Ви отримуєте повідомлення із посиланням на сайт, про який ви навіть не пам’ятали, що існував; ви вводите, і вони просять вас вказати своє ім’я користувача та пароль ... У найкращих випадках ви пам’ятаєте своє ім’я користувача та вводите пароль, який використовуєте для всього: комбінація літер, цифр та знаків, які роблять ваш доступ чимось безпечним (або ти так думаєш); в гіршому випадку ви навіть не знаєте, яке у вас ім'я користувача, а тим більше пароль.
Цей сценарій певний час переживав майже будь-кого, якщо не, він продовжує залишатися частим епізодом щодня. Ми знаємо, що дуже важливо мати захищений пароль, але щось подібне дуже важко запам’ятати, тому «найпрактичнішим» є щось легке, що не так очевидно, проблема в тому, що, на жаль, робити «менш очевидне» часто таке саме, як те, що думали багато і в кінцевому підсумку у вас дуже небезпечний (і очевидний) пароль. Навпаки, спроба створити безпечний пароль, який важко вгадати іншим, але легкий для вас, - це, як правило, одна подія, тому ви повторюєте той самий пароль у всіх своїх облікових даних, що не є такою гарною ідеєю.
Як погоджується більшість людей, які підозрюють про безпеку, найкраще зробити це - використовувати менеджери паролів. Загалом існує два типи: ті, які зберігають вашу базу даних на своїх серверах зашифрованим способом (у найкращих випадках) і ті, які створюють зашифровану локальну базу даних (хоча існують послуги, які переміщуються між двома категоріями на смак користувача) .
Синхронізовані менеджери паролів
Більшість комерційних менеджерів належать до цієї категорії: 1password, LastPass, Dashlane, а також інші, які беруть щомісячну або річну плату за управління сховищем ваших паролів. Оскільки його мета - охопити більшість людей (і більшість кишень), її філософія полягає в тому, щоб бути максимально практичним, тому найпростіше мати програми для настільних та мобільних телефонів та синхронізувати паролі через власні сервери. Як правило, це закриті програми, які не підлягають аудиту для перевірки їхньої безпеки; Його мета також створити базу платних користувачів, які стягують плату за полегшення їхнього життя та, які, до речі, дають змогу продовжувати бізнес (хоча, звичайно, є винятки, такі як BitWarden, який є відкритим і безкоштовним).
Менеджери паролів не синхронізовані
Ці менеджери не синхронізуються в Інтернеті, особливо з огляду на безпеку. Їх аргумент полягає в тому, що єдиний спосіб убезпечитись від хакери зберігає речі offline І оскільки база даних паролів є буквально головним ключем наших цифрових служб, найкраще те, що користувач дбає про безпеку власної бази даних. Він має той недолік, що вимагає волі та певних знань з боку користувача, тому це не перший варіант основної маси населення. Найкращим прикладом цієї категорії є KeePass, вільне програмне забезпечення, багатоплатформна та безкоштовна.
Гібридні менеджери паролів
Вони є менеджерами, які дають користувачеві можливість синхронізувати локальну базу даних на своїх серверах, на Dropbox, Google Drive або іншій комерційній службі, або навіть на приватних серверах, якими може керувати той самий користувач (NextCloud або Owncloud). Хорошим прикладом є EnpassХоча код його програми є приватним, він стягує лише плату за клієнта стільникового телефону, що робить його економічним та гнучким варіантом, який підлаштовується під бажання користувача.
Думаючи про безпеку, найкращий варіант - це мати локальну базу даних або мати її на своєму власному сервері, таким чином можна уникнути масових витоків, як коли сайт LastPass був зламаний. Очевидна проблема полягає в тому, що не кожен має приватний сервер і не хоче, щоб їх база даних у комерційних службах контролювалась урядами чи корпораціями, то які ще варіанти є?
Менше пропуску, інший менеджер паролів
Менше пройти, більше ніж менеджер - це ідея, ідея про те, що існує лише один спосіб забезпечити повну безпеку в базі даних паролів: не мати бази даних. Як можна мати паролі без бази даних для їх зберігання? Менше пройти генерує Живі надійні паролі від сайту, імені користувача та головний пароль. З цими трьома елементами (відомими лише вам) згенеровані паролі завжди однакові, що дозволяє уникнути створення баз даних, які згодом можуть бути кимось скомпрометовані. хакер допитливим або масовим нападом на конкретну службу.
Його код є загальнодоступним, а також він є багатоплатформеним; він навіть має версію для використання командного рядка. Недоліком є те, що потрібно завжди пам’ятати і бути чітким ці три елементи або пароль не збігатиметься, що може викликати неприємності та зробити речі більш складними, а не простими. Незалежно від цього, цей варіант передбачає невелику революцію в управлінні паролями, тому це, безумовно, ідея, про яку слід пам’ятати.
Який я є, незважаючи на витік LastPass пару років тому продовжував використовувати його через велику кількість паролів, які я використовую, а їх декілька, я думаю, що лише зараз я тримаю 3 паролі лише в своїй голові.
KeePass повинен потрапити в гібридну категорію (хоча я синхронізую його вручну через KDE connect). Я рекомендую цю конфігурацію, щоб скористатися нею в Мексиці
Linux:
- KeePass v2.30, налаштований за допомогою плагіна
- KeePassHttp та AddOn
- Passlfox (для firefox)
Результат, ім’я користувача та пароль заповнені в Інтернеті (не плутати з KeePassX)
Android-:
-KeePass2Android
Так, деякі можна переміщати між категоріями. KeePass - популярний вибір саме завдяки своїй гнучкості та тому, що він є відкритим; Рецепт, яким ви ділитесь з нами, дуже хороший, щоб не збожеволіти і не перестрахуватися. Дякую.
Мені подобається KeePass, особливо тому, що він не синхронізується в Інтернеті, цей недолік можна перетворити на перевагу.