Proč stále nepoužívám správce hesel
Různé / / February 14, 2022
Lastpass nedávno zpřístupnil více svých služeb zdarma tím, že synchronizaci více zařízení učinil neprémiovou. My máme podrobně to popsal zde. Vypadá to jako zralý okamžik k vyzkoušení LastPass, protože jsem již dlouhou dobu obhájcem správce hesel.
Nemám žádné osobní nepřátelství vůči žádnému ze správců hesel, ale koncept samostatné aplikace pouze pro správu vašich hesel se mi zdál nemístný. Vím, že to možná nedává moc smysl, ale mám k tomu své aberantní důvody.
Ale zkusil jsem LastPass. Po dvou týdnech používání na svém smartphonu, notebooku, iPadu a stolním počítači jsem měl smíšené zkušenosti. Pojďme se tedy podívat, jaké jsou důvody a moje DIY pro správu hesel.
Proč nemám rád správce hesel
Hesla mají být osobní a důvěrné, nesmí být nikomu prozrazeny. Takže od začátku jsem se cítil trochu nejistý, jestli předám všechna svá hesla třetí straně.
Vím, že hesla jsou u nich v bezpečí (nikdy nevíš, ačkoli) a takové služby nešmírují uživatelská data, ale přesto jsem měl náznak neklidu.
Navíc před několika lety ne každý zatracený web a služba vyžadovaly, abyste se zaregistrovali. V současné době se zvýšil počet nutných registrací a také naše digitální přítomnost.
Je konec, pokud dojde ke kompromitaci hlavního hesla
Nakonec tu byla poslední kapka slabosti, hlavní heslo, které zadáváte pokaždé, když potřebujete automaticky vyplnit přihlašovací údaje k webu pomocí správce.
Pokud bude hlavní heslo prozrazeno, máte hotovo. Mnoho správců hesel dokonce dělá práci generování bezpečného a jedinečného hesla pro různá přihlášení. Takže v případě, že dojde ke kompromitaci databáze služby nebo ke službě z jakéhokoli důvodu nebudete mít přístup, máte do značné míry smůlu.
Moje metoda: Pohodlí nad bezpečností, do jisté míry
Abych se vyhnul chvástání, já osobně používám metodu k uchování záznamů o heslech, která mi umožňuje snadno si je zapamatovat pro několik webů.
Ale než budu pokračovat ve vysvětlování toho, co to je, rád bych jasně řekl, že tato metoda je chybná. Z hlediska přísných konvencí, které je třeba dodržovat pro neprolomitelné heslo, má moje metoda mnoho svobod.
Měli byste jej tedy používat pouze v případě, že jste připraveni riskovat a víte, jak se na webu orientovat, abyste odlišili dobré stránky od těch špatných.
Všichni známe zlaté pravidlo — pro různé účty byste měli používat jedinečné heslo. Takže v případě, že dojde ke kompromitaci jednoho z účtů, ostatní zůstanou v bezpečí. Ale to se snadněji řekne, než udělá a já se tím neřídím.
Podle lidské tendence volíme jednodušší způsoby a mnoho lidí preferuje zapamatovatelné heslo, i když není bezpečné. Moje metoda také používá stejné heslo na různých webech, ale s obratem, jak je uvedeno výše.
Základní heslo: Jak dlouhé by mělo být?
Počínaje základním heslem zůstává na všech stránkách téměř stejné. Nyní, když již ignorujeme zlaté pravidlo, toto základní heslo musí být silné.
Délka hesla je jednou z věcí, která určuje sílu hesla, další je obsah, ale o tom později. Vědci tvrdí, že dlouhá hesla s minimální délkou 12 jsou bezpečná.
A doporučuje se jeden s alespoň 16 znaky. Když to vezmeme v úvahu, je rozumné nastavit základní heslo na více než 16, ne?
Ne, protože mnoho webových stránek má limity na délku hesla, takže opravdu dlouhé základní heslo způsobí problémy s přizpůsobením se jedinečným doplňkům, které k němu přidáme.
Vaše základní heslo by však mělo mít minimálně 12 znaků. Pokud 12 není možné, zkuste začlenit co nejvíce různých znaků, protože to zvýší jeho entropii.
Entropie hesla
Síla hesla závisí na jeho obsahu. Z vědeckého hlediska Entropie, což znamená náhodnost, definuje sílu hesla. Čím je heslo náhodnější, tím je těžší ho prolomit.
Například slovníkové slovo jako např zahrada123 je jako procházka parkem, kde se místo toho používá hrubou silou 1&[e-mail chráněný]&. Vaše heslo musí zpravidla obsahovat následující:
Výplň heslem
Nyní, když víme, co dělá heslo silným, přejdeme k vytváření bezpečných, ale zapamatovatelných hesel. Velkou roli zde hraje vaše představivost.
Pro účely vysvětlení, vezměme ajinkya799 jako základní heslo. Vrazit to dovnitř Dashlane's nástroj pro sílu hesla poskytuje hrubou sílu 1 den.
Jak jsem vysvětlil dříve, základní heslo musí mít alespoň 12 znaků. A to se provádí pomocí výplně, což znamená přidání abecedy, čísel nebo symbolů. Optimální způsob vycpávky je použít všechny věci, jak je znázorněno na obrázku níže.
Podobným způsobem můžete ke svému jednoduchému, zapamatovatelnému heslu přidat symboly, čísla a písmena, aby bylo silnější.
Jedinečné soli
Základní heslo jsme posílili, ale jeho používání na všech stránkách není bezpečné, jak víme. Takže k tomu přidáváme doplňky, takže se to liší web od webu.
Jedním ze způsobů je použití dvou velkých písmen příslušného webu. Opět braní [e-mail chráněný] jako základní heslo, pro Amazonka bude to [e-mail chráněný], pro Facebook bude to [e-mail chráněný] & již brzy.
Stejně tak si můžete vymyslet vlastní systém pro různé weby. Nakonec můžete k heslu přidat i ne tak náhodnou sůl. Můžete například přidat číslo odpovídající písmenům na webu, jak je znázorněno níže.
Nebo weby očíslujte a číslo zvyšujte, jakmile použijete heslo pro nový web. Samozřejmě to bude vyžadovat, abyste si vedli očíslovaný seznam, což nás přivádí k tomu, jak seznam udržovat, pokud je vaše paměť jako moje.
Záznamy
K správě hesel používám list Excel; opět zamračená metoda. Jeden sloupec pro základní heslo, jeden pro soli související s webem a jeden pro náhodné soli. A abych nebyl nominován na cenu Trumpa roku, chráním heslem a zašifrovat to.
Dále pro zlepšení zabezpečení nepíšu ani základní heslo, s výjimkou případů, kdy bylo upraveno tak, aby vyhovovalo omezením délky.
Kromě toho také zaměním pořadí sloupců, abych se dále zmátl, pokud někdo soubor neotevře. Můžete si také představit dalších takových několik způsobů a prosím, nepojmenujte tento excelový soubor jako Password Master List nebo něco podobného.
Závěr
Moje metoda zjevně přehlíží některá základní pravidla digitální bezpečnosti, ale zcela je neignoruje. A také to vyžaduje určitou kreativitu na vaší straně.
Od vyplnění základního hesla až po nastavení identifikátorů pro různé webové stránky si jej můžete vyladit podle svých představ.
Tam, kde budete muset být opatrní, je manipulace s tímto seznamem Excel. A znovu postupujte podle tohoto způsobu podle vlastního uvážení. Pokud máte nějaké pochybnosti nebo návrhy, podělte se s námi prostřednictvím komentářů.