gamla gäng nycklar, rostiga nycklar
Getty Images/iStockphoto
För år, jag har läst förutsägelser om ny teknik som kommer att göra lösenord föråldrade. Då jag klickar igenom och inspektera detaljerna och jag hamnar skakade på huvudet. Det finns massor av smarta identitet tekniker arbetar sin väg till mainstream, men lösenord kommer att förbli ett nödvändigt ont för många år framöver.
Och om du inte vill vara en sittande anka på Internet, behöver du en strategi för att hantera dessa lösenord. Stora organisationer kan skapa vettig politik lösenord och använda single-sign-on program, men små företag och privatpersoner är på egen hand.
Dessutom: Det Bästa Chefer Lösenord av 2019 CNET
Som bästa praxis gå, regler för att skapa lösenord som är enkla: Använd en slumpmässig kombination av siffror, symboler och bokstäver, aldrig återanvända lösenord, slå på två-faktor autentisering om det är tillgängligt.
Det finns en viss oenighet om huruvida du bör byta lösenord regelbundet. Jag tror att det finns starka skäl att göras för att ändra lösenord varje år eller så, om så bara för att undvika att bli oskyldigt fångas upp i en databas brott.
Och, så vitt jag är orolig, den viktigaste regeln av alla är att använda ett password manager.
Jag har använt flera av programvara baserad lösenord chefer genom åren och kan inte tänka mig att försöka ta sig igenom dagen utan en.
Jag vet människor som håller lösenord listor i en krypterad fil av något slag. Det är precis vad en programvara baserad password manager gör. Men det är där likheten stannar.
I denna artikel kommer jag att förklara varför jag anser att ett password manager password manager är viktigt, med länkar till de fem program som jag rekommenderar. Jag också ta itu med några av de argument som jag rutinmässigt höra från skeptiker.
Det gäller för chefer lösenord
De fem program som jag har undersökt i denna artikel är alla lika i sina grundläggande funktioner. På en Windows PC eller en Mac installerar du ett program som gör arbetet med att spara uppsättningar av referenserna i en databas vars innehåll är skyddade med AES-256 kryptering. För att låsa upp lösenordet i databasen du ange en krypteringsnyckel (ditt lösenord) som bara du känner till.
Lösenord chefer som synkronisera ditt lösenord databas till molnet använd end-to-end-kryptering. Data krypteras innan den lämnar din enhet, och det förblir krypterad när den överförs till fjärrservern. När du loggar in i appen på din lokala enhet, programmet skickar en en-vägs hash för ett lösenord som identifierar dig men inte kan användas för att låsa upp själva filen.
Dessutom: Varför är det nästan 50% av organisationer är inte på lösenord säkerhet TechRepublic
De företag att hantera och synkronisera de sparade filerna inte har tillgång till nycklar dekryptering. Faktum är att ditt lösenord lagras inte någonstans, och om du glömmer bort det, du av lycka. Det finns inget känt sätt att knäcka ett AES-256 krypterad fil som är skyddad med en stark personlig nyckel.
Som arkitekturen erbjuder fem olika fördelar jämfört med en DIY-lösning.
Ett: Webbläsaren Integration
De flesta chefer lösenord inkluderar tillägg för webbläsare att automatiskt spara autentiseringsuppgifter när du skapar ett nytt konto eller logga in med de inloggningsuppgifter för första gången. Att webbläsaren integration kan du också automatiskt ange autentiseringsuppgifter när du besöker en matchande hemsida.
Däremot att metoden med den oundvikliga friktion av en manuell lista. Du behöver inte hitta en fil och lägga till ett lösenord till den för att spara en ny eller ändras av referenser, och du behöver inte hitta och öppna samma fil för att kopiera och klistra in ditt lösenord.
Två: Lösenord Generation
Varje password manager password manager är värt sin saltad hash innehåller ett lösenord generator som klarar av att direkt kunna producera ett verkligt slumpmässig, aldrig-tidigare-användas-för-du ditt lösenord. Om du inte vill att lösenord kan du klicka för att generera en annan. Du kan sedan använda till att slumpmässiga lösenord när du skapar ett nytt konto eller ändra autentiseringsuppgifterna för en befintlig.
De flesta chefer lösenord ger dig också möjlighet att anpassa längd och komplexitet av ett genererat lösenord så att du kan ta itu med webbplatser som har märkliga lösenord regler.
Med möjligt undantag av John Forbes Nash, Jr, och Raymond Babbitt, vanliga dödliga inte klarar av sådana bedrifter av randomisering.
Tre: Phishing-Skydd
Att integrera ett password manager med en webbläsare är utmärkt skydd mot phishing-webbplatser. Om du besöker en webbplats som har lyckats perfekt dubbla din banks inloggningssida och även bråka med WEBBADRESSEN som visas för att få det att se äkta, du kanske luras. Ditt lösenord manager, å andra sidan, kommer inte ange dina sparade referenser, eftersom URL: en för den falska webbplatsen inte matchar den legitima domän som är förknippade med dem.
