Hvorfor jeg stadig ikke bruger adgangskodeadministratorer
Miscellanea / / November 29, 2021
For nylig gjorde Lastpass mere ud af sin service gratis ved at gøre synkronisering af flere enheder til ikke-premium. Vi har dækket det i detaljer her. Dette ligner et modent øjeblik til at prøve LastPass, da jeg har været fortaler for anti-password manager i lang tid.
Jeg har ikke noget personligt fjendskab mod nogen af adgangskodeadministratorerne, men konceptet med en separat app bare til at administrere dine adgangskoder forekom mig malplaceret. Jeg ved godt, at det måske ikke giver meget mening, men jeg har mine afvigende grunde.
Men jeg gav LastPass en chance. Efter at have brugt det i to uger på min smartphone, bærbare, iPad og stationære pc, har jeg haft en blandet oplevelse. Så lad os se, hvad der er årsagerne og min DIY til at administrere adgangskoder.
Hvorfor jeg ikke kan lide adgangskodeadministratorer
Adgangskoder formodes at være personlige og fortrolige, ikke at blive afsløret for nogen. Så fra begyndelsen følte jeg mig lidt usikker på at aflevere alle mine adgangskoder til en tredjepart.
Jeg ved, at adgangskoderne er sikre med dem (man ved aldrig, dog) og sådanne tjenester snuser ikke i brugerdataene, men alligevel var der en antydning af uro for mig.
Desuden for et par år siden var det ikke alle pokkers websteder og tjenester, der krævede, at du tilmeldte dig. I dag er de kraftige tilmeldinger steget, og det samme er vores digitale tilstedeværelse.
Det er slut, hvis hovedadgangskoden bliver kompromitteret
Endelig var der et sidste strå af svaghed, hovedadgangskoden, som du indtaster hver gang du skal autofylde legitimationsoplysninger til et websted ved hjælp af manageren.
Du er færdig for altid, hvis hovedadgangskoden bliver kompromitteret. Også mange af adgangskodeadministratorerne udfører endda jobbet med at generere en sikker og unik adgangskode til forskellige logins. Så i tilfælde af at databasen for tjenesten bliver kompromitteret, eller du af en eller anden grund ikke kan få adgang til tjenesten, er du stort set uheldig.
Min metode: Bekvemmelighed frem for sikkerhed, noget
Så for at få det ud af vejen, bruger jeg personligt en metode til at holde et register over adgangskoderne, som gør det nemt for mig at huske dem for flere websteder.
Men før jeg fortsætter med at forklare, hvad det er, vil jeg gerne gøre det meget klart, at denne metode er mangelfuld. Ud fra et synspunkt om strenge konventioner, som man skal følge for et ubrydeligt kodeord, tager min metode sig mange friheder.
Så du bør kun bruge det, hvis du er klar til at tage risikoen og kender din vej rundt på nettet for at skelne de gode sider fra de dårlige.
Vi kender alle den gyldne regel - du bør bruge en unik adgangskode til forskellige konti. Så hvis en af konti bliver kompromitteret, forbliver de andre sikre. Men det er lettere sagt end gjort, og jeg følger det ikke.
I henhold til menneskelig tendens vælger vi de enklere måder, og en mindeværdig adgangskode, selvom den er usikker, foretrækkes af mange. Min metode bruger også den samme adgangskode på tværs af websteder, men med et twist, som vist ovenfor.
Basisadgangskoden: Hvor lang skal den være?
Startende med basisadgangskoden forbliver den næsten den samme på tværs af websteder. Nu da vi allerede ignorerer den gyldne regel, skal denne basisadgangskode være en stærk.
Adgangskodelængde er en af de ting, der dikterer adgangskodens styrke, andet er indholdet, men mere om det senere. Forskere siger, at lange adgangskoder med en minimumlængde på 12 er sikre.
Og en med mindst 16 tegn anbefales. Når man tager dette i betragtning, er det klogt at indstille basisadgangskoden på mere end 16, ikke?
