Dlaczego nadal nie używam menedżerów haseł
Różne / / February 14, 2022
Ostatnio Lastpass udostępnił więcej swojej usługi, czyniąc synchronizację wielu urządzeń bez premium. Mamy omówiłem to szczegółowo tutaj. Wygląda na to, że jest to dobry moment na wypróbowanie LastPass, ponieważ od dawna jestem zwolennikiem menedżera anty-hasła.
Nie mam żadnej osobistej wrogości wobec żadnego z menedżerów haseł, ale koncepcja oddzielnej aplikacji tylko do zarządzania hasłami wydawała mi się nie na miejscu. Wiem, że to może nie ma sensu, ale mam swoje nienormalne powody.
Ale spróbowałem LastPass. Używając go przez dwa tygodnie na moim smartfonie, laptopie, iPadzie i komputerze stacjonarnym, miałem mieszane doświadczenia. Zobaczmy więc, jakie są powody i moje majsterkowanie do zarządzania hasłami.
Dlaczego nie lubię menedżerów haseł
Hasła mają być osobiste i poufne, nie mogą być nikomu ujawniane. Tak więc od początku czułem się trochę niepewnie, jeśli chodzi o przekazanie wszystkich moich haseł osobom trzecim.
Wiem, że hasła są z nimi bezpieczne (
nigdy nie wiesz, chociaż) i takie usługi nie podsłuchują danych użytkownika, ale i tak była dla mnie nutka niepokoju.Co więcej, kilka lat temu nie każda cholerna strona i usługa wymagała rejestracji. W dzisiejszych czasach liczba rejestracji na siłę wzrosła, podobnie jak nasza obecność cyfrowa.
To koniec, jeśli hasło główne zostanie naruszone
W końcu pojawiła się ostatnia kropla słabości, hasło główne, które wpisujesz za każdym razem, gdy musisz automatycznie wypełnić dane uwierzytelniające do witryny za pomocą menedżera.
Skończysz na dobre, jeśli hasło główne zostanie naruszone. Ponadto wielu menedżerów haseł wykonuje nawet zadanie generowania bezpiecznego i unikalnego hasła dla różnych loginów. Więc w przypadku, gdy baza danych usługi zostanie naruszona lub nie możesz uzyskać dostępu do usługi z jakiegokolwiek powodu, masz prawie pecha.
Moja metoda: wygoda nad bezpieczeństwem, trochę
Tak więc, usuwając rant z drogi, osobiście używam metody rejestrowania haseł, która pozwala mi łatwo je zapamiętać dla kilku witryn.
Ale zanim przejdę dalej wyjaśniać, co to jest, chciałbym bardzo jasno powiedzieć, że ta metoda jest wadliwa. Z punktu widzenia sztywnych konwencji, których trzeba przestrzegać, aby hasło było nie do złamania, moja metoda daje wiele swobody.
Powinieneś więc używać go tylko wtedy, gdy jesteś gotowy na podjęcie ryzyka i znasz sposób poruszania się po sieci, aby odróżnić dobre witryny od tych złych.
Wszyscy znamy złotą zasadę — należy używać unikalnego hasła do różnych kont. Jeśli więc jedno z kont zostanie naruszone, pozostałe pozostaną bezpieczne. Ale łatwiej powiedzieć niż zrobić i nie podążam za tym.
Zgodnie z ludzką tendencją wybieramy prostsze sposoby, a niezapomniane hasło, choć niebezpieczne, jest preferowane przez wielu. Moja metoda również używa tego samego hasła we wszystkich witrynach, ale z niespodzianką, jak pokazano powyżej.
Hasło podstawowe: jak długie powinno być?
Począwszy od hasła podstawowego, pozostaje ono prawie takie samo we wszystkich witrynach. Teraz, gdy już ignorujemy złotą zasadę, to hasło podstawowe musi być silne.
Długość hasła jest jedną z rzeczy, które dyktują siłę hasła, inną jest zawartość, ale o tym później. Naukowcy twierdzą, że długie hasła o długości co najmniej 12 są bezpieczne.
Zalecany jest jeden z co najmniej 16 znakami. Biorąc to pod uwagę, rozsądnie jest ustawić hasło podstawowe na więcej niż 16, prawda?
Nie, ponieważ wiele stron internetowych ma ograniczenia dotyczące długości hasła, więc naprawdę długie hasło podstawowe spowoduje problemy z dostosowaniem unikalnych dodatków, które do niego dodamy.
Ale twoje hasło podstawowe powinno mieć co najmniej 12 znaków. Jeśli 12 nie jest możliwe, spróbuj włączyć jak najwięcej różnych postaci, ponieważ zwiększy to jego entropię.
Entropia hasła
Siła hasła zależy od jego zawartości. W terminologii naukowej Entropia, czyli losowość, określa siłę hasła. Im więcej losowości ma hasło, tym trudniej je złamać.
Na przykład słowo ze słownika, takie jak ogród123 jest jak spacer po parku, żeby pęknąć przy użyciu brutalnej siły zamiast 1&[e-mail chroniony]&. Z reguły Twoje hasło musi zawierać następujące elementy:
Uzupełnianie hasła
Teraz, gdy wiemy, co sprawia, że hasło jest silne, przechodzimy do tworzenia bezpiecznych, ale łatwych do zapamiętania haseł. Twoja wyobraźnia odgrywa tutaj dużą rolę.
Dla wyjaśnienia weźmy ajinkya799 jako hasło podstawowe. Przebijanie tego w Dashlane'a Narzędzie siły hasła daje czas brute force wynoszący 1 dzień.
Jak wyjaśniłem wcześniej, hasło podstawowe musi mieć co najmniej 12 znaków. Odbywa się to poprzez padding, czyli dodawanie do niego liter, cyfr lub symboli. Optymalnym sposobem wypełnienia jest użycie wszystkich rzeczy, jak pokazano na poniższym obrazku.
W podobny sposób możesz dodać symbole, cyfry i litery do swojego prostego, łatwego do zapamiętania hasła, aby je wzmocnić.
Unikalne sole
Ulepszyliśmy hasło podstawowe, ale używanie go we wszystkich witrynach jest niebezpieczne, jak wiemy. Więc dodajemy do niego dodatki, więc różni się w zależności od witryny.
Jednym ze sposobów jest użycie dwóch wielkich liter odpowiedniej witryny. Znowu biorąc [e-mail chroniony] jako hasło podstawowe, dla Amazonka To będzie [e-mail chroniony], dla Facebook To będzie [e-mail chroniony] & wkrótce.
W ten sam sposób możesz opracować własny system dla różnych stron internetowych. Na koniec możesz również dodać nie tak losową sól do hasła. Na przykład możesz dodać liczbę odpowiadającą literom na stronie internetowej, jak pokazano poniżej.
Lub numeruj strony internetowe i zwiększaj ich liczbę w miarę używania hasła do nowej witryny. Oczywiście będzie to wymagało utrzymywania listy numerowanej, co prowadzi nas do tego, jak utrzymywać listę, jeśli twoja pamięć jest taka jak moja.
Nagrania
Używam arkusza Excel do przechowywania haseł; znowu niezadowolony z metody. Jedna kolumna na hasło podstawowe, jedna na sole związane z witryną i jedna na losowe sole. Aby nie być nominowanym do nagrody Trump of the Year, chronię hasłem i zaszyfrować to.
Aby poprawić bezpieczeństwo, nie piszę nawet hasła podstawowego, chyba że zostało ono zmodyfikowane w celu dopasowania do ograniczeń długości.
Co więcej, zamieniam również kolejność kolumn, aby jeszcze bardziej pomylić, jeśli ktoś złamie plik. Możesz również wyobrazić sobie inne takie sposoby i nie nazywaj tego pliku Excela główną listą haseł lub czymś podobnym.
Wniosek
Moja metoda oczywiście pomija kilka podstawowych zasad bezpieczeństwa cyfrowego, ale nie ignoruje ich całkowicie. I wiąże się to również z kreatywnością po twojej stronie.
Od uzupełnienia hasła podstawowego po ustawienie identyfikatorów dla różnych stron internetowych, możesz dostosować je do swoich upodobań.
Trzeba być ostrożnym, jeśli chodzi o obsługę tej listy programu Excel. I znowu postępuj zgodnie z tą metodą według własnego uznania. Jeśli masz jakiekolwiek wątpliwości lub sugestie, podziel się z nami poprzez komentarze.