Dlaczego nadal nie używam menedżerów haseł

Ostatnio Lastpass udostępnił więcej swoich usług, synchronizując wiele urządzeń bez premii. Omówiliśmy to szczegółowo tutaj. Wygląda to na dojrzały moment, aby wypróbować LastPass, ponieważ przez długi czas byłem adwokatem anty-hasła.

Nie mam osobistej wrogości wobec żadnego z menedżerów haseł, ale koncepcja oddzielnej aplikacji tylko do zarządzania hasłami wydawała mi się nie na miejscu. Wiem, że to może nie mieć większego sensu, ale mam swoje dziwne powody.

Ale spróbowałem LastPassa. Korzystając z niego przez dwa tygodnie na moim smartfonie, laptopie, iPadzie i komputerze stacjonarnym, miałem mieszane doświadczenia. Zobaczmy więc, jakie są powody i mój DIY do zarządzania hasłami.

Dlaczego nie lubię menedżerów haseł

Hasła mają być osobiste i poufne, aby nikomu ich nie ujawnić. Od samego początku czułem się trochę niepewnie, przekazując wszystkie moje hasła stronie trzeciej.

Wiem, że hasła są z nimi bezpieczne (chociaż nigdy nie wiadomo), a takie usługi nie podsłuchują danych użytkownika, ale mimo to pojawiła się dla mnie nuta niepokoju.

Ponadto kilka lat temu nie każda cholerna witryna i usługa wymagały rejestracji. Obecnie silna rejestracja wzrosła, podobnie jak nasza obecność cyfrowa.

To koniec, jeśli hasło główne zostanie naruszone

Wreszcie, była ostatnia słabość, główne hasło, które wprowadzasz za każdym razem, gdy musisz automatycznie wypełniać poświadczenia na stronie za pomocą menedżera.

Robisz to dobrze, jeśli hasło główne zostanie naruszone. Ponadto wielu menedżerów haseł wykonuje nawet zadanie generowania bezpiecznego i unikalnego hasła dla różnych loginów. Jeśli więc baza danych usługi zostanie naruszona lub nie możesz uzyskać dostępu do usługi z jakiegoś powodu, masz dużo szczęścia.

Moja metoda: wygoda nad bezpieczeństwem, nieco

Wyciągając to z drogi, osobiście używam metody przechowywania haseł, co pozwala mi łatwo zapamiętać je w kilku witrynach.

Zanim jednak wyjaśnię, co to jest, chciałbym wyjaśnić, że ta metoda jest wadliwa. Z punktu widzenia ścisłych konwencji, których należy przestrzegać dla niezniszczalnego hasła, moja metoda ma wiele swobód.

Dlatego powinieneś go używać tylko wtedy, gdy jesteś gotów zaryzykować i poznać swoją stronę internetową, aby odróżnić dobre strony od złych.

Wszyscy znamy złotą zasadę - należy używać unikalnego hasła do różnych kont. W przypadku, gdy jedno z kont zostanie naruszone, pozostałe pozostaną bezpieczne. Ale łatwiej powiedzieć niż zrobić i nie podążam za tym.

Zgodnie z ludzką tendencją wybieramy prostsze sposoby i przez wielu preferowane jest pamiętne hasło, choć niebezpieczne. Moja metoda używa również tego samego hasła w różnych witrynach, ale z niespodzianką, jak pokazano powyżej.

Podstawowe hasło: jak długo powinno być?

Począwszy od hasła podstawowego, pozostaje prawie taka sama w różnych witrynach. Teraz, gdy już ignorujemy złotą zasadę, to podstawowe hasło musi być silne.

Długość hasła jest jedną z rzeczy, które decydują o sile hasła, inne to treść, ale o tym później. Naukowcy twierdzą, że długie hasła o minimalnej długości 12 są bezpieczne.

Zalecany jest jeden z co najmniej 16 znakami. Biorąc to pod uwagę, dobrze jest ustawić hasło podstawowe na więcej niż 16, prawda?

Nie, ponieważ wiele stron internetowych ma ograniczenia dotyczące długości hasła, więc naprawdę długie hasło bazowe spowoduje problemy z dostosowaniem wyjątkowych dodatków, które do niego dodamy.