Också: Google släpper Chrome för att kontrollera om det läckt ut användarnamn och lösenord
Som phishing-skydd är nog det mest underskattade funktionen av alla. Om du hanterar lösenord manuellt, genom att kopiera och klistra in från en krypterad personlig fil, kommer du klistra in ditt användarnamn och lösenord i respektive fält för att väl konstruerade falska sidan, eftersom du inte inser att det är fake.
Fyra: Cross-Plattform Tillgång
Lösenord chefer arbetar på olika enheter, inklusive Pc, Mac och mobila enheter, med möjlighet att synkronisera dina krypterade lösenord för databasen till molnet. Tillgång till filen och dess innehåll kan vara säkrade med biometrisk autentisering och 2FA.
Om du däremot hantera lösenord i en krypterad fil som sparas lokalt, du måste manuellt kopiera filen till andra enheter (eller hålla det i molnet i ett läge under din egen kontroll), och sedan se till att innehållet i varje kopia vistelse i synk. Mer friktion.
Fem: Övervakning Skydda
Lösenord chefer i allmänhet erbjuder ett bra skydd mot “shoulder surfing.” En angripare som kan titta på dig typ, antingen live eller med hjälp av en övervakningskamera kan stjäla dina inloggningsuppgifter med lätthet. Lösenord chefer aldrig utsätta dessa detaljer.
Även beväpnad med dessa argument, när jag gör som rekommendation för andra människor, jag brukar höra samma ursäkter.
“Jag har redan ett mycket bra system för att hantera lösenord.”
Vanligtvis, detta system innebär återanvändning av ett lätt-att-komma ihåg bas lösenord av något slag, kryss på ett särskilt suffix eller prefix som är knuten till den bas på en per-site basis. Problemet med detta system är att dessa lösenord är inte slumpmässigt, och om någon listar ut ditt mönster, de har ganska mycket en skeleton key för att låsa upp allt. Och 2013 uppsats från datorn forskare vid University of Illinois, Princeton, och Indiana University, Tangled Webben av Lösenord Återanvändning, visat att angripare kan räkna ut dessa mönster är mycket, mycket snabbt.
Ännu viktigare, denna typ av system inte skala. Så småningom kolliderar med lösenord regler på en webbplats som, säg, tillåter inte specialtecken eller begränsar längd på lösenord. (Jag vet, det är nötter, men dessa platser finns.) Eller en tjänst som tvingar dig att ändra ditt lösenord och kommer inte att acceptera ditt nya lösenord eftersom det är alltför nära den föregående och nu har du ett annat undantag till ditt system som du måste hålla koll på.
Dessutom: Hur för att hantera dina lösenord på ett effektivt sätt med KeePass TechRepublic
Och så kan du avsluta upp att hålla en krypterad lista med lösenord som inte är exakt unika och inte exakt slumpmässigt, och är inte alls säker. Varför inte bara använda programvara byggd för detta ändamål?
“Om någon stjäl mitt lösenord fil, de har alla min lösenord.”
Nej, det gör de inte. De har en krypterad fil som är, för alla syften och ändamål, meningslös rappakalja. Det enda sättet att utvinna dess hemligheter är med den krypteringsnyckel som du och du ensam vet.
Naturligtvis, detta förutsätter att du har följt några rimliga försiktighetsåtgärder med att dekrypteringsnyckeln. Mer specifikt, att du har gjort det länge nog, att den inte kan gissa sig även av någon som känner dig väl, och du har aldrig använt det för något annat.
Om du behöver ett starkt och unikt lösenord kan du skapa ett på correcthorsebatterystaple.net som använder förvånansvärt säker metod från denna klassiska XKCD-serie.
Du definitivt inte bör skriva ned på en klisterlapp eller ett papper i din skrivbordslåda, heller. Men du vill kanske skriva ned lösenordet och förvara det på en säker plats eller med en mycket betrodd person, tillsammans med instruktioner för hur man använder den för att låsa upp ditt lösenord fil i händelse av att något händer dig.
“Jag litar inte på någon annan för att lagra mina lösenord på deras server.”
Jag förstår instinktiv reaktion som gör en molntjänst för att hålla din hela databas lösenord måste vara en skrämmande säkerhetsrisk. Som något moln-relaterade, det är en avvägning mellan bekvämlighet och säkerhet, men att risken är relativt låg om tjänsten följer bästa praxis för kryptering och att du har angett ett starkt lösenord.
Men om du bara inte lita på molnet, du har alternativ.
Även: 57 procent av IT-arbetarna som får lösenordsfiskad inte ändra sina lösenord beteenden TechRepublic
Flera av de chefer lösenord jag har tittat på erbjuder möjligheten att spara en lokal kopia av din AES-256 krypterad fil, med ingen synk funktioner som helst. Om du väljer detta alternativ, måste du antingen avstå från möjligheten att använda ditt lösenord manager på flera webbplatser, eller att ta fram ett sätt att manuellt synkronisera filer mellan olika enheter.
Som en medelväg, kan du använda en personlig molntjänst för att synkronisera ditt lösenord filer. 1Password, till exempel, stöder automatisk synkronisering till både Dropbox och iCloud, att garantera att du är skyddad även om en av dessa tjänster äventyras.
“Jag är inte ett mål.”
Ja, det är du.
Om du är en journalist som arbetar på frågor om säkerhet, eller en aktivist i ett land vars ledare inte gillar aktivism, eller en staffer på en hög profil politisk kampanj, eller en entreprenör som kommunicerar med människor i känsliga industrier, du är ett mål med högt värde. Vem som helst som passar i någon av dessa kategorier bör ta opsec på allvar, och ett password manager är en viktig del av en väl skiktad säkerhetsprogram.
Men även om du inte är en självklar kandidat för riktade attacker, du kan sopas upp i en webbplats bryter mot reglerna. Därför Har jag Varit Pwned? finns. Det är lätt nog för en nedsatt webbplats för att tvinga dig att återställa ditt lösenord, vilket minimerar risken för att brott, men om du har använt samma kombination av referenser på andra håll, du är i allvarlig fara.
Fem chefer lösenord värt att överväga
Jag har personligen som används för alla program i den här listan. För var och en, har jag inkluderat prissättning detaljer samt en länk till information om säkerhet. Varje betald programmet erbjuder en gratis testperiod; jag rekommendera att ta fördel av dessa prövningar för att se om ett program är rätt för dig.
1Password
Även om den här produkten förtjänat sitt rykte på Apple-enheter, det har anammat Windows, Android och Chrome OS. Personliga abonnemang är $3 per månad, en familj alternativ är $5 per månad (både priser kräver årlig fakturering). Lösenord filer kan lagras lokalt, synkroniseras från 1Password servrar, eller som är ansluten till en Dropbox eller iCloud-konto. Team -, Affärs-och Enterprise-konton lägga till 2-faktors autentisering och börja på $4 per användare och månad. Säkerhet på detaljer här.
Dashlane
Den yngsta medlemmen i gruppen har funnits i mer än sex år och har förtjänat ett rykte för enkel användning. Appar finns för Windows-Datorer, Mac-datorer, Android och iOS. Om ditt lösenord för databasen innehåller färre än 50 poster, du kan bli av med den fria versionen. $5 per månad Premium-versionen innehåller en VPN-alternativ, och $10 i månaden bunt lägger kredit övervakning och identitetsstöld funktioner. Affärsplaner inkluderar samma funktioner som Premie på $4 per användare och månad. Säkerhet på detaljer här.
KeePass
Om du är cloud-fobiska eller om du insisterar på öppen källkod, detta är ditt alternativ. KeePass körs på alla stationära och mobila plattformar, inklusive de flesta Linux-distributioner, och det är gratis (som i öl). Filer som lagras lokalt, och du vill att behärska sin svårbegripliga genvägar på tangentbordet för att fylla i lösenord automatiskt. Webbläsaren integration är tillgänglig via tredje part plugins; för multi-enhet använd programmets inbyggda sync motorn automatiskt uppdateringar lösenordet i databasen oavsett cloud-baserad lagring plats du anger. Säkerhet på detaljer här.
LastPass
Utan tvekan den mest kända av gäng, LastPass är gratis och fungerar på alla stationära och mobila plattformar. Tjänsten är molnbaserad endast med filer som är lagrade på företagets servrar och synkroniseras till lokala enheter. En Premium-version ($3 per månad) stöder avancerade 2-faktors autentisering alternativ; $4 i månaden täcker en familj på upp till fem. Affärsplaner börjar på $4 per användare och månad. LastPass drabbats av en pinsamt dataintrång 2015, strax innan bolaget förvärvades av LogMeIn. Säkerhet på detaljer här.
RoboForm
Lanserades 2000, RoboForm är den i särklass mest ledande medlem av kategorin. Den fria versionen har stöd för obegränsade inloggningar och lagrar sin databas filen lokalt. RoboForm Överallt är en $24 år prenumerationstjänst som ger cloud backup, synkronisering och 2-faktors autentisering funktioner. Familjen alternativ ($48 per år) täcker upp till fem användare, och affärsplaner kostar $35 per användare. Rabatter finns för flera år inköp. Säkerhet på detaljer här.
Affiliate avslöjande: ZDNet tjänar provision från de produkter och tjänster som presenteras på denna sida.
Relaterade artiklar:
Lösenord säkerhet: Tips för att skapa en bättre politik
Kan grafiskt lösenord hålla oss säkra på nätet?Här är de bästa gratis password manager CNETHur du vill använda ett lösenord manager på din iPhone eller iPad TechRepublic
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter