Почему я до сих пор не использую менеджеры паролей
Разное / / February 14, 2022
Недавно Lastpass сделал большую часть своих услуг бесплатными, сделав синхронизацию нескольких устройств платной. У нас есть подробно описал это здесь. Похоже, пришло время опробовать LastPass, поскольку я долгое время выступал против менеджера паролей.
У меня нет личной неприязни ни к одному из менеджеров паролей, но концепция отдельного приложения только для управления вашими паролями показалась мне неуместной. Я знаю, что это может не иметь особого смысла, но у меня есть свои ошибочные причины.
Но я попробовал LastPass. Я использовал его в течение двух недель на своем смартфоне, ноутбуке, iPad и настольном ПК, и у меня были смешанные впечатления. Итак, давайте посмотрим, каковы причины и мой DIY для управления паролями.
Почему я не люблю менеджеры паролей
Пароли должны быть личными и конфиденциальными, никому не разглашаемыми. Поэтому с самого начала я чувствовал себя немного неуверенно, передавая все свои пароли третьей стороне.
Я знаю, что с ними пароли в безопасности (
ты никогда не узнаешь, правда) и такие сервисы не шныряют по пользовательским данным, но все же некоторая неловкость для меня была.Более того, еще несколько лет назад не каждый проклятый сайт и сервис требовал от вас регистрации. В настоящее время количество активных регистраций увеличилось, как и наше цифровое присутствие.
Все кончено, если мастер-пароль будет скомпрометирован
Наконец, была последняя капля слабости, мастер-пароль, который вы вводите каждый раз, когда вам нужно автозаполнить учетные данные на сайт с помощью менеджера.
С вами покончено, если мастер-пароль будет скомпрометирован. Кроме того, многие менеджеры паролей даже генерируют безопасные и уникальные пароли для разных логинов. Поэтому, если база данных службы скомпрометирована или вы не можете получить доступ к службе по какой-либо причине, вам не повезло.
Мой метод: удобство важнее безопасности.
Поэтому, избавляясь от разглагольствований, я лично использую метод записи паролей, который позволяет мне легко запоминать их для нескольких сайтов.
Но прежде чем я продолжу объяснять, что это такое, я хотел бы четко указать, что этот метод несовершенен. С точки зрения строгих соглашений, которым нужно следовать для невзламываемого пароля, мой метод допускает много вольностей.
Поэтому вам следует использовать его только в том случае, если вы готовы рискнуть и разбираетесь в Интернете, чтобы отличать хорошие сайты от плохих.
Все мы знаем золотое правило — вы должны использовать уникальный пароль для разных учетных записей. Таким образом, если одна из учетных записей будет скомпрометирована, остальные останутся в безопасности. Но это легче сказать, чем сделать, и я не следую этому.
В соответствии с человеческой тенденцией мы выбираем более простые пути, и многие предпочитают запоминающийся пароль, хотя и небезопасный. Мой метод также использует один и тот же пароль на разных сайтах, но с изюминкой, как показано выше.
Базовый пароль: какой длины он должен быть?
Начиная с базового пароля, он остается практически одинаковым на всех сайтах. Теперь, когда мы уже игнорируем золотое правило, этот базовый пароль должен быть надежным.
Длина пароля — это одна из вещей, которая определяет надежность пароля, другая — его содержимое, но об этом позже. Исследователи говорят, что длинные пароли с минимальной длиной 12 безопасны.
Рекомендуется использовать не менее 16 символов. Принимая это во внимание, разумно установить базовый пароль больше 16, верно?
Нет, потому что многие веб-сайты имеют ограничения на длину пароля, поэтому очень длинный базовый пароль создаст проблемы при размещении уникальных дополнений, которые мы добавим к нему.
Но ваш базовый пароль должен состоять как минимум из 12 символов. Если 12 невозможно, попробуйте включить как можно больше разных символов, так как это увеличит его энтропию.
Энтропия пароля
Надежность пароля зависит от его содержимого. С научной точки зрения, энтропия, означающая случайность, определяет надежность пароля. Чем больше случайности в пароле, тем сложнее его взломать.
Например, такое словарное слово, как сад123 это как прогулка в парке взломать, используя грубую силу вместо 1&[электронная почта защищена]&. Как правило, ваш пароль должен содержать следующее:
Заполнение пароля
Теперь, когда мы знаем, что делает пароль надежным, мы переходим к созданию безопасных, но запоминающихся паролей. Здесь большую роль играет ваше воображение.
Для целей пояснения возьмем аджинкя799 как базовый пароль. Пробивая это в Дашлейн Инструмент надежности пароля дает время перебора 1 день.
Как я объяснял ранее, базовый пароль должен иметь длину не менее 12 символов. И это делается путем заполнения, что означает добавление к нему букв, цифр или символов. Оптимальный способ заполнения — использовать все, как показано на изображении ниже.
Таким же образом вы можете добавить символы, цифры и буквы к своему простому запоминающемуся паролю, чтобы сделать его более надежным.
Уникальные соли
Мы сделали базовый пароль более надежным, но использовать его на всех сайтах, как мы знаем, небезопасно. Поэтому мы добавляем к нему дополнительные функции, чтобы он отличался от сайта к сайту.
Один из способов — использовать две заглавные буквы соответствующего сайта. Снова принимая [электронная почта защищена] в качестве базового пароля для Амазонка это будет [электронная почта защищена], за Фейсбук это будет [электронная почта защищена] & скоро.
Точно так же вы можете разработать свою собственную систему для разных веб-сайтов. Наконец, вы также можете добавить к паролю не случайную соль. Например, вы можете добавить число, соответствующее буквам на сайте, как показано ниже.
Или пронумеруйте веб-сайты и увеличивайте число по мере использования пароля для нового сайта. Конечно, это потребует от вас ведения нумерованного списка, что подводит нас к тому, как вести список, если у вас такая же память, как у меня.
Записи
Я использую лист Excel для хранения паролей; снова не одобряемый метод. Один столбец для базового пароля, один для солей, связанных с веб-сайтом, и один для случайных солей. А чтобы не быть номинированным на премию «Козырь года», я защищаю паролем & шифровать Это.
Кроме того, для повышения безопасности я даже не пишу базовый пароль, за исключением тех случаев, когда он был изменен, чтобы соответствовать ограничениям длины.
Более того, я еще менял местами порядок столбцов, чтобы еще больше запутаться, если кто-то взломает файл. Вы также можете придумать другие подобные способы, и, пожалуйста, не называйте этот файл excel мастер-списком паролей или чем-то подобным.
Вывод
Мой метод явно упускает из виду некоторые основные правила цифровой безопасности, но не игнорирует их полностью. И это также требует некоторого творчества с вашей стороны.
От заполнения базового пароля до установки идентификаторов для разных веб-сайтов — вы можете настроить его по своему вкусу.
Где вам нужно быть осторожным, так это в обработке этого списка Excel. И опять же, следуйте этому методу на свое усмотрение. Если у вас есть какие-либо сомнения или предложения, поделитесь с нами в комментариях.