Ale twoje hasło podstawowe powinno mieć minimum 12 znaków. Jeśli 12 nie jest możliwe, spróbuj włączyć jak najwięcej różnych znaków, ponieważ zwiększy to jego entropię.

Entropia hasła

Siła hasła zależy od jego zawartości. W kategoriach naukowych Entropia, oznaczająca przypadkowość, definiuje siłę hasła. Im więcej losowości ma hasło, tym trudniej je złamać.

Na przykład słowo słownikowe, takie jak garden123, jest jak spacer po parku, aby złamać brutalną siłę zamiast 1 & 2 @ 3a4 &. Jako zasada kciuka hasło musi zawierać następujące elementy:

Wypełnienie hasłem

Teraz, kiedy wiemy, co sprawia, że ​​hasło jest silne, przechodzimy do tworzenia bezpiecznych, ale niezapomnianych haseł. Twoja wyobraźnia odgrywa tutaj dużą rolę.

Dla celów wyjaśnienia, weźmy ajinkya799 jako hasło podstawowe. Uderzenie tego w narzędziu siły hasła Dashlane daje czas brutalnej siły wynoszący 1 dzień.

Jak wyjaśniłem wcześniej, podstawowe hasło musi mieć co najmniej 12 znaków. Robi się to przez dopełnianie, co oznacza dodawanie do niego alfabetów, liczb lub symboli. Optymalnym sposobem wypełnienia jest użycie wszystkich rzeczy pokazanych na poniższym obrazku.

W podobny sposób możesz dodawać symbole, cyfry i litery do prostego, pamiętnego hasła, aby je wzmocnić.

Unikalne sole

Ulepszyliśmy hasło podstawowe, ale korzystanie z niego jako ze wszystkich witryn jest niebezpieczne, jak wiemy. Dodajemy do niego dodatki, więc różni się w zależności od witryny.

Jednym ze sposobów jest użycie dwóch wielkich liter odpowiedniej strony. Ponownie biorąc Ajinkya @ 799.. jako hasło podstawowe, dla Amazon będzie to Ajinkya @ 799..AZ, dla Facebooka będzie to Ajinkya @ 799..FB i tak dalej.

W ten sam sposób możesz opracować własny system dla różnych stron internetowych. Na koniec możesz również dodać do hasła nie tak losową sól. Na przykład możesz dodać numer odpowiadający literom na stronie internetowej, jak pokazano poniżej.

Lub numeruj strony internetowe i zwiększaj liczbę, gdy używasz hasła do nowej witryny. Oczywiście będzie to wymagało utrzymywania listy numerowanej, która prowadzi nas do tego, jak utrzymywać listę, jeśli twoja pamięć jest jak moja.

Nagrania

Używam arkusza Excel, aby zachować hasła; znowu zmarszczył brwi na metodę. Jedna kolumna dla hasła podstawowego, jedna dla soli powiązanych z witryną i jedna dla losowych soli. Aby nie zostać nominowanym do nagrody Trump of the Year, chronię ją hasłem i szyfruję.

Aby poprawić bezpieczeństwo, nie piszę nawet hasła podstawowego, chyba że zostało ono zmodyfikowane tak, aby pasowało do ograniczeń długości.

Co więcej, zamieniam też kolejność kolumn, aby dalej mylić, jeśli ktoś otworzy plik. Możesz też wyobrazić sobie inne tego typu sposoby i nie nazywaj tego pliku Excela jako Master Master List lub coś podobnego.

Wniosek

Moja metoda oczywiście pomija niektóre podstawowe zasady bezpieczeństwa cyfrowego, ale nie ignoruje ich całkowicie. Wiąże się to również z kreatywnością.

Od dopełnienia podstawowego hasła do ustawiania identyfikatorów dla różnych stron internetowych, możesz dostosować go do swoich potrzeb.

Tam, gdzie musisz być ostrożny, obsługa tej listy Excel. I znowu, stosuj tę metodę według własnego uznania. Jeśli masz jakiekolwiek wątpliwości lub sugestie, podziel się z nami komentarzami.