Ligtas na pag-access sa mga tagapamahala ng password

babel

4 Komentaryo

Nakatanggap ka ng isang mensahe na may isang link sa isang site na hindi mo rin naalala na mayroon; ipinasok mo at hinihiling nila sa iyo na ilagay ang iyong username at password ... Sa mga pinakamahusay na kaso, naalala mo ang iyong username at inilagay mo ang password na iyong ginagamit para sa lahat: isang kumbinasyon ng mga titik, numero at palatandaan na ginagawang ligtas ang iyong pag-access (o sa palagay mo ay ikaw); sa pinakamalala, hindi mo alam kung anong username ang mayroon ka, higit na mas mababa ang password.

Ang senaryong ito ay naranasan ng halos sinuman sa ilang oras sa kanilang buhay, kung hindi ito ay patuloy na isang madalas na yugto sa pang-araw-araw na batayan. Alam namin na napakahalaga na magkaroon ng isang ligtas na password, ngunit ang isang bagay na tulad nito ay napakahirap tandaan, kaya "ang pinaka praktikal" ay ang magkaroon ng isang bagay na madali na hindi masyadong halata, ang problema ay, sa kasamaang palad, ang paggawa ng "hindi gaanong halata" ay madalas na kapareho ng iniisip ng marami at nagtapos ka sa isang lubos na walang katiyakan (at halata) na password. Sa kabaligtaran, ang pamamahala upang lumikha ng isang ligtas na password, mahirap hulaan ng iba ngunit madali para sa iyo, ay karaniwang isang solong kaganapan, kaya inuulit mo ang parehong password sa lahat ng iyong mga kredensyal, na hindi magandang ideya.

Tulad ng pagsang-ayon ng karamihan sa mga taong walang malay sa seguridad, ang pinakamagandang gawin ay ang paggamit ng mga tagapamahala ng password. Sa pangkalahatan, mayroong dalawang uri: ang mga nag-iimbak ng iyong database sa kanilang mga server sa isang naka-encrypt na paraan (sa pinakamahusay na mga kaso) at mga lumilikha ng isang naka-encrypt na lokal na database (bagaman may mga serbisyo na lumilipat sa pagitan ng dalawang kategorya ayon sa gusto ng gumagamit) .

Mga naka-sync na tagapamahala ng password

Ang karamihan ng mga tagapamahala ng komersyo ay nahalagay sa kategoryang ito: 1password, LastPass, Dashlane, at iba pa rin na naniningil ng buwanang o taunang bayad upang pamahalaan ang iyong password vault. Dahil ang layunin nito ay maabot ang karamihan ng mga tao (at karamihan sa mga bulsa), ang pilosopiya nito ay maging praktikal hangga't maaari, kaya ang pinakamadaling bagay ay ang magkaroon ng mga desktop at mobile application at i-synchronize ang mga password sa pamamagitan ng iyong sariling mga server. Sa pangkalahatan sila ay sarado na mga application ng mapagkukunan na hindi naririnig upang suriin ang kanilang seguridad; Ang layunin nito ay upang makabuo din ng isang batayan ng pagbabayad sa mga gumagamit upang singilin para sa pagpapadali ng kanilang buhay at kung sino ang hindi sinasadya upang magpatuloy sa negosyo (bagaman syempre, may mga pagbubukod tulad ng BitWarden, na bukas na mapagkukunan at libre).

Hindi naka-sync ang mga tagapamahala ng password

Ang mga manager na ito ay hindi sumasabay sa Internet, lalo na sa seguridad ang nasa isip. Ang kanilang pagtatalo ay ang tanging paraan upang ligtas mula sa hackers ay pinapanatili ang mga bagay offline At dahil ang database ng password ay literal na master key ng aming mga digital na serbisyo, pinakamahusay para sa gumagamit na alagaan ang seguridad ng kanilang sariling database. Mayroon itong kawalan na kinakailangan nito ng kalooban at ilang kaalaman sa bahagi ng gumagamit, kaya't hindi ito ang unang pagpipilian ng karamihan ng populasyon. Ang pinakamahusay na halimbawa ng kategoryang ito ay KeePass, libreng software, multiplatform at libre.

Mga tagapamahala ng hybrid na password

Ang mga ito ay mga tagapamahala na nagbibigay sa pagpipilian ng gumagamit ng pagkakaroon ng isang lokal na database na magkasabay sa kanilang mga server, sa Dropbox, Google Drive o ibang komersyal na serbisyo o kahit sa mga pribadong server na maaaring pamahalaan ng parehong gumagamit (NextCloud o Owncloud). Isang magandang halimbawa ay EnpassBagaman pribado ang code ng aplikasyon nito, naniningil lamang ito para sa client ng cell phone, na ginagawang isang matipid at kakayahang umangkop na pagpipilian na inaayos sa mga kagustuhan ng mga gumagamit nito.

Pag-iisip tungkol sa seguridad, ang pinakamahusay na pagpipilian ay ang pagkakaroon ng isang lokal na database o magkaroon ito sa iyong sariling server, sa paraang iyon ay maiwasan ang napakalaking paglabas tulad ng kapag ang site ng Ang LastPass ay nakompromiso. Ang malinaw na problema ay hindi lahat ay may isang pribadong server at hindi nais na ang kanilang database sa mga serbisyong komersyal ay sinusubaybayan ng mga pamahalaan o mga korporasyon, kaya ano pa ang mga pagpipilian doon?

Hindi gaanong pumasa, ibang manager ng password

Hindi gaanong pumasa, higit pa sa isang manager ay isang ideya, ang ideya na mayroon lamang isang paraan upang magkaroon ng kabuuang seguridad sa isang database ng password: hindi magkaroon ng isang database. Paano posible na magkaroon ng mga password nang walang database upang maiimbak ang mga ito? Hindi gaanong pumasa ay bumubuo Mabuhay ang mga malalakas na password mula sa site, username at isang master password. Sa tatlong elementong ito (alam mo lang), ang mga nabuong password ay palaging pareho, na iniiwasan ang paglikha ng mga database na sa paglaon ay makompromiso ng isang tao. Hacker usisero o ng isang napakalaking atake sa isang tukoy na serbisyo.

Ang code nito ay pampubliko at ito rin ay multiplatform; mayroon pa itong bersyon na gagamitin ang linya ng utos. Ang masama ay kailangan mong laging tandaan at maging malinaw ang tatlong mga elemento o ang password ay hindi tugma, na maaaring maging nakakabigo at gawing mas kumplikado ang mga bagay kaysa sa simple. Hindi alintana iyon, ang pagpipiliang ito ay nagsasangkot ng isang maliit na rebolusyon sa pamamahala ng password, kaya't ito ay tiyak na isang ideya na dapat tandaan.


4 na puna, iwan mo na ang iyo

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   Modem dijo
    nakararaan 7 taon

    Ano ako, sa kabila ng tagas ng LastPass ilang taon na ang nakakalipas ay nagpatuloy na gamitin ito dahil sa maraming bilang ng mga password na ginagamit ko at maraming, sa palagay ko ngayon ko lang itinatago ang 3 mga password lamang sa aking ulo.

    Tumugon sa MoDeM
  2.   Martin dijo
    nakararaan 7 taon

    Ang KeePass ay dapat na mahulog sa kategorya ng hybrid (kahit na manu-mano itong nai-sync ko sa pamamagitan ng pagkonekta ng KDE). Inirerekumenda ko ang pagsasaayos na ito upang samantalahin ito sa Mexico

    Linux:
    - KeePass v2.30 naka-configure kasama ang plug in
    - KeePassHttp at ang AddOn
    - PasslPress (para sa firefox)
    Resulta, ang username at password ay nakumpleto sa web (hindi malito sa KeePassX)

    Android:
    -KeePass2Android

    Sagot kay Martin
    1.    babel dijo
      nakararaan 7 taon

      Oo, ang ilan ay maaaring ilipat sa pagitan ng mga kategorya. Ang KeePass ay isang tanyag na pagpipilian na tiyak dahil sa kanyang kakayahang umangkop at dahil ito ay bukas na mapagkukunan; ang resipe na ibinabahagi mo sa amin ay napakahusay upang hindi mabaliw at maging ligtas. Salamat.

      Tumugon kay babel
  3.   Lantad dijo
    nakararaan 7 taon

    Gusto ko ang KeePass lalo na dahil hindi ito nagsi-sync online, ang kawalan na ito ay maaaring gawing isang kalamangan.

    Tumugon kay Frank