vecchio mazzo di chiavi, chiavi arrugginite
Getty Images/iStockphoto
Per anni, ho letto le previsioni sulle nuove tecnologie che renderanno le password obsoleti. Ho quindi fare clic su attraverso e di esaminare i dettagli e il vento scuotendo la testa. Ci sono un sacco di intelligente, tecnologie di identità di lavoro la loro strada nel mainstream, ma la password rimarrà un male necessario per molti anni a venire.
E a meno che non si desidera essere un’anatra seduta su Internet, hai bisogno di una strategia per la gestione delle password. Le grandi organizzazioni possono creare sensibile politiche di password e l’uso di single sign-on software, ma le piccole imprese e gli individui sono in proprio.
Inoltre: Il Miglior Password Manager della 2019 CNET
Come migliori pratiche, le norme per la creazione di password sono semplici: Utilizzare una combinazione casuale di numeri, simboli e lettere maiuscole e minuscole; non riutilizzare le password; attivare l’autenticazione a due fattori (se disponibile).
C’è qualche disaccordo sul fatto che si dovrebbe cambiare la password regolarmente. Penso che ci sia una forte necessità di essere fatto per cambiare password ogni anno o così, se non altro per evitare di essere innocente coinvolto in un database violazione.
E, per quanto mi riguarda, la regola più importante di tutte è utilizzare un gestore di password.
Ho usato diversi software basato su password manager negli anni e non può immaginare cercando di ottenere attraverso il giorno senza.
Conosco persone che mantengono liste di password in un file crittografato di qualche tipo. Che è esattamente ciò che un software basato su password manager. Ma la somiglianza si ferma.
In questo articolo, vi spiegherò perché io considero un gestore di password essenziale, con collegamenti a cinque programmi che ti ho consigliato. Ho anche affrontare alcuni degli argomenti che ho regolarmente sentire da scettici.
Il caso per i gestori di password
I cinque programmi che ho esaminato per questo articolo sono tutti simili nelle loro caratteristiche principali. Su un PC Windows o un Mac, è necessario installare un programma che fa il lavoro di salvataggio set di credenziali in un database i cui contenuti sono protetti con crittografia AES-256. Per sbloccare il database delle password, immettere una chiave di decodifica (la tua master password) che solo tu conosci.
Password manager che sincronizza il database delle password per il cloud usare end-to-end encryption. I dati vengono crittografati prima di lasciare il vostro dispositivo, e rimane criptato trasferiti al server remoto. Quando accedi ad app sul dispositivo locale, il programma invia un one-way hash della password che ti identifica, ma non può essere utilizzato per sbloccare il file stesso.
Inoltre: Perché quasi il 50% delle aziende non riescono a password di sicurezza TechRepublic
Le aziende che gestire e sincronizzare le file salvati non hanno accesso alle chiavi di decrittazione. Infatti, la tua master password non viene memorizzata, e se lo si dimentica, sei fuori di fortuna. E non c’è modo per rompere una crittografia AES-256 file protetto con una forte chiave personale.
Che l’architettura offre cinque diversi vantaggi rispetto ad una soluzione fai da te.
Uno: L’Integrazione Con Il Browser
Maggior parte dei gestori di password includere le estensioni del browser che salva automaticamente le credenziali quando si crea un nuovo account o accedere con le credenziali per la prima volta. Che l’integrazione con il browser, inoltre, consente di inserire automaticamente le credenziali quando si visita un corrispondente sito web.
Il contrasto che si avvicinano con l’inevitabile attrito di un manuale di elenco. Non hai bisogno di trovare un file e aggiungere una password per salvare un nuovo o modificato set di credenziali, e non c’è bisogno di trovare e aprire lo stesso file per copiare e incollare la tua password.
Due: La Generazione Di Password
Ogni gestore di password che vale la pena il suo salate hash include un generatore di password in grado di istantaneamente la produzione di un veramente casuale e mai utilizzato-da-password. Se non ti piace la password, è possibile fare clic per generare un altro. È quindi possibile utilizzare tale password casuale durante la creazione di un nuovo account o modificare le credenziali per uno esistente.
Maggior parte dei gestori di password consentono inoltre di personalizzare la lunghezza e la complessità di una password generata in modo da poter trattare con i siti che hanno delle regole per la password.
Con la possibile eccezione di John Forbes Nash, Jr, e Raymond Babbitt, che i comuni mortali non sono capace di tali imprese di randomizzazione.
Tre: Protezione Contro Il Phishing
L’integrazione di un gestore di password con un browser è una protezione eccellente contro i siti di phishing. Se si visita un sito che è riuscito a riprodurre perfettamente la vostra banca pagina di login e anche pasticciare con l’URL di visualizzazione per farlo sembrare legittimo, potrebbe essere ingannato. La tua password manager, invece, non inserire le credenziali salvate, perché l’URL del sito falso, non corrisponde al legittimo dominio associato con loro.
Anche: Google rilascia Chrome per controllare trapelati i nomi utente e le password
Che protezione dal phishing è probabilmente il più sottovalutato caratteristica di tutti. Se gestisci password manualmente, copiando e incollando da un crittografati file personali, inserire il tuo nome utente e la password nei rispettivi campi che ben progettato falsa pagina, perché non ti rendi conto che è falso.
Quattro: Cross Di Accesso Alla Piattaforma
Password manager lavorare su più dispositivi, inclusi Pc, Mac e dispositivi mobili, con la possibilità di sincronizzare le password crittografata database nel cloud. L’accesso a quel file e il suo contenuto possono essere garantite con l’autenticazione biometrica e 2FA.
Al contrario, se si gestiscono le password in un file crittografato viene salvato in locale, è necessario copiare manualmente il file ad altri dispositivi (o tenerlo in cloud in una posizione sotto il controllo personale), e quindi assicurarsi che il contenuto di ogni copia di rimanere in sincronia. Più attrito.
Cinque: La Sorveglianza Di Salvaguardia
Password manager in generale, offrono una buona protezione contro la “spalla surf.” Un utente malintenzionato in grado di guardare il tuo tipo, sia dal vivo o con l’aiuto di una telecamera di sorveglianza, in grado di rubare le credenziali di accesso con facilità. Password manager non esporre mai i dettagli.
Anche armati con questi argomenti, quando faccio la raccomandazione di altre persone, io di solito sentire le stesse scuse.
“Ho già un buon sistema per la gestione delle password.”
Di solito, questo sistema comporta il riutilizzo di un facile da ricordare di base la password di qualche tipo, virare su un particolare suffisso o un prefisso allegata alla base su un sito per sito. I problemi con questo schema è che le password non sono casuali, e se qualcuno è saltato fuori il vostro modello, che più o meno hanno una chiave di scheletro per sbloccare tutto. E un 2013 di ricerca di carta da computer scienziati dell’Università dell’Illinois, Princeton, Indiana University, Il Groviglio di Riutilizzo di Password, ha dimostrato che gli aggressori possono capire quei modelli, molto, molto rapidamente.
Ancora più importante, questo tipo di regime non scala. Alla fine si scontra con le regole della password in un sito che, diciamo, non consente di caratteri speciali o limita la lunghezza della password. (Lo so, è nuts, ma questi siti esistono). O un servizio che ti obbliga a cambiare la password e non accettano la tua nuova password perché è troppo vicino al precedente, e ora avete un’altra eccezione al sistema che è necessario tenere traccia di.
Inoltre: Come gestire le vostre password in modo efficace con KeePass TechRepublic
E così si finisce per mantenere un crittografati elenco di password che non sono esattamente unica e non è esattamente casuale, e non è affatto sicuro. Perché non basta usare un software costruito per questo scopo?
“Se qualcuno ruba la mia password file, hanno tutta la mia password”.
No, non è così. Hanno un file criptato che è, a tutti gli effetti, inutile, senza senso. L’unico modo per estrarre i suoi segreti è con la chiave di decodifica, che tu e solo tu conosci.
Naturalmente, questo presuppone che si sia seguito alcune precauzioni ragionevoli con che chiave di decodifica. In particolare, che hai fatto abbastanza a lungo, che non può essere ipotizzata anche da qualcuno che ti conosce bene, e che non hai mai usato per altro.
Se avete bisogno di un forte e unica password, è possibile generare uno alla correcthorsebatterystaple.net che utilizza l’sorprendentemente sicura metodologia di questa classica di XKCD cartone animato.
Sicuramente non scrivere che il tasto in giù su una nota o un pezzo di carta nel cassetto della scrivania. Ma si potrebbe desiderare di scrivere la password e conservarla in un luogo molto sicuro, o con una persona di fiducia, insieme con le istruzioni per come usarlo per sbloccare il file di password in caso succede qualcosa.
“Non mi fido di qualcun altro per salvare la password sul server.”
Capisco la reazione istintiva che, permettendo a un servizio cloud per mantenere il vostro database completo di password deve essere un terribile rischio per la sicurezza. Come qualsiasi cloud-correlati, non c’è un trade-off tra la praticità e la sicurezza, ma il rischio è relativamente basso se il servizio segue le pratiche migliori per la crittografia e hai impostato un forte master password.
Ma se proprio non vi fidate del cloud, si hanno alternative.
Inoltre: il 57% dei lavoratori che ottenere il phishing non cambiare la loro password comportamenti TechRepublic
Diversi gestori di password ho guardato offrono la possibilità di memorizzare un solo locale copia di crittografia AES-256 file, senza funzioni di sincronizzazione di sorta. Se si sceglie tale opzione, dovrete rinunciare alla possibilità di utilizzare la propria password manager su più siti o escogitare un modo per sincronizzare manualmente i file tra diversi dispositivi.
