasi pole. Kuidas on võimalik omada paroole ilma andmebaasita, kuhu neid salvestada? Vähem passe genereerib Tugevad paroolid saidilt, kasutajanimi ja põhiparool. Nende kolme (ainult teile teadaoleva) elemendi abil on loodud paroolid alati ühesugused, mis väldib andmebaaside loomist, mida keegi hiljem võib rikkuda. häkker uudishimulik või konkreetse teenuse massiline rünnak.
Selle kood on avalik ja see on ka mitmeplatvormiline; sellel on isegi versioon, millest kasutada käsurida. Negatiivne külg on see, et peate alati meeles pidama ja selge olema need kolm elementi või parool ei ühti, mis võib olla masendav ja muuta asjad pigem keeruliseks kui lihtsaks. Sõltumata sellest hõlmab see valik paroolihalduses väikest revolutsiooni, seega on kindlasti mõte seda meeles pidada.
Mis ma olen, hoolimata paar aastat tagasi toimunud LastPassi lekkest jätkas selle kasutamist minu kasutatavate paroolide suure hulga tõttu ja neid on mitu, arvan, et alles nüüd hoian 3 parooli ainult peas.
KeePass peaks mahtuma hübriidkategooriasse (kuigi sünkroonin selle käsitsi KDE ühenduse kaudu). Soovitan seda konfiguratsiooni Mehhikos ära kasutada
Linux:
- pistikuga konfigureeritud KeePass v2.30
- KeePassHttp ja AddOn
- Passlfox (Firefoxi jaoks)
Tulemus, kasutajanimi ja parool on veebis automaatselt täidetud (mitte segi ajada KeePassX-iga)
Android:
-KeePass2Android
Jah, mõnda saab kategooriate vahel liigutada. KeePass on populaarne valik just selle paindlikkuse ja avatud lähtekoodiga; Retsept, mida meiega jagate, on väga hea, et mitte hulluks minna ja ohutu olla. Aitäh.
Mulle meeldib KeePass eriti seetõttu, et see ei sünkrooni veebis, selle puuduse võib muuta eeliseks.