Prejmete sporočilo s povezavo do spletnega mesta, za katerega se niti niste spomnili, da obstaja; vstopite in vas prosijo, da vnesete svoje uporabniško ime in geslo ... V najboljših primerih se spomnite svojega uporabniškega imena in vnesete geslo, ki ga uporabljate za vse: kombinacijo črk, številk in znakov, zaradi katerih je vaš dostop nekaj varnega (ali vsaj tako mislite); v najslabšem primeru sploh ne veste, kakšno uporabniško ime imate, še manj pa geslo.
Ta scenarij je nekoč v življenju doživel skoraj vsakogar, če ne, je še vedno pogosta epizoda iz dneva v dan. Vemo, da je zelo pomembno, da imamo varno geslo, a česa takega si je zelo težko zapomniti, zato je "najbolj praktično" imeti nekaj lahkega, kar ni tako očitno, težava pa je v tem, da na žalost početje "manj očitnega" je pogosto tisto, kar so mnogi mislili in na koncu dobite zelo negotovo (in očitno) geslo. Nasprotno, uspeti ustvariti varno geslo, ki ga drugi težko uganejo, a je za vas enostavno, je ponavadi en dogodek, zato isto geslo ponovite v vseh svojih poverilnicah, kar ni tako dobra ideja.
Kot se strinja večina ljudi, ki se zavedajo varnosti, je najbolje, da uporabite upravitelje gesel. Na splošno obstajata dve vrsti: tiste, ki shranjujejo vašo bazo podatkov na svojih strežnikih šifrirano (v najboljših primerih) in tiste, ki ustvarijo šifrirano lokalno bazo podatkov (čeprav obstajajo storitve, ki se med obema kategorijama premikajo po okusu uporabnika) .
Sinhronizirani upravitelji gesel
Večina komercialnih upraviteljev spada v to kategorijo: 1password, LastPass, Dashlanein še drugi, ki za upravljanje trezorja z gesli zaračunavajo mesečno ali letno naročnino. Ker je njegov cilj doseči večino ljudi (in večino žepov), je njegova filozofija čim bolj praktična, zato je najlažje imeti programe za namizne in mobilne telefone ter sinhronizirati gesla prek svojih strežnikov. Na splošno gre za zaprtokodne aplikacije, ki jih ni mogoče preveriti, da bi preverili njihovo varnost; Njen namen je tudi ustvariti bazo plačilnih uporabnikov, ki si zaračunavajo, da si olajšajo življenje in ki mimogrede omogočijo nadaljevanje poslovanja (čeprav seveda obstajajo izjeme, kot so npr. BitWarden, ki je odprtokodna in brezplačna).
Upravitelji gesel niso sinhronizirani
Ti upravitelji se ne sinhronizirajo v internetu, še posebej zaradi varnosti. Njihov argument je, da je edini način, pred katerim se lahko zavarujemo hekerji je ohranjanje stvari offline In ker je baza podatkov z gesli dobesedno glavni ključ naših digitalnih storitev, je najboljše, da uporabnik sam prevzame varnost lastne baze podatkov. Slaba stran je, da zahteva voljo in nekaj znanja uporabnika, zato ni prva izbira glavnine prebivalstva. Najboljši primer te kategorije je KeePass, brezplačna programska oprema, večplatformna in brezplačna.
Hibridni upravitelji gesel
So upravitelji, ki uporabniku omogočajo sinhronizacijo lokalne baze podatkov na njihovih strežnikih, v Dropboxu, Google Drive ali drugi komercialni storitvi ali celo v zasebnih strežnikih, ki jih lahko upravlja isti uporabnik (NextCloud ali Owncloud). Dober primer je EnpassČeprav je koda njegove aplikacije zasebna, zaračuna samo odjemalca mobilnega telefona, zaradi česar je ekonomična in prilagodljiva možnost, ki se prilagodi željam uporabnika.
Če razmišljamo o varnosti, je najboljša možnost, da imamo lokalno bazo podatkov ali jo imamo na svojem strežniku, na ta način se izognemo množičnim uhajanjem, kot če LastPass je bil ogrožen. Očitna težava je, da nimajo vsi zasebnega strežnika in ne želijo, da bi njihova baza podatkov v komercialnih storitvah nadzorovala vlade ali korporacije, torej kakšne druge možnosti obstajajo?
Manj dovolilnic, drugačen upravitelj gesel
Manj podaj, bolj kot upravitelj je ideja, ideja, da obstaja samo en način popolne varnosti baze podatkov z gesli: ne imeti baze podatkov. Kako je mogoče imeti gesla brez baze podatkov, v katero bi jih shranili? Manj podaj ustvarja V živo močna gesla s spletnega mesta, uporabniškega imena in glavno geslo. S temi tremi elementi (znanimi samo vam) so ustvarjena gesla vedno enaka, kar preprečuje ustvarjanje baz podatkov, ki jih lahko kasneje nekdo ogrozi. heker radovedne ali z močnim napadom na določeno storitev.
Njegova koda je javna in je tudi večplatformna; ima celo različico za uporabo ukazno vrstico. Slaba stran je, da se morate vedno spomniti in biti jasni ti trije elementi ali geslo se ne bo ujemalo, kar je lahko moteče in stvari bolj zaplete kot pa preprosto. Ne glede na to ta možnost vključuje majhno revolucijo pri upravljanju z gesli, zato je vsekakor ideja, ki jo morate upoštevati.
Kar sem, kljub puščanju LastPass pred nekaj leti sem ga še naprej uporabljal zaradi velikega števila gesel, ki jih uporabljam in jih je več, mislim, da šele zdaj imam 3 gesla samo v glavi.
KeePass bi moral spadati v hibridno kategorijo (čeprav ga ročno sinhroniziram prek povezave KDE). Priporočam to konfiguracijo, da jo izkoristite v Mehiki
Linux:
- KeePass v2.30, konfiguriran z vtičem
- KeePassHttp in AddOn
- Passlfox (za firefox)
Rezultat je, da se uporabniško ime in geslo samodejno izpolnita v spletu (ne gre zamenjati s KeePassX)
Android:
-KeePass2Android
Da, nekatere lahko premikate med kategorijami. KeePass je priljubljena izbira ravno zaradi svoje prilagodljivosti in zato, ker je odprtokodna; Recept, ki ga delite z nami, je zelo dober, da ne bi ponoreli in bili na varnem. Hvala vam.
KeePass mi je všeč predvsem zato, ker se ne sinhronizira v spletu, zato se lahko ta pomanjkljivost spremeni v prednost.