mi az a jelszókezelő?
Egyszer volt, hol nem volt, az Internet korai éveiben, lehet, hogy volt egy maroknyi jelszavad néhány alapvető webes alkalmazáshoz, amelyeket vásárolni, tanulmányozni, kapcsolatban maradni és munkát végezni. Ma a dolgok sokkal bonyolultabbak. A LastPass 2017-es jelentése szerint az embereknek átlagosan 191 különböző jelszót kellett megjegyezniük—csak a munka érdekében -, nem is beszélve a személyes jelszavukról.
míg a technológia azt ígéri, hogy könnyebbé teszi az életünket, és Általában igen, minden új weboldal és alkalmazás, amelyre feliratkozunk, egy másik jelszó, amelyet meg kell jegyeznünk. A legtöbb ember számára lehetetlenné vált, hogy mindegyikre emlékezzen. A 2019-es Google Online biztonsági felmérés szerint a válaszadók 52 százaléka használta újra ugyanazt a jelszót több (de nem minden) fiókhoz. Ez egy nagy nem-nem.
a sötét webről vásárolt ellopott jelszavak (más néven “hulladéklerakók”) óriási listáinak felhasználásával a számítógépes bűnözők brutálisan kényszeríthetik magukat más webhelyekre, vagy régi jelszavakat használhatnak a felhasználók csalásokban való kicsikarására. Ez az adatsértés dominóhatása. Az egyik törés a másikhoz vezet, a másikhoz, és így tovább.
a 2019-es Verizon Data Breach Investigations report szerint az adatsértések 80% – át kompromittált, gyenge és újrafelhasznált jelszavak okozzák.
hogyan kerültünk ide, és mit tehetünk ellene?
a híres xkcd webes képregény “Password Strength” magyarázta a legjobban: “20 éves erőfeszítéssel sikeresen megtanítottunk mindenkit olyan jelszavak használatára, amelyeket az emberek nehezen emlékeznek, de a számítógépek könnyen kitalálnak.”
Ez igaz. 20 évvel ezelőtt a kiberbiztonsági szakemberek figyelmeztették a fogyasztókat, hogy nem változtatták meg az alapértelmezett jelszavakat az IoT eszközökön (például az internetes útválasztón), vagy könnyen kitalálható jelszavakat használtak, például “12345” vagy “jelszó”. Ebből jött a hosszú és erős jelszó xkcd pokes szórakoztató: egy közös szó keverékével nagy-és kisbetűk, legalább egy szám, és egy szimbólum.
Új fiók létrehozásakor a webhelyek megkövetelik, hogy hosszú és erős jelszavakat hozzunk létre. Ennek hiányában még számlát sem adhatunk. Feltételezve, hogy valaki túljutott a fiók létrehozásának fázisán, azonnal elfelejti az Enigma machine cypher-t, amelyet éppen készített, és beletörődik az “Elfelejtett jelszó?”link, mint a mindennapi bejelentkezési lehetőség.
szerencsére nem kell megjegyeznie ezeket a jelszavakat. A jelszókezelő emlékszik rájuk az Ön számára.
a Malwarebytes Labs a jelszókezelőt “online hitelesítő adatok tárolására és kezelésére tervezett szoftveralkalmazásként definiálja. Jelszavakat is generál. Ezeket a jelszavakat általában titkosított adatbázisban tárolják, és egy fő jelszó mögé zárják.”
miután a fiók összes felhasználónevét és jelszavát beírta a tárolóba, a Mesterjelszó az egyetlen, amelyet el kell köteleznie a memóriában. A fő jelszó megadása feloldja a jelszó tárolóját, majd a tárolóból letöltheti a szükséges jelszót.
milyen előnyökkel jár a jelszókezelő használata?
többé nem kell megjegyeznie az összes jelszavát. Csak azt a fő jelszót kell megjegyeznie, amely feloldja a jelszó tárolóját. Ha pedig felhőalapú jelszókezelőt választ, akkor bárhonnan, bármilyen eszközről hozzáférhet a jelszó tárolójához.
