gamle bundt nøgler, rustne nøgler
Getty Images/iStockphoto
I år, har jeg været at læse forudsigelser om nye teknologier, der vil gøre adgangskoder forældet. Så jeg klikker igennem, og inspicere detaljer og jeg vind op at ryste mit hoved. Der er masser af kloge identitet teknologier, der arbejder deres vej ind i mainstream, men adgangskoder fortsat være et nødvendigt onde for mange år fremover.
Og medmindre du ønsker at være en sitting duck på Internettet, du har brug for en strategi for håndtering af de passwords. Store organisationer kan skabe fornuftige password politik og brug af single-sign-on software, men små virksomheder og enkeltpersoner, der er på deres egne.
Også: De Bedste Password Ledere af 2019 CNET
Som bedste praksis gå, regler for oprettelse af adgangskoder er enkel: Brug en tilfældig kombination af tal, symboler og store bogstaver; aldrig genbruge passwords, drej på to-faktor-autentificering, hvis den er tilgængelig.
Der er en vis uenighed om, hvorvidt du skal skifte password regelmæssigt. Jeg tror, at der er en stærk sag, der skal gøres for at ændre adgangskoder hvert år eller så, hvis det kun er for at undgå at blive uskyldigt fanget i en database brud.
Og så vidt jeg er bekymret, er den vigtigste regel af alle, er at bruge en password manager.
Jeg har brugt flere software-baseret adgangskode ledere over flere år og kan ikke forestille mig, at forsøge at komme igennem dagen uden en.
Jeg kender folk, der holde password lister i en krypteret fil af en eller anden slags. Det er præcis, hvad en software-baseret password manager gør. Men det er, hvor ligheden stopper.
I denne artikel vil jeg forklare, hvorfor jeg mener, en password-manager afgørende, med links til fem programmer, som jeg anbefaler. Jeg kan også tage fat i nogle af de argumenter, som jeg rutinemæssigt høre fra skeptikere.
Sagen om password ledere
De fem programmer, som jeg har behandlet for denne artikel er alle ens i deres grundlæggende funktioner. På en Windows PC eller en Mac, skal du installere et program, der gør arbejdet med at gemme sæt af akkreditiver i en database, hvis indhold er beskyttet med AES-256 kryptering. For at låse password database, skal du indtaste en dekrypteringsnøgle (din master-adgangskode), som kun du kender.
Password ledere at synkronisere din adgangskode database til cloud bruge end-to-end-kryptering. De data, der er krypteret før de forlader din enhed, og det forbliver krypteret, som det overføres til den eksterne server. Når du logger ind på app ‘ en på din lokale enhed, sender programmet en envejs-hash for en adgangskode, som identificerer dig, men kan ikke bruges til at låse filen selv.
Også: Hvorfor næsten 50% af de organisationer, der er mangel på password-sikkerhed TechRepublic
De virksomheder, der formår at synkronisere de gemte filer ikke har adgang til dekryptering nøgler. I virkeligheden, dit master password, ikke er gemt nogen steder, og hvis du glemmer det, du er ud om held. Der er ingen kendt metode til at knække en AES-256 krypteret fil, der er beskyttet med en stærk personlig nøgle.
At arkitektur tilbyder fem forskellige fordele i forhold til en DIY løsning.
En: Browser Integration
De fleste password ledere omfatter browser-udvidelser, som automatisk gemme legitimationsoplysninger, når du opretter en ny konto, eller log på ved hjælp af de legitimationsoplysninger for første gang. At browser-integration giver dig også mulighed for automatisk at indtaste legitimationsoplysninger, når du besøger en matchende hjemmeside.
Kontrast denne tilgang, med den uundgåelige friktion af en manuel liste. Du behøver ikke at finde en fil og tilføje en adgangskode til det at gemme en ny eller ændret sæt af akkreditiver, og du behøver ikke at finde og åbne den samme fil for at kopiere og indsætte din adgangskode.
To: Password Generering
Hver password manager værd saltet hash indeholder en password generator i stand til øjeblikkeligt at producere et helt tilfældigt, aldrig-før-brug-af-dig password. Hvis du ikke kan lide, at password, kan du klikke på for at generere et andet. Du kan så bruge tilfældig adgangskode, når du opretter en ny konto eller at ændre legitimationsoplysninger for en eksisterende.
De fleste password managers også give dig mulighed for at tilpasse længde og kompleksitet af en genereret password, så du kan beskæftige sig med steder, der har særegne regler for adgangskode.
Med den mulige undtagelse af John Forbes Nash Jr., Raymond Babbitt, almindelige dødelige er ikke i stand til sådanne bedrifter af randomisering.
Tre: Phishing-Beskyttelse
At integrere en password manager med en browser er fremragende beskyttelse mod phishing-websteder. Hvis du besøger et websted, der har formået at perfekt duplikere din bank ‘s login-side og selv rode med URL’ en vise til at gøre det ser legit, du kan blive narret. Dit password manager, på den anden side, vil ikke indtaste dine gemte legitimationsoplysninger, fordi WEBADRESSEN på den falske hjemmeside, ikke stemmer overens med den retmæssige domæne, der er forbundet med dem.
