Ricevi un messaggio con un collegamento a un sito di cui non ricordavi nemmeno l'esistenza; entri e ti chiedono di inserire username e password ... Nel migliore dei casi, ti ricordi il tuo username e metti la password che usi per tutto: una combinazione di lettere, numeri e segni che rendono il tuo accesso qualcosa di sicuro (o almeno così pensi tu); nel peggiore dei casi, non sai nemmeno quale nome utente hai, tanto meno la password.
Questo scenario ha sperimentato quasi chiunque in un momento della loro vita, se non continua ad essere un episodio frequente su base giornaliera. Sappiamo che è molto importante avere una password sicura, ma qualcosa del genere è molto difficile da ricordare, quindi "il più pratico" è avere qualcosa di facile che non è così ovvio, il problema è che, purtroppo fare il "meno ovvio" è spesso ciò che molti pensavano e ti ritroverai con una password altamente insicura (e ovvia). Al contrario, riuscire a creare una password sicura, difficile da indovinare per gli altri ma facile per te, di solito è un singolo evento, quindi ripeti la stessa password in tutte le tue credenziali, il che non è una buona idea.
Come concordano la maggior parte delle persone attente alla sicurezza, la cosa migliore da fare è utilizzare i gestori di password. In generale, ci sono due tipi: quelli che memorizzano il tuo database sui propri server in modo crittografato (nel migliore dei casi) e quelli che creano un database locale crittografato (sebbene ci siano servizi che si spostano tra le due categorie a piacere dell'utente) .
Gestori di password sincronizzati
La maggior parte dei manager commerciali rientra in questa categoria: 1password, LastPass, Dashlanee altri ancora che addebitano una tariffa mensile o annuale per gestire la cassaforte delle password. Poiché il suo obiettivo è raggiungere la maggior parte delle persone (e la maggior parte delle tasche), la sua filosofia è quella di essere il più pratico possibile, quindi la cosa più semplice è avere applicazioni per desktop e telefoni cellulari e sincronizzare le password attraverso i propri server. In generale sono applicazioni closed source che non sono controllabili per verificarne la sicurezza; Il suo scopo è anche quello di generare una base di utenti paganti da addebitare per semplificare la loro vita e che incidentalmente danno per continuare con l'attività (anche se ovviamente ci sono eccezioni come BitWarden, che è open source e gratuito).
Gestori di password non sincronizzati
Questi gestori non si sincronizzano su Internet, soprattutto tenendo conto della sicurezza. Il loro argomento è che l'unico modo per essere al sicuro da hacker sta mantenendo le cose offline E, poiché il database delle password è letteralmente la chiave principale dei nostri servizi digitali, la cosa migliore è che l'utente si faccia carico della sicurezza del proprio database. Ha lo svantaggio che richiede volontà e una certa conoscenza da parte dell'utente, quindi non è la prima scelta della maggior parte della popolazione. Il miglior esempio di questa categoria è KeePass, software gratuito, multipiattaforma e gratuito.
Gestori di password ibridi
Sono gestori che danno all'utente la possibilità di avere un database locale sincronizzato sui propri server, su Dropbox, Google Drive o un altro servizio commerciale o anche su server privati che lo stesso utente può gestire (NextCloud o Owncloud). Un buon esempio è EnpassSebbene il codice della sua applicazione sia privato, addebita solo il client del telefono cellulare, il che lo rende un'opzione economica e flessibile che si adatta ai desideri dell'utente.
Pensando alla sicurezza, l'opzione migliore è avere un database locale o averlo sul proprio server, in questo modo si evitano grosse perdite come quando il LastPass è stato compromesso. Il problema ovvio è che non tutti hanno un server privato e non vogliono che il loro database nei servizi commerciali venga monitorato da governi o aziende, quindi quali altre opzioni ci sono?
Meno passaggi, un gestore di password diverso
Meno passaggi, più che un manager è un'idea, l'idea che ci sia un solo modo per avere la sicurezza totale in un database di password: non avere un database. Come è possibile avere password senza un database in cui memorizzarle? Meno passaggi generi Password efficaci in tempo reale dal sito, nome utente e una password principale. Con questi tre elementi (conosciuti solo da te), le password generate sono sempre le stesse, il che evita di creare database che possono essere successivamente compromessi da qualcuno. degli hacker curioso o da un massiccio attacco a un servizio specifico.
Il suo codice è pubblico ed è anche multipiattaforma; ha anche una versione da cui usare la riga di comando. Lo svantaggio è che devi sempre ricordare ed essere chiaro quei tre elementi oppure la password non corrisponderà, il che può essere frustrante e rendere le cose più complicate piuttosto che semplici. Indipendentemente da ciò, questa opzione comporta una piccola rivoluzione nella gestione delle password, quindi è sicuramente un'idea da tenere a mente.
Quello che sono, nonostante il leak di LastPass un paio di anni fa abbia continuato ad usarlo a causa del gran numero di password che uso e ce ne sono parecchie, penso che solo ora tengo 3 password solo nella mia testa.
KeePass dovrebbe rientrare nella categoria ibrida (anche se lo sincronizzo manualmente tramite KDE Connect). Consiglio questa configurazione per trarne vantaggio in Messico
Linux:
- KeePass v2.30 configurato con il plug-in
- KeePassHttp e AddOn
- Passlfox (per firefox)
Risultato, il nome utente e la password vengono completati automaticamente sul web (da non confondere con KeePassX)
Android:
-KeePass2 Android
Sì, alcuni possono essere spostati tra le categorie. KeePass è una scelta popolare proprio per la sua flessibilità e perché è open source; La ricetta che condividi con noi è molto buona per non impazzire e andare sul sicuro. Grazie.
Mi piace KeePass soprattutto perché non si sincronizza online, questo svantaggio può trasformarsi in un vantaggio.