automatikusan generálhatnak rendkívül biztonságos jelszavakat az Ön számára. A jelszókezelők általában megkérdezik, hogy szeretne-e automatikusan generált jelszót használni, amikor új fiókot hoz létre egy webhelyen vagy alkalmazásban. Ezek a véletlenszerű jelszavak hosszúak, alfanumerikusak, és lényegében lehetetlen kitalálni.
figyelmeztethetnek egy adathalász webhelyre. Itt van egy gyors fény az adathalász csalásokról. A Spam e-maileket hamisítják vagy hamisítják, hogy úgy tűnjenek, mintha egy törvényes feladótól származnának, mint egy barát, családtag, munkatárs vagy szervezet, amellyel üzleti tevékenységet folytat. Az e-mailben található linkek közvetlenül a hasonlóan hamisított rosszindulatú webhelyekre irányulnak, amelyek célja a bejelentkezési adatok begyűjtése. Ha böngészőalapú jelszókezelőt használ, az nem tölti ki automatikusan a felhasználónév és jelszó mezőket, mivel nem ismeri fel a webhelyet a jelszóhoz kötöttként.
ők segíthetnek a kedvezményezettek, ha elmúlik. Ezt nevezzük digitális örökségnek. Abban az esetben, ha a halál, a család, vagy bárki, akit kijelöl, hogy kezelje a vagyon hozzáférhet a jelszó vault.
a jelszókezelők időt takarítanak meg. A jelszavak tárolásán túl sok jelszókezelő automatikusan kitölti a hitelesítő adatokat az online fiókokhoz való gyorsabb hozzáférés érdekében. Ezenkívül egyesek tárolhatják és automatikusan kitölthetik a nevet, a címet, az e-mailt, a telefonszámot és a hitelkártya adatait. Ez lehet egy hatalmas időtakarékos, ha online vásárlás, például.
számos jelszókezelő szinkronizálódik a különböző operációs rendszerek (operációs rendszerek) között. Ha munkahelyi Windows-felhasználó, otthon pedig Mac-felhasználó, hétfőtől péntekig ugorjon Androidjára, hétvégén pedig iOS-re, akkor gyorsan hozzáférhet jelszavaihoz, függetlenül attól, hogy melyik platformon van. Ugyanez vonatkozik az összes legnépszerűbb böngészőre; azaz a Chrome, a Firefox, Az Edge, az Internet Explorer és a Safari.
segítenek megvédeni személyazonosságát. Körforgalomban a jelszavak kezelői segítenek megvédeni a személyazonosság-lopást, és itt van miért. Ha minden webhelyhez egyedi jelszót használ, lényegében szegmentálja adatait minden használt webhelyen és alkalmazásban. Ha egy bűnöző feltöri az egyik Fiókját, akkor nem feltétlenül tudnak bejutni a többiekbe. Ez nem bolondbiztos, de ez egy további biztonsági réteg, amelyet minden bizonnyal értékelni fog az adatok megsértése után.
biztonságosak a jelszókezelők?
a Jelszókezelőket feltörték, de a felhasználói adatok biztonságának általános eredményei nagyon jók.
Password manager LastPass szenvedett adatok megsértése 2015-ben. A jogsértés során a számítógépes bűnözők felhasználói e-mailekkel távoztak, de nem sikerült ellopniuk a jelszavakat. Még akkor is, ha igen, a legtöbb jelszókezelő, beleértve a LastPass-t is, kemény katonai szintű titkosítást használ a jelszavak biztonságának megőrzése érdekében.
hasonlítsd össze ezt a Facebook, a Google és a Twitter. Mindhárom technológiai óriás elismerte, hogy véletlenül tárolja a felhasználói jelszavakat egyszerű, olvasható szövegben—titkosítás nélkül-néhány felhasználójuk számára, több évre visszamenőleg. A Google esetében pedig egészen 2005-ig. Amennyire bárki tudja, egyik jelszót sem lopták el, bár a Google visszaállította az érintett jelszavakat “rengeteg óvatosságból” azonnal, miután felfedezte hibájukat.
legfrissebb hírek a jelszókezelőkről
mikor szabadulhatunk meg végleg a jelszavaktól?
A hackerek fog hack többé? Nem, ha folyamatosan újrafelhasználjuk a jelszavakat
Miért nincs szükség 27 különböző jelszóra
melyek a jelszókezelők típusai?
az asztali alapú jelszókezelők a jelszavakat helyileg tárolják az eszközön, például a laptopon, egy titkosított tárolóban. Ezeket a jelszavakat nem érheti el más eszközről, és ha elveszíti az eszközt, akkor elveszíti az összes ott tárolt jelszót. A helyileg telepített jelszókezelők nagyszerű lehetőség azok számára, akik egyszerűen nem akarják, hogy adataikat valaki más hálózatán tárolják. Néhány helyileg telepített jelszókezelő egyensúlyt teremt az adatvédelem és a kényelem között azáltal, hogy lehetővé teszi, hogy több jelszóboltot hozzon létre az eszközökön, és szinkronizálja őket, amikor csatlakozik az internethez.
a felhőalapú jelszókezelők a titkosított jelszavakat a szolgáltató hálózatán tárolják. A szolgáltató közvetlenül felelős a jelszavak biztonságáért. A felhőalapú jelszókezelők elsődleges előnye, hogy jó példák az 1Password és a LastPass, hogy bármilyen eszközről hozzáférhet a jelszó tárolójához, amíg van internetkapcsolata. A webalapú jelszókezelők különböző formákban kaphatók-leggyakrabban böngészőbővítményként, asztali alkalmazásként vagy mobilalkalmazásként.
egyszeri bejelentkezés (SSO). Ellentétben a jelszókezelővel, amely minden használt alkalmazáshoz egyedi jelszavakat tárol, az SSO lehetővé teszi, hogy minden alkalmazáshoz egy jelszót használjon. Gondolj az SSO-ra, mint a digitális útlevélre. Amikor belép egy idegen országba, az útlevél azt mondja a vám – és Bevándorlási Hivatal tisztviselőinek, hogy az állampolgársága szerinti ország kezeskedik érted, és hogy minimális gond nélkül be kell engedni. Hasonlóképpen, amikor SSO-t használ egy alkalmazásba való bejelentkezéshez, akkor nem kell igazolnia személyazonosságát. Ehelyett az SSO szolgáltató kezeskedik az Ön személyazonosságáért. A vállalkozások néhány okból előnyben részesítik az SSO-kat a jelszókezelőkkel szemben. Az SSO elsősorban biztonságos és kényelmes módja annak, hogy az alkalmazottak hozzáférjenek a munkájuk elvégzéséhez szükséges alkalmazásokhoz. Az SSO-k csökkentik az elfelejtett jelszavak hibaelhárításával és visszaállításával töltött időt is.
jelszó legjobb gyakorlatok
ne használja újra a jelszavakat. Még egy jelszókezelővel is. Ehelyett hozzon létre egyedi jelszavakat minden webhelyhez, és hagyja, hogy a jelszókezelő azt tegye, amire tervezték.
összetett jelszavak létrehozása. Sok jelszókezelő segítőkészen automatikus erős jelszavakat javasol, amikor fiókot hoz létre egy új webhelyhez. Ha nem, próbáljon meg betűk és számok véletlenszerű kombinációját használni, és váltson nagy-és kisbetűk között. Minél összetettebb és értelmetlen, annál jobb—különösen azért, mert nem kell emlékezni rá. A jelszókezelő ezt megteszi. Az egyik legfontosabb különbség a fő jelszó létrehozása (az, amely feloldja az összes többi jelszót). Erre emlékeznie kell, tehát hacsak nincs eidetikus memóriája, próbáljon valami emlékezetesre gondolni, de nem könnyen vezethető vissza személyazonosságára. Ezután adjon hozzá néhány sapkát, néhány betűt és néhány divatos karaktert, és van egy jól védett jelszótár.
használjon jelszót. A fő jelszó létrehozásakor (amely feloldja a többi jelszót) próbáljon meg egy jelszót használni; azaz olyan szavak sorozata, amelyek könnyen megjegyezhetők, de nehéz kitalálni. Valami ismerős egy furcsa csavarral, például: “bean burrito fagylalt split.”Vagy csak egy csomó véletlenszerű dolog, amelyet az ember könnyen vizualizálhat, de a számítógép nem: “fancy rat Neon avokádó autó.”Használd a fantáziádat! Háziállatok, gyermekek, vagy más családnevek, vagy olyan sorok, mint “Engedj be!”túlságosan gyakoriak, ezért a kiberbűnözők számára könnyű megfejteni.
kéttényezős (2FA) vagy többtényezős hitelesítés (MFA) engedélyezése. Az egyik legjobb módja annak, hogy biztonságos minden fiókot, password manager, vagy sem, hogy engedélyezze MFA. Az MFA-kompatibilis jelszókezelővel két vagy több hitelesítési tényező segítségével kell igazolnia személyazonosságát, amelyek magukban foglalják valamit, amit tudsz, valamit, amit birtokolsz, és valamit, ami vagy. A valami, amit tudsz, általában a jelszavad, de lehet PIN-kód is. Valami, amit birtokol, lehet a mobiltelefonod, bankkártya, vagy egy biztonsági token egy USB-meghajtón. Végül, valamit, amit biometrikus adatokkal lehet ellenőrizni, például arc -, hang-vagy íriszfelismeréssel és ujjlenyomat-azonosítóval. Viselkedési Biometria, például billentyűleütések is alkalmazhatók.
Ez az extra biztonsági réteg azt jelenti, hogy bárki, aki megpróbál bejelentkezni a fiókjába (beleértve magát is), ellenőriznie kell ezeket a további hitelesítési tényezőket a felhasználónéven és a jelszón kívül. Erre példa lehet: miután megadta a fő jelszavát a jelszókezelő eléréséhez, egy kódot küldünk a mobiltelefonjára, amelyet ezután meg kell adnia a vault elérése előtt. Egy dolgot kell szem előtt tartani, amikor a telefont hitelesítési tényezőként használja—a telefonszámokat eltéríthetik.
Simjackingnek (más néven SIM-swapping) hívják, és ez akkor fordul elő, amikor egy számítógépes bűnöző, mint te, meggyőzi a telefonszolgáltatót, hogy a biztonsági kérdések sikeres megválaszolásával adja át telefonszámát a telefonjához. A felületes közösségi média keresés gyakran csak annyit igényel, hogy a bűnözők összegyűjtsék a szükséges válaszokat. És amint a bűnözők átveszik az irányítást a telefonod felett, mindenük megvan ahhoz, hogy ellopják a személyazonosságodat. Ennek megfelelően előfordulhat, hogy a kritikus fiókok helyett olyan szoftveralapú hitelesítőt keres, mint az Authy vagy a Google Authenticator.
gondoljon kétszer az ingyenes jelszókezelőkre. A legnépszerűbb ingyenes jelszókezelők közül sok valójában freemium üzleti modell szerint működik, vagyis fizetnie kell, ha a legjobb—néha alapvető—funkciókat szeretné. Szüksége van jelszavaira a böngészők és eszközök közötti szinkronizáláshoz? Digitális örökségre van szüksége? Meg kell osztania a bejelentkezéseket a családdal? Szüksége van többtényezős hitelesítésre? Az ingyenes jelszókezelők általában nem tartalmazzák ezeket a funkciókat. MFA, különösen, egy kell. Közötti vitában ingyenes vs. fizetett, válasszon fizetett jelszókezelőt.
Hozzon létre egy jelszókezelő házirendet. Íme egy tipp a kis-és középvállalkozások számára: hozzon létre egy jelszókezelő-házirendet, és tudatja az alkalmazottakkal, hogy nem baj, ha jelszókezelőt használnak munkahelyi fiókjaik biztonságossá tételéhez. A személyzet már használ egy hodgepodge potenciálisan bizonytalan módszerek, hogy megpróbálja kezelni a sok jelszót, és a legtöbb adat megsértése kezdődik egy gyenge vagy újrafelhasznált jelszót. A hivatalos jelszókezelő-házirend az első védelmi vonal a hálózat kibertámadása ellen.