Чому я досі не використовую менеджери паролів

Нещодавно Lastpass зробив більше своїх послуг безкоштовними, зробивши синхронізацію кількох пристроїв не преміум-класом. Ми маємо детально розглянув це тут. Схоже, настав момент, щоб спробувати LastPass, оскільки я довгий час був прихильником захисту від менеджера паролів.

У мене немає особистої ворожнечі проти жодного з менеджерів паролів, але концепція окремого додатка лише для керування вашими паролями здавалася мені недоречною. Я знаю, що це може не мати великого сенсу, але у мене є свої неправильні причини.

Але я спробував LastPass. Використовуючи його протягом двох тижнів на своєму смартфоні, ноутбуці, iPad і настільному ПК, я мав неоднозначні враження. Тож давайте подивимося, які причини та мій DIY для керування паролями.

Чому я не люблю менеджери паролів

Паролі повинні бути особистими та конфіденційними, не розкриватися нікому. Тому з самого початку я відчував себе трохи невпевнено перед тим, як передати всі свої паролі третій стороні.

Я знаю, що паролі з ними безпечні (ти ніколи не дізнаєшся, хоча) і такі сервіси не підглядають за даними користувача, але все ж для мене був натяк на занепокоєння.

Більше того, кілька років тому не кожен проклятий веб-сайт і сервіс вимагали від вас реєстрації. Нині кількість примусових реєстрацій зросла, а також наша цифрова присутність.

Все закінчено, якщо головний пароль буде зламано

Нарешті, була остання крапля слабкості, головний пароль, який ви вводите щоразу, коли вам потрібно автоматично заповнити облікові дані на сайті за допомогою менеджера.

Ви готові назавжди, якщо головний пароль буде зламано. Крім того, багато менеджерів паролів навіть створюють безпечний та унікальний пароль для різних логінів. Отже, якщо база даних служби буде зламана або ви не можете отримати доступ до служби з будь-якої причини, вам не пощастило.

Мій метод: зручність над безпекою, дещо

Тому я особисто використовую метод для запису паролів, який дозволяє мені легко запам’ятати їх для кількох сайтів.

Але перш ніж продовжити пояснювати, що це таке, я хотів би чітко пояснити, що цей метод є недоліком. З точки зору суворих умов, яких потрібно дотримуватися, щоб отримати незламний пароль, мій метод дає багато свободи.

Тому ви повинні використовувати його лише в тому випадку, якщо ви готові піти на ризик і добре знаєте, як відрізнити хороші сайти від поганих.

Ми всі знаємо золоте правило — ви повинні використовувати унікальний пароль для різних облікових записів. Таким чином, якщо один з облікових записів буде зламаний, інші залишаються в безпеці. Але це легше сказати, ніж зробити, і я не дотримуюся цього.

Відповідно до людської тенденції ми вибираємо простіші способи, і багато хто віддає перевагу запам’ятовуванню пароля, хоча і небезпечного. Мій метод також використовує один і той самий пароль на всіх сайтах, але з поворотом, як показано вище.

Базовий пароль: скільки часу він має бути?

Починаючи з базового пароля, він залишається майже однаковим на всіх сайтах. Тепер, оскільки ми вже ігноруємо золоте правило, цей базовий пароль має бути надійним.

Довжина пароля є одним із факторів, які визначають міцність пароля, а іншим є його вміст, але про це пізніше. Дослідники кажуть, що довгі паролі з мінімальною довжиною 12 безпечні.

Рекомендується такий, який містить принаймні 16 символів. Враховуючи це, розумно встановити базовий пароль більше 16, чи не так?

Ні, тому що багато веб-сайтів мають обмеження щодо тривалості пароля, тому дійсно довгий базовий пароль створить проблеми з розміщенням унікальних додаткових елементів, які ми будемо до нього додавати.

Але ваш базовий пароль має містити не менше 12 символів. Якщо 12 неможливо, спробуйте включити якомога більше різних символів, оскільки це збільшить його ентропію.

Ентропія пароля

Міцність пароля залежить від його вмісту. З наукової точки зору, ентропія, тобто випадковість, визначає міцність пароля. Чим більше випадковості має пароль, тим важче його зламати.

Наприклад, словникове слово, наприклад сад 123 це як прогулянка в парку, щоб зламати, використовуючи грубу силу замість 1&[електронна пошта захищена]&. Як правило, ваш пароль повинен містити наступне:

Заповнення пароля

Тепер, коли ми знаємо, що робить пароль надійним, ми переходимо до створення надійних, але запам’ятовуваних паролів. Тут велику роль відіграє ваша уява.

Для пояснення візьмемо ajinkya799 як базовий пароль. Пробиваємо це Dashlane's Інструмент надійності пароля дає час грубої сили 1 день.

Як я пояснював раніше, базовий пароль має містити щонайменше 12 символів. І це робиться шляхом заповнення, що означає додавання до нього алфавітів, цифр або символів. Оптимальний спосіб заповнення - використовувати всі речі, як показано на зображенні нижче.

Подібним чином ви можете додати символи, цифри та літери до свого простого, що запам’ятовується пароля, щоб зробити його міцнішим.

Унікальні солі

Ми зробили базовий пароль міцнішим, але використовувати його, оскільки він на всіх сайтах, небезпечно, як ми знаємо. Тому ми додаємо до нього додаткові можливості, тому він відрізняється від сайту до сайту.

Один із способів — використання двох великих літер відповідного сайту. Знову беру [електронна пошта захищена] як базовий пароль, для Amazon це буде [електронна пошта захищена], для Facebook це буде [електронна пошта захищена] і так далі.

Таким же чином ви можете створити власну систему для різних веб-сайтів. Нарешті, ви також можете додати не дуже випадкову сіль до пароля. Наприклад, ви можете додати число, що відповідає літерам на веб-сайті, як показано нижче.

Або пронумеруйте веб-сайти та збільшуйте число, коли ви використовуєте пароль для нового сайту. Звичайно, це вимагатиме від вас ведення нумерованого списку, що підводить нас до того, як підтримувати список, якщо ваша пам’ять схожа на мою.

Записи

Я використовую таблицю Excel для підтримки паролів; знову неприйнятний метод. Один стовпець для базового пароля, один для солей, пов’язаних із веб-сайтом, і один для випадкових солей. І щоб не бути номінованим на премію Трампа року, я захищаю паролем і шифрувати це.

Крім того, щоб покращити безпеку, я навіть не пишу базовий пароль, за винятком тих випадків, коли він був змінений відповідно до обмежень довжини.

Крім того, я також зміню порядок стовпців, щоб ще більше заплутати, якщо хтось порушить файл. Ви також можете уявити інші подібні способи, і, будь ласка, не називайте цей файл Excel основним списком паролів або чимось подібним.

Висновок

Мій метод, очевидно, не враховує деякі основні правила цифрової безпеки, але не ігнорує їх повністю. І це також передбачає деяку творчість з вашого боку.

Від заповнення базового пароля до встановлення ідентифікаторів для різних веб-сайтів, ви можете налаштувати його на свій смак.

Вам потрібно бути обережними при обробці цього списку Excel. І знову ж таки, дотримуйтесь цього способу на власний розсуд. Якщо у вас є якісь сумніви чи пропозиції, поділіться з нами через коментарі.