Også: Google frigiver udvidelse i Chrome, for at tjekke for brugernavne og passwords lækket
Der phishing-beskyttelse er nok den mest undervurderede funktion af alle. Hvis du administrere adgangskoder manuelt, ved at kopiere og indsætte fra en krypteret personlige fil, du vil indsætte dit brugernavn og adgangskode i de respektive felter på, at vel-designet falsk side, fordi du ikke er klar over det er falske.
Fire: Cross Platform Adgang
Password ledere arbejder på tværs af enheder, herunder Pc ‘ er, Macs og mobile enheder, med mulighed for at synkronisere dit krypterede password database til skyen. Adgang til filen og dens indhold kan være sikret med biometrisk autentificering og 2FA.
Derimod, hvis du administrere passwords i en krypteret fil, der er gemt lokalt, er du nødt til manuelt at kopiere filer til andre enheder (eller holde det i skyen i en placering under din personlige kontrol), og sørg derefter for indholdet af hver kopi ophold i sync. Mere friktion.
Fem: Overvågning Beskytte
Password ledere generelt giver en god beskyttelse mod “skulder surfing.” En angriber, som er i stand til at se du skriver, enten live eller med hjælp fra et overvågningskamera, der kan stjæle dine login-legitimationsoplysninger med lethed. Password ledere aldrig udsætte disse oplysninger.
Selv bevæbnet med disse argumenter, når jeg laver denne anbefaling til andre mennesker, jeg typisk hører de samme undskyldninger.
“Jeg har allerede et ganske godt system til styring af adgangskoder”.
Normalt, dette system indebærer, at genbruge en nem-at-huske-base password i en form, krydse på en særlig endelse eller præfiks, der er knyttet til denne base på en per-site basis. Problemet med denne ordning er, at de to passwords er ikke tilfældig, og hvis nogen finder ud af dit mønster, at de stort set har et skelet nøglen til at låse op for alt. Og en 2013 forsknings-papir fra it-forskere ved University of Illinois, Princeton, og Indiana University, Sammenfiltrede spind af Password Genbrug, viste, at angriberne kan finde ud af disse mønstre er meget, meget hurtigt.
Mere vigtigere, denne slags ordningen ikke skala. I sidste ende er det kolliderer med password regler på et websted, der siger, tillader ikke specialtegn eller begrænser password længde. (Jeg ved, at der er nødder, men disse steder findes.) Eller en service, der tvinger dig til at ændre din adgangskode, og vil ikke acceptere dit nye password, fordi det er for tæt på den foregående, og du har nu en anden undtagelse til dit system, du er nødt til at holde styr på.
Også: Hvordan til at håndtere dine adgangskoder effektivt med KeePass TechRepublic
Og så ender at holde en krypteret liste over adgangskoder, der ikke er helt unikke og ikke helt tilfældigt, og slet ikke sikker. Hvorfor ikke bare bruge software, der er bygget til dette formål?
“Hvis nogen stjæler min password-fil, de har alle mine passwords.”
Nej, det gør de ikke. De har en krypteret fil, der er, for alle hensigter og formål, ubrugelig volapyk. Den eneste måde at udvinde sine hemmeligheder er med dekrypteringsnøgle, som du, og du alene vide.
Af kursus, dette forudsætter at du har fulgt nogle rimelige forholdsregler med at dekrypteringsnøgle. Specifikt, at du har gjort det længe nok, at det ikke kan blive gættet selv som en person, der kender dig godt, og at du har aldrig brugt det til noget andet.
Hvis du har brug for en stærk og unik adgangskode, kan du generere en på correcthorsebatterystaple.net og, som bruger den overraskende sikker metode, fra dette klassiske XKCD-tegneserie.
Du absolut ikke bør skrive det vigtigste ned på en gul seddel eller et stykke papir i din skrivebordsskuffe, enten. Måske har du lyst til at skrive ned, at password og opbevar det i et meget sikkert sted eller med en meget betroet person, sammen med en vejledning til, hvordan man bruger det til at låse din password-fil i tilfælde af, der sker noget for dig.
“Jeg kan ikke stole på nogen anden til at gemme mine passwords på deres server.”
Jeg forstår, at den instinktive reaktion, der giver en cloud-tjeneste til at holde din fulde database af passwords skal være et gruopvækkende sikkerhedsrisiko. Som noget cloud-relaterede, at der er et trade-off mellem komfort og sikkerhed, men at risikoen er relativt lav, hvis den følger bedste praksis for kryptering, og du har sat et stærkt master password.
Men hvis du bare ikke stole på cloud, du har alternativer.
Også: 57% af IT-medarbejdere, der får phished ikke ændre deres password adfærd, TechRepublic
Flere af password ledere, jeg har kigget på har mulighed for at gemme en lokal kopi af din AES-256 krypteret fil, med ingen sync-funktioner overhovedet. Hvis du vælger denne mulighed, vil du nødt til enten at give afkald på mulighed for at bruge dit password manager på flere websteder eller udtænke en måde at synkronisere manuelt disse filer mellem forskellige enheder.
Som en mellemvej, kan du bruge en personlig cloud-tjeneste til at synkronisere din adgangskode filer. 1adgangskode, for eksempel, understøtter automatisk synkronisering til både Dropbox og iCloud, sikre at du er beskyttet, selv hvis en af disse tjenester er kompromitteret.
“Jeg er ikke et mål.”
Ja, du er.
Hvis du er en journalist, der arbejder på sikkerhedsspørgsmål, eller en aktivist i et land, hvis ledere ikke bryder sig om aktivisme, eller en medarbejder på en højt profileret politisk kampagne, eller en entreprenør, der kommunikerer med mennesker i følsomme sektorer, du er en high-værdi mål. Enhver, der passer ind i en af disse kategorier, skal tage opsec alvorligt, og en password manager er en væsentlig del af et godt lag sikkerhed program.
Men selv hvis du ikke er en indlysende kandidat til målrettede angreb, du kan blive fejet op i en hjemmeside brud. Det er derfor, jeg Har Været Pwned? eksisterer. Det er nemt nok for en kompromitteret hjemmeside for at tvinge dig til at nulstille din adgangskode for at minimere risikoen for, at en overtrædelse, men hvis du har brugt den samme kombination af legitimationsoplysninger andre steder, du er i alvorlig fare.
Fem adgangskode ledere værd at overveje
Jeg har personligt brugt alle programmer på denne liste. For hver enkelt, jeg har inkluderet prissætning detaljer samt et link til sikkerhed oplysninger. Hver betalt program tilbyder en gratis prøveperiode, og jeg anbefaler, at drage fordel af disse forsøg for at se, om et program er det rigtige for dig.
1adgangskode
Selv om dette produkt fortjent sit ry på Apple-enheder, og det har taget Windows, Android og Chrome OS så godt. Personlige abonnement er $3 per måned; en familie mulighed er $5 om måneden (begge priser, der kræver årlige fakturering). Password-filer kan gemmes lokalt, som er synkroniseret fra 1adgangskode ‘ s servere, eller forbundet til en Dropbox eller iCloud-konto. Team, Business, og Virksomhedens regnskaber tilføje 2-faktor-autentificering og starter ved $4 per bruger per måned. Sikkerhed i detaljer her.
Dashlane
Det yngste medlem af gruppen, som har eksisteret i mere end seks år og har opnået et ry for brugervenlighed. Apps er tilgængelige for Windows-Pc ‘ er, Mac-computere, Android og iOS. Hvis dit password database omfatter færre end 50 poster, du kan komme af med den gratis version. $5 pr måned Premium version indeholder en VPN-løsning, og de $10-en-måned bundt tilføjer kredit overvågning og id-tyveri funktioner. Business-planer omfatter de samme funktioner som Præmie, på $4 per bruger per måned. Sikkerhed i detaljer her.
KeePass
Hvis du er cloud-fobiske, eller hvis du insisterer på open source software, er dette din mulighed. KeePass kører på alle stationære og mobile platform, herunder de fleste Linux-distributioner, og det er gratis (som i øl). Filer, der er gemt lokalt, og du ønsker at mestre dens mystiske tastatur-genveje til at udfylde passwords automatisk. Browser integration er tilgængelig via tredjeparts-plugins for multi-enhed bruge programmets indbyggede synkronisering motoren automatisk opdateringer password database i, hvad cloud-baseret storage placering, du angiver. Sikkerhed i detaljer her.
LastPass
Nok den bedst kendte af dem alle, LastPass er gratis og virker på alle større desktop-og mobile-platforme. Tjenesten er cloud-baseret, med filer, der er gemt på virksomhedens servere og synkroniseres de lokale enheder. En Premium-version ($3 om måneden) understøtter avancerede 2-faktor authentication muligheder; $4 en måned dækker en familie på op til fem. Business-planer, der starter ved $4 per bruger per måned. LastPass har lidt en pinlig data, brud i 2015, kort før selskabet blev overtaget af LogMeIn. Sikkerhed i detaljer her.
RoboForm
Lanceret i 2000, RoboForm er langt den mest højtstående medlem af den kategori. Den gratis version understøtter ubegrænsede logins og gemmer i sin database filen lokalt. RoboForm Everywhere er et $24-et års abonnement service, der tilføjer cloud-backup, synkronisere, og 2-faktor authentication funktioner. Familien mulighed for ($48 år) dækker op til fem brugere, og business planer koster $35 per bruger. Rabatter er tilgængelige for multi-år-køb. Sikkerhed i detaljer her.
Affiliate offentliggørelse: ZDNet, opnår provision af de produkter og tjenester, der præsenteres på denne side.
Relaterede historier:
Password sikkerhed: Tips til at skabe en bedre politik
Kan grafisk adgangskoder holde usa sikkert online?Dette er den bedste gratis password manager CNET, Hvordan at bruge en password manager på din iPhone eller iPad TechRepublic
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre