oude bos sleutels, roestige sleutels
Getty Images/iStockphoto
Voor de jaren, ik heb het lezen van voorspellingen over nieuwe technologieën waarmee wachtwoorden achterhaald. Dan klik ik door en controleer de details en ik eindig mijn hoofd schudden. Er zijn tal van slimme identiteit technologieën werken hun weg naar de mainstream, maar wachtwoorden blijven een noodzakelijk kwaad voor vele jaren te komen.
En tenzij u wilt worden een sitting duck op het Internet, moet u een strategie voor het beheer van de wachtwoorden. Grote organisaties om verstandig het wachtwoord van het beleid en gebruik van single-sign-on software, maar ook met kleine bedrijven en individuen op hun eigen zijn.
Ook: De Beste Wachtwoord Managers van 2019 CNET
Als best practices gaan, de regels voor het maken van wachtwoorden zijn eenvoudig: Gebruik een willekeurige combinatie van cijfers, symbolen, hoofdletters en kleine letters; nooit hergebruik van wachtwoorden; zet twee-factor authenticatie als het beschikbaar is.
Er is wat onenigheid over de vraag of u moet wijzig uw wachtwoorden regelmatig. Ik denk dat er een sterke zaak te worden gemaakt voor het wijzigen van wachtwoorden elk jaar of zo, als is het maar om te voorkomen dat onschuldig gevangen in een database inbreuk.
En, wat mij betreft, de belangrijkste regel van allemaal is het gebruik van een password manager.
Ik heb gebruik gemaakt van verschillende software-gebaseerde wachtwoord managers over het jaar en kan me niet voorstellen dat probeert om de dag door zonder.
Ik ken mensen die houden wachtwoord lijsten in een versleuteld bestand van een soort. Dat is precies wat een software-gebaseerd password manager doet. Maar dat is waar de gelijkenis stopt.
In dit artikel leg ik uit waarom ik overweeg een wachtwoord manager van essentieel belang, met links naar de vijf programma ‘ s die ik adviseer. Ik heb ook het aanpakken van een aantal van de argumenten die ik routinematig horen van sceptici.
De zaak voor het wachtwoord managers
De vijf programma ‘ s die ik heb onderzocht voor dit artikel zijn vergelijkbaar in hun core-functies. Op een Windows PC of een Mac installeert u een programma dat het werk van het redden van sets van referenties in een database waarvan de inhoud beveiligd met AES-256 encryptie. Voor het ontgrendelen van de wachtwoord database, voert u een decryptie sleutel (uw hoofd-wachtwoord) die u alleen kent.
Wachtwoord managers die het synchroniseren van uw wachtwoord database naar de cloud het gebruik van een end-to-end encryptie. De gegevens worden versleuteld voordat het verlaten van uw apparaat, en het blijft gecodeerd als het ‘ s doorgestuurd naar de externe server. Wanneer u zich aanmeldt bij de app op uw lokale apparaat, het programma stuurt een one-way hash van het wachtwoord waarmee u kunt worden geïdentificeerd, maar niet kan worden gebruikt voor het ontgrendelen van het bestand zelf.
Ook: Waarom bijna 50% van de organisaties falen wachtwoord beveiliging TechRepublic
De bedrijven die te beheren en te synchroniseren die zijn opgeslagen bestanden hebben geen toegang tot de decryptie sleutels. In feite, uw hoofd-wachtwoord niet opgeslagen overal, en als je het vergeet, u bent van geluk. Er is geen bekende manier om te kraken een 256-bits AES-versleutelde bestand dat is beveiligd met een sterke persoonlijke toets.
De architectuur biedt vijf verschillende voordelen ten opzichte van een DIY oplossing.
Een Browser-Integratie
De meeste wachtwoord managers zijn browser-extensies die automatisch opslaan van referenties wanneer u een nieuwe account maken of aanmelden bij het gebruik van deze referenties voor de eerste keer. Dat browser-integratie kunt u ook automatisch referenties invoeren wanneer u naar een passende website.
Het Contrast dat de aanpak met de onvermijdelijke wrijving van een handmatige lijst. U hoeft niet naar een bestand zoeken en toevoegen van een wachtwoord voor het opslaan van een nieuwe of gewijzigde set referenties, en je hoeft niet te vinden en open dat hetzelfde bestand kopiëren en plakken in uw wachtwoord.
Twee: Wachtwoord Generatie
Elke password manager de moeite waard zijn gezouten hash bevat een password generator staat om direct met het produceren van een echt willekeurig, nooit-vóór-gebruikt-door-je wachtwoord. Als u niet wilt dat het wachtwoord, klikt u op het genereren van een ander. U kunt dan gebruik maken van dat willekeurig wachtwoord bij het aanmaken van een nieuwe account of het wijzigen van de referenties voor een bestaande.
De meeste wachtwoord managers ook kunt u de lengte en complexiteit van een gegenereerd wachtwoord, zodat u kunt gaan met sites die eigenaardige wachtwoord regels.
Met de mogelijke uitzondering van John Forbes Nash Jr. en Raymond Babbitt, gewone stervelingen niet in staat zijn om dergelijke prestaties van randomisatie.
Drie: Bescherming Tegen Phishing
Het integreren van een password manager met een browser is een uitstekende bescherming tegen phishing-sites. Als u een site bezoekt die is erin geslaagd om een perfect duplicaat van je bank inlog-pagina en zelfs een puinhoop met de URL display het ziet er legit, je zou kunnen misleiden. Uw wachtwoord manager, aan de andere kant, zal niet geef uw opgeslagen referenties, omdat de URL van de nep-site niet overeenkomt met het rechtmatige domein gekoppeld.
Ook: Google releases Chrome-extensie om te controleren voor gebruikersnamen en wachtwoorden gelekt
Dat phishing-beveiliging is waarschijnlijk de meest onderschatte functie van alle. Als u het beheren van wachtwoorden handmatig, door het kopiëren en plakken van een versleuteld bestand, u zal plak uw gebruikersnaam en wachtwoord op in de respectievelijke velden op de goed ontworpen nep-pagina, omdat je je niet realiseert dat het nep was.
Vier: Cross-Platform Toegang
Wachtwoord managers werken op verschillende apparaten, waaronder Pc ‘ s, Macs en mobiele apparaten, met de optie voor het synchroniseren van uw versleutelde wachtwoord database in de cloud. De toegang tot dat bestand en de inhoud ervan kan worden beveiligd met biometrische authenticatie en 2FA.
Daarentegen, als u wachtwoorden beheren in een versleuteld bestand dat lokaal opgeslagen, moet u handmatig kopiëren van het bestand naar andere apparaten of in de cloud in een locatie op uw persoonlijke control), en controleer vervolgens of de inhoud van elk exemplaar verblijf in sync. Meer wrijving.
Vijf: Surveillance Beschermen
Wachtwoord managers bieden over het algemeen een goede bescherming tegen “meekijkt.” Een aanvaller die in staat is om naar je te kijken type, live of met de hulp van een bewakingscamera, kan stelen uw inloggegevens in met gemak. Wachtwoord managers nooit bloot die gegevens.
Zelfs gewapend met die argumenten, wanneer ik die aanbeveling van andere mensen, die ik meestal hoor dezelfde excuses.
“Ik heb al een heel goed systeem voor het beheren van wachtwoorden.”
Meestal is dit systeem omvat het hergebruiken van een gemakkelijk te onthouden base wachtwoord van een soort, laveren op een speciale achtervoegsel of voorvoegsel aan die gebaseerd zijn op een per-site basis. De problemen met de regeling is dat deze wachtwoorden zijn niet willekeurig, en als iemand de cijfers uit uw patroon, ze vrij veel hebben een skelet sleutel tot het openen van alles. En 2013 een onderzoek papier uit de computer wetenschappers aan de Universiteit van Illinois, Princeton, en de Universiteit van Indiana, De Verwarde Web van Wachtwoord Hergebruik, aangetoond dat aanvallers kunnen uitzoeken die patronen zeer, zeer snel.
Belangrijker is dat dit soort van regeling niet op schaal. Uiteindelijk botst met de regels wachtwoord op een site die, zeg, verbiedt speciale tekens of beperkt de lengte van wachtwoorden. (Ik weet het, dat is gek, maar die sites bestaan.) Of een service die u dwingt om uw wachtwoord te wijzigen en zal niet instemmen met uw nieuwe wachtwoord, omdat het te dicht bij de vorige en nu heb je een andere uitzondering op het systeem die u bij te houden.
Ook: het beheren van uw wachtwoorden effectief met KeePass TechRepublic
En zodat je de wind houden van een gecodeerde lijst van wachtwoorden die zijn bepaald niet uniek en niet precies willekeurig, en al helemaal niet veilig. Waarom niet gewoon gebruik maken van de software voor dat doel?
“Als iemand steelt mijn wachtwoord bestand, ze hebben al mijn wachtwoorden.”
Nee, dat doen ze niet. Ze hebben een gecodeerd bestand dat is, voor alle doeleinden, nutteloos gebrabbel. De enige manier om het uitpakken van de geheimen is met de decryptie sleutel, die u en u alleen weet.
Natuurlijk, dit veronderstelt dat je volgde een redelijke voorzorgsmaatregelen met die decoderingssleutel. Specifiek, dat je al lang genoeg is, dat het niet kan worden geraden, zelfs door iemand die je goed kent, en die je nog nooit hebt gebruikt het voor iets anders.
Als u behoefte aan een sterk en uniek wachtwoord, kunt u het genereren van een op correcthorsebatterystaple.net die gebruik maakt van de verrassend veilig methodologie van dit klassieke XKCD cartoon.
U absoluut niet moet schrijven-toets ingedrukt op een notitie of een stuk papier in je bureaula. Maar je wilt misschien noteer het wachtwoord en bewaar het op een veilige plaats of, met een zeer betrouwbare persoon, samen met instructies voor hoe u het kunt gebruiken om te ontgrendelen uw wachtwoord bestand in het geval er iets gebeurt met je.
“Ik heb geen vertrouwen in iemand anders sla ik mijn wachtwoorden op hun server.”
Ik begrijp de reactie is dat het toestaan van een cloud dienst om bij te houden van uw volledige database van wachtwoorden moeten een gruwelijke gevaar voor de veiligheid. Als iets cloud-gerelateerde, er is een trade-off tussen gemak en veiligheid, maar dat risico is relatief laag als de service best practices volgt voor de versleuteling en je hebt een sterke master wachtwoord.
Maar als je gewoon niet te vertrouwen op de cloud, heb je alternatieven.
Ook: 57% van de werknemers die voor phishingaanvallen niet wijzigen hun wachtwoord gedrag TechRepublic
Een aantal van de wachtwoord managers die ik heb gekeken naar de mogelijkheid bieden om een lokale kopie van uw 256-bits AES-versleutelde bestand, zonder sync-functies dan ook. Als u die optie kiezen, je moet ofwel afzien van de optie voor het gebruik van uw wachtwoord manager op meerdere sites of bedenken een manier om handmatig te synchroniseren van de bestanden tussen verschillende apparaten.
Als een middenweg, kunt u gebruik maken van een persoonlijke cloud-diensten te synchroniseren met uw wachtwoord bestanden. 1Password, bijvoorbeeld, ondersteunt het automatisch synchroniseren van zowel Dropbox en iCloud ervoor te zorgen dat u beschermd bent, zelfs als één van die diensten in gevaar wordt gebracht.
“Ik ben niet een doel.”
Ja, u zijn.
Als je een journalist te werken aan de veiligheid, of een activist in een land waarvan de leiders niet goedkeuren van activisme, of een hooivork op een high-profile politieke campagne, of een aannemer die communiceert met mensen in gevoelige sectoren, u bent een high-value target. Iemand die past in een van deze categorieën moeten nemen opsec serieus, en een password manager is een essentieel onderdeel van een goed gelaagde programma voor de beveiliging.
Maar zelfs als je niet een voor de hand liggende kandidaat voor gerichte aanvallen, kan je worden meegesleurd in een website inbreuk. Dat is de reden waarom ik Pwned? bestaat. Het is gemakkelijk genoeg voor een gecompromitteerde website om u te dwingen om je wachtwoord te resetten, het minimaliseren van het risico van de inbreuk, maar als die u hebt gebruikt dat dezelfde combinatie van referenties elders, je bent ernstig in gevaar.
Vijf wachtwoord managers overwegen waard
Ik persoonlijk heb alle programma ‘ s in deze lijst. Voor elke, ik heb begrepen informatie over prijzen, evenals een link naar de beveiliging van informatie. Elke betaalde programma biedt een gratis proefperiode; ik raad het nemen van voordeel van deze proeven om te zien of een programma geschikt is voor u.
1Password
Hoewel dit product verdiend zijn reputatie op Apple-apparaten, het heeft omarmd Windows, Android en Chrome OS. Persoonlijke abonnementen zijn $3 per maand; een gezin optie is $5 per maand (beide prijzen vereisen jaarlijkse facturering). Wachtwoord kunt u bestanden die lokaal zijn opgeslagen, synchroniseren vanuit 1Password de servers van, of aangesloten op een Dropbox of iCloud-account. Team, Business-en Enterprise-accounts toevoegen-2-factor authenticatie en beginnen bij $4 per gebruiker per maand. Beveiliging gegevens hier.
Dashlane
Het jongste lid van de groep heeft al meer dan zes jaar en heeft een reputatie opgebouwd voor het gebruiksgemak. Apps zijn beschikbaar voor Windows-Pc ‘ s, Macs, Android en iOS. Als u uw wachtwoord database bevat minder dan 50 inzendingen, kunt u met de gratis versie. De $5 per maand Premium versie bevat een VPN-optie, en de $10 per maand bundel voegt credit monitoring en diefstal van identiteit heeft. Business plannen zijn dezelfde functies als de Premie, op $4 per gebruiker per maand. Beveiliging gegevens hier.
KeePass
Als u cloud-fobische of als u aandringen op open source software, dit is uw optie. KeePass werkt op elke desktop en mobiele platform, met inbegrip van de meeste Linux distro ‘ s, en het is gratis (zoals in bier). Bestanden die lokaal zijn opgeslagen, en u zult willen meester haar oude sneltoetsen in te vullen en wachtwoorden automatisch voor je in. Browser-integratie is beschikbaar via plug-ins van derden; voor multi-device gebruik, van de in het programma ingebouwde sync-engine automatisch de wachtwoord database in welke cloud-gebaseerde opslag locatie die u opgeeft. Beveiliging gegevens hier.
LastPass
Misschien wel de bekendste van het stel, LastPass is gratis en werkt op alle belangrijke desktop en mobiele platformen. De service cloud-gebaseerde alleen met bestanden die zijn opgeslagen op de servers van het bedrijf en gesynchroniseerd naar de lokale apparaten. Een Premium-versie ($3 per maand) ondersteunt geavanceerde 2-factor authenticatie opties; $4 per maand heeft betrekking op een gezin van vijf. Business plannen die beginnen bij $4 per gebruiker per maand. LastPass leed een pijnlijke inbreuk op gegevens in 2015, kort voordat het bedrijf werd overgenomen door LogMeIn. Beveiliging gegevens hier.
RoboForm
In 2000 is gestart, RoboForm is veruit de meest senior lid van de categorie. De gratis versie ondersteunt een onbeperkt aantal aanmeldingen en slaat haar database-bestand lokaal. RoboForm Everywhere is een $24-een-jaar abonnement-service die wordt toegevoegd cloud back-up, synchronisatie, en 2-factor authenticatie biedt. De Familie optie ($48 per jaar) heeft betrekking op maximaal vijf gebruikers en business plannen kosten $35 per gebruiker. Kortingen zijn beschikbaar voor multi-jaar aankopen. Beveiliging gegevens hier.
Affiliate openbaarmaking: ZDNet verdient commissies van de producten en diensten vermeld op deze pagina.
Verwante artikelen:
Wachtwoord beveiliging: Tips voor het maken van een beter beleid
Kan grafische wachtwoorden behouden ons beveiligd online?Dit is de beste gratis password manager CNEThet gebruik van een password manager op uw iPhone of iPad TechRepublic
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters