Вы получаете сообщение со ссылкой на сайт, о существовании которого вы даже не подозревали; вы входите, и они просят вас ввести свое имя пользователя и пароль ... В лучшем случае вы запоминаете свое имя пользователя и вводите пароль, который вы используете для всего: комбинация букв, цифр и знаков, которые делают ваш доступ чем-то безопасным (или так вы думаете); в худшем случае вы даже не знаете, какое у вас имя пользователя, не говоря уже о пароле.
Этот сценарий когда-либо случался почти с каждым человеком, если не сказать, что он продолжает быть частым эпизодом изо дня в день. Мы знаем, что очень важно иметь надежный пароль, но что-то подобное очень трудно запомнить, поэтому «наиболее практичным» является наличие чего-то простого, но не столь очевидного. Проблема в том, что, к сожалению, делать "менее очевидные" часто - вот что многие думали и вы получаете очень небезопасный (и очевидный) пароль. Напротив, создание безопасного пароля, который трудно угадать другим, но легко для вас, обычно представляет собой единичное событие, поэтому вы повторяете один и тот же пароль во всех своих учетных данных, что не очень хорошая идея.
Большинство людей, заботящихся о безопасности, соглашаются, что лучше всего использовать менеджеры паролей. В общем, есть два типа: те, которые хранят вашу базу данных на своих серверах в зашифрованном виде (в лучшем случае), и те, которые создают зашифрованную локальную базу данных (хотя есть службы, которые перемещаются между двумя категориями по вкусу пользователя) .
Синхронизированные менеджеры паролей
Большинство коммерческих менеджеров попадают в эту категорию: 1password, LastPass, Dashlane, а также другие, которые взимают ежемесячную или годовую плату за управление вашим хранилищем паролей. Поскольку его цель - охватить большинство людей (и большинство карманов), его философия должна быть как можно более практичной, поэтому проще всего иметь приложения для настольных и мобильных телефонов и синхронизировать пароли через свои собственные серверы. Как правило, это приложения с закрытым исходным кодом, которые не подлежат аудиту для проверки их безопасности; Его цель также состоит в том, чтобы создать базу платящих пользователей, которые должны платить за облегчение своей жизни и которые, кстати, жертвуют, чтобы продолжить бизнес (хотя, конечно, есть исключения, такие как БитВарденс открытым исходным кодом и бесплатно).
Менеджеры паролей не синхронизированы
Эти менеджеры не синхронизируются в Интернете, особенно с учетом требований безопасности. Их аргумент состоит в том, что единственный способ уберечься от Хакеры хранит вещи оффлайн А поскольку база данных паролей - это буквально главный ключ наших цифровых сервисов, лучше всего то, что пользователь берет на себя ответственность за безопасность своей собственной базы данных. У него есть недостаток, заключающийся в том, что он требует воли и некоторых знаний со стороны пользователя, поэтому это не лучший выбор для большей части населения. Лучший пример этой категории - KeePass, бесплатное программное обеспечение, мультиплатформенное и бесплатное.
Гибридные менеджеры паролей
Это менеджеры, которые дают пользователю возможность синхронизировать локальную базу данных на своих серверах, в Dropbox, Google Диске или другом коммерческом сервисе или даже на частных серверах, которыми может управлять тот же пользователь (NextCloud или Owncloud). Хороший пример - EnpassХотя код его приложения является частным, он взимает плату только с клиента мобильного телефона, что делает его экономичным и гибким вариантом, который адаптируется к пожеланиям пользователя.
Думая о безопасности, лучший вариант - иметь локальную базу данных или иметь ее на своем собственном сервере, таким образом можно избежать массовых утечек, как когда LastPass был взломан. Очевидная проблема заключается в том, что не у всех есть частные серверы и они не хотят, чтобы их база данных в коммерческих службах контролировалась правительствами или корпорациями, так что какие еще варианты есть?
Меньше прохода, другой менеджер паролей
Меньше пройти, больше, чем менеджер, - это идея, идея, что есть только один способ обеспечить полную безопасность в базе данных паролей: не иметь базы данных. Как возможно иметь пароли без базы данных для их хранения? Меньше пройти роды Живые надежные пароли от сайта, имени пользователя и мастер-пароль. С помощью этих трех элементов (известных только вам) сгенерированные пароли всегда одинаковы, что позволяет избежать создания баз данных, которые впоследствии могут быть взломаны кем-то. хакер любопытно или массированной атакой на конкретный сервис.
Его код общедоступен, и он также является мультиплатформенным; у него даже есть версия для использования от командная строка. Обратной стороной является то, что нужно всегда помнить и четко понимать эти три элемента или пароль не совпадает, что может расстраивать и усложнять задачу, а не просто. Несмотря на это, этот вариант предполагает небольшую революцию в управлении паролями, так что об этом определенно стоит помнить.
Что я, несмотря на утечку LastPass пару лет назад продолжал его использовать из-за большого количества паролей, которые я использую, а их несколько, я думаю, что только сейчас я держу 3 пароля только в голове.
KeePass должен попасть в категорию гибридных (хотя я вручную синхронизирую его через соединение KDE). Я рекомендую эту конфигурацию, чтобы воспользоваться ею в Мексике.
Linux:
- KeePass v2.30 настроен с плагином
- KeePassHttp и надстройка
- Passlfox (для Firefox)
В результате имя пользователя и пароль автоматически заполняются в Интернете (не путать с KeePassX)
Android-:
-KeePass2Android
Да, некоторые можно перемещать между категориями. KeePass - популярный выбор именно из-за его гибкости и того, что это открытый исходный код; Рецепт, которым вы делитесь с нами, очень хорош, чтобы не сойти с ума и быть в безопасности. Спасибо.
Мне нравится KeePass, особенно потому, что он не синхронизируется онлайн, этот недостаток может превратиться в преимущество.