co to jest menedżer haseł?
Dawno, dawno temu, we wczesnych latach Internetu, mogłeś mieć garść haseł do kilku podstawowych aplikacji internetowych, które używałeś do robienia zakupów, nauki, pozostania w kontakcie i wykonywania pracy. Dziś sprawy są o wiele bardziej skomplikowane. Raport 2017 z LastPass wykazał, że średnio ludzie musieli pamiętać 191 różnych haseł-tylko do pracy-nie wspominając o swoich osobistych hasłach.
chociaż technologia obiecuje ułatwić nam życie, a generalnie tak, każda nowa strona internetowa i aplikacja, na którą się zapisujemy, to kolejne hasło, które musimy zapamiętać. Dla większości nie sposób zapamiętać ich wszystkich. Badanie bezpieczeństwa online Google 2019 wykazało, że 52 procent respondentów ponownie użyło tego samego hasła dla wielu (ale nie wszystkich) kont. To jest wielkie Nie-Nie.
korzystając z gigantycznych list skradzionych haseł (aka „zrzuty”) kupionych w dark web, cyberprzestępcy mogą brutalnie zmusić się do przedostania się do innych witryn lub użyć starych haseł do wyłudzenia użytkowników w oszustwach. To efekt domina naruszenia danych. Jedno naruszenie prowadzi do drugiego i drugiego i tak dalej.
według raportu 2019 Verizon Data Breach Investigations, 80 procent naruszeń danych jest spowodowanych przez naruszone, słabe i ponownie używane hasła.
jak się tu dostaliśmy i co możemy z tym zrobić?
słynny komiks internetowy xkcd „Siła hasła” wyjaśnił to najlepiej: „przez 20 lat starań z powodzeniem wyszkoliliśmy wszystkich, aby używali haseł, które są trudne do zapamiętania, ale łatwe do odgadnięcia przez komputery.”
To prawda. 20 lat temu specjaliści od cyberbezpieczeństwa upominali konsumentów za to, że nie zmienili domyślnych haseł na urządzeniach IoT (takich jak router internetowy) lub używali łatwych do odgadnięcia haseł, takich jak „12345” lub „hasło”. Z tego wyszło długie i mocne hasło xkcd, które wyśmiewa: wspólne słowo z mieszaniną wielkich i małych liter, co najmniej jedną cyfrą i jednym symbolem.
przy zakładaniu nowego konta strony internetowe wymagają od nas tworzenia długich i silnych haseł. W przeciwnym razie nie możemy nawet założyć konta. Zakładając, że przejdzie się przez fazę tworzenia konta, natychmiast zapomnisz szyfru maszyny Enigma, który właśnie zrobiłeś i zrezygnujesz z używania „Zapomniałeś hasła?”link jako opcja codziennego logowania.
na szczęście nie musisz pamiętać tych wszystkich haseł. Menedżer haseł może je dla ciebie zapamiętać.
Malwarebytes Labs definiuje menedżera haseł jako „aplikację zaprojektowaną do przechowywania poświadczeń online i zarządzania nimi. Generuje również hasła. Zwykle hasła te są przechowywane w zaszyfrowanej bazie danych i blokowane za hasłem głównym.”
Po wprowadzeniu wszystkich nazw użytkowników konta i haseł do skarbca, Twoje hasło główne jest jedynym, które musisz zapisać w pamięci. Wprowadzenie hasła głównego odblokowuje skarbiec haseł,a następnie można odzyskać potrzebne hasło.
jakie są zalety korzystania z menedżera haseł?
nie musisz już zapamiętywać wszystkich swoich haseł. Musisz tylko zapamiętać hasło główne, które odblokowuje Twój skarbiec haseł. A jeśli zdecydujesz się na menedżera haseł opartego na chmurze, możesz uzyskać dostęp do magazynu haseł w dowolnym miejscu i na dowolnym urządzeniu.