Come una terra di mezzo, si può usare un servizio cloud per sincronizzare i tuoi file di password. 1Password, per esempio, supporta la sincronizzazione automatica sia Dropbox e iCloud, assicurando che siete protetti anche se uno di questi servizi è compromessa.
“Io non sono un bersaglio.”
Sì.
Se sei un giornalista che lavora sulle questioni di sicurezza, o di un attivista in un paese il cui leader non approvare di attivismo, o un membro dello staff di un alto profilo politico in campagna, o un imprenditore che comunica con le persone in settori sensibili, sei un alto valore destinazione. Chiunque rientri in una di queste categorie dovrebbe prendere opsec sul serio, e un gestore di password è una parte essenziale di una ben stratificato di sicurezza del programma.
Ma anche se non sei un candidato naturale per gli attacchi mirati, si può essere spazzato via in un sito web violazione. Ecco perché Sono Stato Pwned? esiste. È abbastanza facile per un sito compromesso per forza di reimpostare la tua password, riducendo al minimo il rischio di violazione, ma se hai utilizzato la stessa combinazione di credenziali altrove, sei in grave pericolo.
Cinque gestori di password la pena di considerare
Personalmente ho usato tutti i programmi presenti in questo elenco. Per ogni uno, ho incluso prezzi dettagli e un link per le informazioni di sicurezza. Ogni programma a pagamento che offre una prova gratuita; vi consiglio di prendere vantaggio di quelle prove per vedere se un programma è giusto per te.
1Password
Anche se questo prodotto è guadagnato la sua reputazione su dispositivi Apple, ha abbracciato Windows, Android e Chrome OS. Personale sottoscrizioni sono $3 al mese; una scelta della famiglia è di $5 al mese (sia per prezzi di richiedere la fatturazione annuale). Password i file possono essere memorizzati in locale, sincronizzate da 1Password server, o collegamento a Dropbox o iCloud account. Team, Business, Enterprise account di aggiungere 2-fattore di autenticazione e iniziare a $4 per utente al mese. Dettagli di sicurezza qui.
Dashlane
Il membro più giovane del gruppo è stato intorno per più di sei anni e ha guadagnato una reputazione per la sua facilità di utilizzo. Le applicazioni sono disponibili per Pc Windows, Mac, Android e iOS. Se la password del database comprende meno di 50 voci, è possibile ottenere con la versione gratuita. $5 al mese per la versione Premium include un opzione VPN, e $10 al mese di bundle aggiunge di monitoraggio del credito, furto di identità e caratteristiche. Piani di Business includono le stesse caratteristiche Premium, a $4 per utente al mese. Dettagli di sicurezza qui.
KeePass
Se sei cloud-fobici o se si insiste su software open source, questa è la vostra opzione. KeePass funziona su tutti i desktop e mobile, compresa la maggior parte delle distribuzioni Linux, ed è gratuito (come la birra). I file vengono memorizzati localmente, e si desidera padroneggiare le sue arcane scorciatoie da tastiera per riempire le password automaticamente. L’integrazione con il Browser è disponibile tramite plugin di terze parti; per il multi-uso del dispositivo, il programma integrato nel motore di sincronizzazione aggiorna automaticamente il database delle password in qualsiasi cloud storage posizione specificata. Dettagli di sicurezza qui.
LastPass
Probabilmente il più conosciuto del gruppo, LastPass è gratuito e funziona su tutte le principali piattaforme desktop e mobile. Il servizio è basato su cloud, con solo i file memorizzati sui server della società e sincronizzati con dispositivi locali. Una versione Premium ($3 al mese) supporta avanzate 2-fattore di opzioni di autenticazione; 4 dollari al mese, che copre una famiglia fino a cinque. Business plan a partire da $4 per utente al mese. LastPass subito un imbarazzante caso di violazione dei dati nel 2015, poco prima che la società è stata acquisita da LogMeIn. Dettagli di sicurezza qui.
RoboForm
Lanciato nel 2000, RoboForm è di gran lunga il più anziano membro della categoria. La versione gratuita supporta un numero illimitato di accessi e memorizza i file di database in locale. RoboForm è Ovunque un 24 dollari-un-anno di abbonamento per il servizio di che aggiunge cloud backup, la sincronizzazione, e 2-fattore di autenticazione. La scelta della Famiglia ($48 per un anno), che copre fino a cinque utenti e business plan costo di $35 per ogni utente. Sconti sono disponibili per il multi-anno, gli acquisti. Dettagli di sicurezza qui.
Filiale di divulgazione: ZDNet guadagna commissioni dal prodotti e servizi presenti su questa pagina.
Storie correlate:
Password di protezione: Suggerimenti per la creazione di una politica migliore
Può grafica password tenerci al sicuro online?Questo è il miglior free password manager CNETCome utilizzare un gestore di password sul vostro iPhone o iPad TechRepublic
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati