Otrzymujesz wiadomość z linkiem do strony, o której istnieniu nawet nie pamiętasz; wchodzisz i proszą cię o podanie nazwy użytkownika i hasła ... W najlepszym przypadku zapamiętujesz swoją nazwę użytkownika i podajesz hasło, którego używasz do wszystkiego: kombinację liter, cyfr i znaków, które zapewniają bezpieczny dostęp (a przynajmniej tak myślisz); w najgorszym przypadku nawet nie wiesz, jaką masz nazwę użytkownika, a tym bardziej hasło.
Ten scenariusz doświadczył prawie każdego w swoim życiu, jeśli nie, nadal jest częstym epizodem na co dzień. Wiemy, że bardzo ważne jest posiadanie bezpiecznego hasła, ale coś takiego jest bardzo trudne do zapamiętania, więc „najbardziej praktyczne” jest posiadanie czegoś łatwego, co nie jest tak oczywiste. Problem w tym, że niestety robienie „mniej oczywistych” jest często tym samym, co wielu myśli i otrzymujesz wysoce niezabezpieczone (i oczywiste) hasło. Wręcz przeciwnie, utworzenie bezpiecznego hasła, trudnego do odgadnięcia dla innych, ale łatwego dla Ciebie, jest zwykle jednym zdarzeniem, więc powtarzasz to samo hasło we wszystkich swoich poświadczeniach, co nie jest dobrym pomysłem.
Jak zgadza się większość świadomych bezpieczeństwa ludzi, najlepiej jest używać menedżerów haseł. Ogólnie rzecz biorąc, istnieją dwa typy: te, które przechowują bazę danych na swoich serwerach w sposób zaszyfrowany (w najlepszych przypadkach) i te, które tworzą zaszyfrowaną lokalną bazę danych (chociaż istnieją usługi, które przełączają się między dwiema kategoriami według gustu użytkownika) .
Zsynchronizowane menedżery haseł
Większość menedżerów handlowych należy do tej kategorii: 1password, LastPass, Dashlanei jeszcze inne, które pobierają miesięczną lub roczną opłatę za zarządzanie Twoim magazynem haseł. Ponieważ jego celem jest dotarcie do większości ludzi (i większości kieszeni), jego filozofią jest jak najbardziej praktyczna, dlatego najłatwiej jest mieć aplikacje na komputery stacjonarne i telefony komórkowe oraz synchronizować hasła przez własne serwery. Na ogół są to aplikacje o zamkniętym kodzie źródłowym, które nie podlegają audytowi w celu sprawdzenia ich bezpieczeństwa; Jego celem jest również wygenerowanie bazy płacącej użytkownikom za ułatwienie życia i którzy, nawiasem mówiąc, dają możliwość kontynuowania działalności (choć oczywiście są wyjątki, takie jak BitWardena, który jest open source i bezpłatny).
Menedżery haseł nie są zsynchronizowane
Tacy menedżerowie nie synchronizują się w Internecie, szczególnie ze względu na bezpieczeństwo. Ich argumentem jest to, że jedyny sposób, aby się przed nim uchronić hakerzy trzyma rzeczy nieaktywny A ponieważ baza danych haseł jest dosłownie głównym kluczem naszych usług cyfrowych, najlepsze jest to, że użytkownik przejmuje kontrolę nad bezpieczeństwem własnej bazy danych. Ma tę wadę, że wymaga woli i pewnej wiedzy ze strony użytkownika, więc nie jest pierwszym wyborem większości populacji. Najlepszym przykładem tej kategorii jest KeePass, wolne oprogramowanie, wieloplatformowe i bezpłatne.
Hybrydowe menedżery haseł
Są menedżerami, którzy dają użytkownikowi możliwość synchronizacji lokalnej bazy danych na swoich serwerach, na Dropbox, Google Drive lub innej komercyjnej usłudze, a nawet na prywatnych serwerach, którymi może zarządzać ten sam użytkownik (NextCloud lub Owncloud). Dobry przykład to EnpassChociaż kod jego aplikacji jest prywatny, pobiera on tylko opłaty za klienta telefonu komórkowego, co czyni go ekonomiczną i elastyczną opcją, która dostosowuje się do życzeń użytkownika.
Jeśli chodzi o bezpieczeństwo, najlepszą opcją jest posiadanie lokalnej bazy danych lub posiadanie jej na własnym serwerze, w ten sposób unika się masowych wycieków, jak wtedy, gdy LastPass został przejęty. Oczywistym problemem jest to, że nie każdy ma prywatny serwer i nie chce mieć swojej bazy danych w usługach komercyjnych monitorowanych przez rządy lub korporacje, więc jakie są inne opcje?
Mniej przepustek, inny menedżer haseł
Mniej podań, czymś więcej niż menedżerem jest idea, idea, że jest tylko jeden sposób na zapewnienie całkowitego bezpieczeństwa w bazie danych haseł: nie posiadanie bazy danych. Jak można mieć hasła bez bazy danych, w której można je przechowywać? Mniej podań generuje Korzystaj z silnych haseł z witryny, nazwy użytkownika i hasło główne. Dzięki tym trzem elementom (znanym tylko Tobie) generowane hasła są zawsze takie same, co pozwala uniknąć tworzenia baz danych, które mogą zostać później przejęte przez kogoś. haker ciekawy lub masowym atakiem na określoną usługę.
Jego kod jest publiczny i jest również wieloplatformowy; ma nawet wersję do użycia wiersz poleceń. Wadą jest to, że zawsze musisz pamiętać i być jasnym te trzy elementy lub hasło nie będzie pasować, co może być frustrujące i bardziej skomplikowane niż proste. Niezależnie od tego opcja ta wiąże się z małą rewolucją w zarządzaniu hasłami, więc zdecydowanie warto o tym pamiętać.
Kim jestem, mimo wycieku LastPass kilka lat temu nadal go używam ze względu na dużą liczbę haseł, których używam i jest ich kilka, myślę, że dopiero teraz trzymam 3 hasła tylko w głowie.
KeePass powinien należeć do kategorii hybrydowej (chociaż synchronizuję go ręcznie przez połączenie KDE). Polecam tę konfigurację, aby skorzystać z niej w Meksyku
Linux:
- KeePass v2.30 skonfigurowany z wtyczką
- KeePassHttp i AddOn
- Passlfox (dla przeglądarki Firefox)
Wynik, nazwa użytkownika i hasło zostały uzupełnione w sieci (nie mylić z KeePassX)
Android:
-KeePass2Android
Tak, niektóre można przenosić między kategoriami. KeePass jest popularnym wyborem właśnie ze względu na swoją elastyczność i dlatego, że jest open source; Przepis, którym się z nami dzielisz, jest bardzo dobry, żeby nie zwariować i być bezpieczny. Dziękuję Ci.
Lubię KeePass zwłaszcza dlatego, że nie synchronizuje się online, tę wadę można przekształcić w zaletę.