mogą automatycznie generować bardzo bezpieczne hasła dla Ciebie. Menedżery haseł zazwyczaj pytają, czy chcesz używać automatycznie wygenerowanego hasła przy tworzeniu nowego konta w witrynie internetowej lub aplikacji. Te losowe hasła są długie, alfanumeryczne i zasadniczo niemożliwe do odgadnięcia.
mogą powiadomić Cię o stronie phishingowej. Oto szybki błysk na temat oszustw phishingowych. Spam e-maile są sfałszowane lub sfałszowane tak, aby wyglądały jak pochodzące od legalnego nadawcy, takiego jak przyjaciel, członek rodziny, współpracownik lub organizacja, z którą prowadzisz interesy. Linki zawarte w wiadomości e-mail kierują do podobnie sfałszowanych złośliwych stron internetowych przeznaczonych do zbierania danych logowania. Jeśli używasz menedżera haseł opartego na przeglądarce, nie uzupełni on automatycznie pól nazwy użytkownika i hasła, ponieważ nie rozpoznaje witryny jako powiązanej z hasłem.
mogą pomóc Twoim beneficjentom, gdy odejdziesz. Nazywa się to dziedziczeniem cyfrowym. W przypadku twojej śmierci twoja rodzina lub osoba wyznaczona do administrowania majątkiem uzyska dostęp do twojego skarbca haseł.
menedżery haseł oszczędzają czas. Wiele menedżerów haseł nie tylko przechowuje dla Ciebie hasła, ale także automatycznie wypełnia poświadczenia, aby uzyskać szybszy dostęp do kont online. Ponadto niektóre mogą przechowywać i automatycznie wypełniać imię i nazwisko, adres, adres e-mail, numer telefonu i informacje o karcie kredytowej. Może to być ogromna oszczędność czasu, na przykład podczas zakupów online.
wiele menedżerów haseł synchronizuje się w różnych systemach operacyjnych (OSE). Jeśli jesteś użytkownikiem systemu Windows w pracy i użytkownikiem komputera Mac w domu, Przejdź na Androida od poniedziałku do piątku i przejdź na iOS w weekendy, będziesz mógł szybko uzyskać dostęp do haseł niezależnie od platformy, na której się znajdujesz. Chrome, Firefox, Edge, Internet Explorer i Safari.
pomagają chronić twoją tożsamość. W okrężny sposób menedżery haseł pomagają chronić przed kradzieżą tożsamości, a oto dlaczego. Używając unikalnego hasła dla każdej witryny, zasadniczo segmentujesz swoje dane w każdej witrynie i aplikacji, z której korzystasz. Jeśli przestępca zhakuje jedno z Twoich kont, niekoniecznie będzie w stanie dostać się do innych. Nie jest niezawodny, ale jest to dodatkowa warstwa zabezpieczeń, którą z pewnością docenisz po naruszeniu danych.
czy menedżery haseł są bezpieczne?
menedżery haseł zostały zhakowane, ale ich ogólne osiągnięcia w zakresie zabezpieczania danych użytkowników są bardzo dobre.
Menedżer haseł LastPass doznał naruszenia danych w 2015 roku. Podczas naruszenia cyberprzestępcy uciekli z e-maili użytkowników, ale nie udało im się ukraść żadnych haseł. Nawet jeśli tak, większość menedżerów haseł, w tym LastPass, używa szyfrowania hardcore klasy wojskowej, aby zapewnić bezpieczeństwo haseł.
Porównaj to z Facebookiem, Google i Twitterem. Wszyscy trzej giganci techniczni przyznali się do przypadkowego przechowywania haseł użytkowników w prostym, czytelnym tekście-bez szyfrowania, o którym można mówić-dla niektórych użytkowników, sięgających kilku lat wstecz. A w przypadku Google, aż do 2005 roku. O ile ktoś wie, żadne z haseł nie zostało skradzione, chociaż reset Google wpłynął na hasła” z dużą ostrożnością ” natychmiast po odkryciu ich błędu.
najnowsze wiadomości o menedżerach haseł
Kiedy możemy pozbyć się haseł na dobre?
Czy hakerzy będą się jeszcze włamywać? Nie, jeśli ciągle używamy haseł
dlaczego nie potrzebujesz 27 różnych haseł
jakie są rodzaje menedżerów haseł?
menedżery haseł oparte na komputerach stacjonarnych przechowują hasła lokalnie na urządzeniu, takim jak laptop, w zaszyfrowanym sejfie. Nie możesz uzyskać dostępu do tych haseł z innego urządzenia, a jeśli zgubisz urządzenie, stracisz wszystkie przechowywane tam hasła. Lokalnie zainstalowane menedżery haseł to świetna opcja dla osób, które po prostu nie chcą, aby ich dane były przechowywane w cudzej sieci. Niektóre lokalnie zainstalowane menedżery haseł zapewniają równowagę między prywatnością a wygodą, umożliwiając tworzenie wielu skarbców haseł na urządzeniach i synchronizowanie ich po połączeniu się z Internetem.
menedżery haseł w chmurze przechowują zaszyfrowane hasła w sieci dostawcy usług. Usługodawca jest bezpośrednio odpowiedzialny za bezpieczeństwo Twoich haseł. Podstawową zaletą menedżerów haseł opartych na chmurze, 1Password i LastPass, jest to, że możesz uzyskać dostęp do skarbca haseł z dowolnego urządzenia, o ile masz połączenie z Internetem. Internetowe menedżery haseł mogą mieć różne formy-najczęściej jako rozszerzenie przeglądarki, aplikacja komputerowa lub aplikacja mobilna.
pojedyncze logowanie (SSO). W przeciwieństwie do menedżera haseł, który przechowuje unikalne hasła dla każdej używanej aplikacji, SSO pozwala używać jednego hasła dla każdej aplikacji. Pomyśl o SSO jak o swoim cyfrowym paszporcie. Przy wjeździe do obcego kraju, paszport mówi urzędnikom w urzędzie celnym i imigracyjnym, że kraj obywatelstwa ręczy za Ciebie i że powinieneś mieć prawo do wejścia z minimalnym kłopotem. Podobnie, gdy korzystasz z SSO do logowania się do aplikacji, nie musisz zweryfikować swojej tożsamości. Zamiast tego dostawca SSO ręczy za twoją tożsamość. Firmy preferują SSO zamiast menedżerów haseł z kilku powodów. SSO to przede wszystkim bezpieczny i wygodny sposób dostępu pracowników do aplikacji, których potrzebują do wykonywania swojej pracy. SSOs skracają również czas spędzany na rozwiązywaniu problemów i resetowaniu zapomnianych haseł.
najlepsze praktyki dotyczące haseł
nie używaj ponownie haseł. Nawet z menedżerem haseł. Zamiast tego twórz unikalne hasła dla każdej witryny i pozwól menedżerowi haseł robić to, do czego został zaprojektowany.
tworzenie złożonych haseł. Wiele menedżerów haseł pomaga automatycznie sugerować silne hasła za każdym razem, gdy tworzysz konto dla nowej witryny. Jeśli nie, spróbuj użyć losowej kombinacji liter i cyfr i przełącz się między wielkimi i małymi literami. Im bardziej skomplikowane i bezsensowne, tym lepiej-zwłaszcza, że nie będziesz musiał o tym pamiętać. Zrobi to menedżer haseł. Kluczową różnicą jest utworzenie hasła głównego (tego, które odblokowuje wszystkie inne hasła). Tę musisz zapamiętać, więc jeśli nie masz eidetycznej pamięci, spróbuj wymyślić coś niezapomnianego, ale niełatwo powiązanego z Twoją tożsamością. Następnie dodaj czapki, litery i wymyślne znaki, a otrzymasz dobrze chroniony skarbiec haseł.
Użyj hasła. Jeśli chodzi o tworzenie hasła głównego (tego, które odblokowuje inne hasła), spróbuj użyć hasła; tj. serii słów, które są łatwe do zapamiętania, ale trudne do odgadnięcia. Coś, co kojarzy się z dziwnym zwrotem, na przykład: „Bean burrito ice cream split.”Lub po prostu kilka przypadkowych rzeczy, które człowiek może łatwo zwizualizować, ale komputer nie może:” fancy rat neon avocado car.”Użyj wyobraźni! Zwierzęta domowe, dzieci lub inne nazwiska lub linie takie jak ” Wpuść mnie!”są zbyt powszechne, a zatem łatwe do rozszyfrowania przez cyberprzestępców.
Włącz uwierzytelnianie dwuskładnikowe (2FA) lub wieloskładnikowe (MFA). Jednym z najlepszych sposobów zabezpieczenia dowolnego konta, menedżera haseł lub nie, jest włączenie MFA. Dzięki menedżerowi haseł z obsługą MFA będziesz musiał zweryfikować swoją tożsamość za pomocą dwóch lub więcej czynników uwierzytelniających, które obejmują coś, co znasz, coś, co posiadasz i coś, czym jesteś. To, co wiesz, to zazwyczaj Twoje hasło, ale może to być również numer PIN. Coś, co posiadasz, może być telefonem komórkowym, kartą bankową lub tokenem bezpieczeństwa na pamięci USB. Wreszcie, coś, czym jesteś, można zweryfikować za pomocą danych biometrycznych, takich jak rozpoznawanie twarzy, głosu lub tęczówki i identyfikator odcisku palca. Można również zastosować biometrię behawioralną, taką jak naciśnięcia klawiszy.
ta dodatkowa warstwa zabezpieczeń oznacza, że każdy, kto próbuje zalogować się na twoje konto (włącznie z tobą), będzie musiał kontrolować te dodatkowe czynniki uwierzytelniania poza nazwą użytkownika i hasłem. Przykładem może być: po wprowadzeniu hasła głównego, aby uzyskać dostęp do menedżera haseł, na telefon komórkowy zostanie wysłany kod, który następnie należy wprowadzić przed uzyskaniem dostępu do skarbca. Należy pamiętać o jednej rzeczy podczas korzystania z telefonu jako czynnika uwierzytelniania—numery telefonów można przejąć.
nazywa się to SIMjacking (aka sim-swapping) i dzieje się tak, gdy cyberprzestępca, udając Ciebie, przekonuje operatora telefonu, aby przypisał Twój numer telefonu do swojego telefonu, pomyślnie odpowiadając na pytania bezpieczeństwa. Pobieżne wyszukiwanie w mediach społecznościowych często wystarczy, aby oszuści zebrali odpowiedzi, których potrzebują. A gdy przestępcy mają kontrolę nad Twoim telefonem, mają wszystko, czego potrzebują, aby ukraść twoją tożsamość. W związku z tym możesz poszukać uwierzytelniacza opartego na oprogramowaniu, takiego jak Authy lub Google Authenticator, dla krytycznych kont.
pomyśl dwa razy o darmowych menedżerach haseł. Wiele najpopularniejszych darmowych menedżerów haseł działa w ramach modelu biznesowego freemium, co oznacza, że musisz zapłacić, jeśli chcesz mieć najlepsze—czasami niezbędne—funkcje. Czy hasła są potrzebne do synchronizacji między przeglądarkami i urządzeniami? Czy potrzebujesz cyfrowego dziedziczenia? Czy musisz udostępniać dane logowania rodzinie? Czy potrzebujesz uwierzytelniania wieloskładnikowego? Bezpłatne menedżery haseł zazwyczaj nie zawierają tych funkcji. MSZ, w szczególności, jest koniecznością. W debacie między darmowym a płatnym wybierz płatnego menedżera haseł.
Utwórz politykę menedżera haseł. Oto wskazówka dla małych i średnich firm: Utwórz politykę menedżera haseł i poinformuj pracowników, że można używać Menedżera haseł do zabezpieczania kont służbowych. Twoi pracownicy używają już wielu potencjalnie niebezpiecznych metod do zarządzania wieloma hasłami, a większość naruszeń danych zaczyna się od słabego lub ponownego użycia hasła. Oficjalna polityka menedżera haseł to pierwsza linia obrony przed cyberatakiem w sieci.