Nej, fordi mange hjemmesider har grænser for, hvor lang adgangskoden kan være, så en rigtig lang basisadgangskode vil skabe problemer med at rumme det unikke ekstramateriale, vi vil tilføje til det.
Men din basisadgangskode skal være på mindst 12 tegn. Hvis 12 ikke er muligt, så prøv at inkorporere så mange forskellige karakterer som muligt, da dette vil øge dens entropi.
Adgangskodeentropi
Adgangskodens styrke afhænger af dens indhold. I videnskabelige termer definerer Entropy, hvilket betyder tilfældighed, styrken af adgangskoden. Jo mere tilfældig adgangskoden har, jo sværere er den at knække.
For eksempel et ordbogsord som f.eks have123 er som en tur i parken at knække ved at bruge brute force i stedet for 1&2@3a4&. Som tommelfingerregel skal din adgangskode indeholde følgende:
Adgangskodepolstring
Nu hvor vi ved, hvad der gør en adgangskode stærk, går vi videre med at skabe sikre, men mindeværdige adgangskoder. Her spiller din fantasi en stor rolle.
Lad os tage til forklaringsformål ajinkya799 som en basisadgangskode. Slår dette ind Dashlane's adgangskodestyrkeværktøj giver en brute force-tid på 1 dag.
Som jeg forklarede tidligere, skal basisadgangskoden være mindst 12 tegn lang. Og dette gøres ved polstring, hvilket betyder at tilføje alfabeter, tal eller symboler til det. Den optimale måde at polstre på er at bruge alle tingene som vist på billedet nedenfor.
På lignende måde kan du tilføje symboler, tal og bogstaver til din enkle, mindeværdige adgangskode for at gøre den stærkere.
De unikke salte
Vi har gjort basisadgangskoden stærkere, men det er usikkert at bruge det, da det på tværs af alle websteder, som vi ved. Så vi tilføjer ekstramateriale til det, så det er forskelligt fra websted til websted.
En måde er at bruge to store bogstaver på det respektive websted. Tager igen Ajinkya@799.. som basisadgangskode for Amazon det vil være [email protected], til Facebook det vil være [email protected] & snart.
På samme måde kan du udtænke dit eget system til forskellige hjemmesider. Endelig kan du også tilføje et ikke så tilfældigt salt til adgangskoden. Du kan for eksempel tilføje et tal, der svarer til bogstaverne på hjemmesiden, som vist nedenfor.
Eller nummerér webstederne og øg antallet, efterhånden som du bruger adgangskoden til et nyt websted. Det vil selvfølgelig kræve, at du vedligeholder en nummereret liste, hvilket bringer os til, hvordan du vedligeholder listen, hvis din hukommelse er som min.
Optegnelserne
Jeg bruger et Excel-ark til at vedligeholde adgangskoderne; igen en ildeset metode. En kolonne for basisadgangskoden, en for de webstedsrelaterede salte og en for de tilfældige salte. Og for ikke at blive nomineret til prisen for Årets Trump, beskytter jeg med adgangskode og kryptere det.
For yderligere at forbedre sikkerheden skriver jeg ikke engang basisadgangskoden, undtagen hvor den er blevet ændret, så den passer til længdebegrænsningerne.
Desuden bytter jeg også rækkefølgen af kolonner for at forvirre yderligere, hvis nogen bryder filen op. Du kan også forestille dig andre sådanne forskellige måder, og lad være med at navngive den excel-fil som Password Master List eller noget lignende.
Konklusion
Min metode overser naturligvis nogle grundlæggende digitale sikkerhedsregler, men ignorerer dem ikke fuldstændigt. Og det involverer også noget kreativitet fra din side.
Fra udfyldning af basisadgangskoden til indstilling af identifikatorer for forskellige websteder, kan du tilpasse den til din smag.
Hvor du skal være forsigtig, er håndteringen af denne Excel-liste. Og igen, følg denne metode efter eget skøn. Hvis du har nogen tvivl eller forslag, så del med os gennem kommentarer.