Nie używaj złych haseł, użyj menedżera haseł.
Stephen Shankland/CNET
Uwaga redaktora: W uznaniu dla Światowego Dnia Haseł, CNET ponownie publikuje wybór naszych artykułów na temat ulepszania i zastępowania haseł.
Jeśli jesteś jednym z niezliczonych ludzi, którzy nierozważnie używają łatwych do odgadnięcia haseł lub ponownie używają hasła do kilku kont, eksperci od cyberbezpieczeństwa mają dla Ciebie wiadomość: To nie jest twoja wina. Zapamiętanie unikalnego, złożonego hasła dla każdego konta jest niemożliwe.
Ale to jest dokładnie ten rodzaj zadania, w którym komputery są dobre. Dlatego wielu ekspertów od cyberbezpieczeństwa sugeruje korzystanie z menedżera haseł. Jest to program narzędziowy, który bezpiecznie przechowuje hasła i automatycznie wpisuje je na stronach logowania. Pomagają one chronić każde z Twoich kont internetowych za pomocą silnego hasła.
„Polecam wszystkim korzystanie z nich” – powiedział Matias Woloski, dyrektor ds. technologii w firmie Auth0 i ekspert w dziedzinie bezpieczeństwa haseł. „Menedżery haseł są dziś najlepszą alternatywą”.
Prawdopodobnie skorzystałbyś z pomocy menedżera haseł. Najczęściej używanym hasłem znalezionym w przypadkach naruszenia danych jest nadal „123456”, według danych firmy SplashData zajmującej się cyberbezpieczeństwem, a drugim najczęściej używanym hasłem jest oczywiście „hasło”. Przeciętna osoba używa tylko 13 unikalnych haseł, a prawie jedna trzecia stwierdziła, że używa tylko dwóch lub trzech haseł do wszystkich swoich kont, zgodnie z ankietą z 2018 roku przeprowadzoną przez firmę McAfee produkującą oprogramowanie antywirusowe.
Aby uzyskać szersze spojrzenie, sprawdź relację CNET w tym tygodniu o problemach z hasłami i poprawkach, takich jak sprzętowe klucze bezpieczeństwa, powody, dla których niektóre stare zasady wybierania haseł są teraz przestarzałe i opowieść ostrzegawcza o tym, co może pójść nie tak z menedżerem haseł.
Masz kilka opcji menedżera haseł. Istnieją dedykowane narzędzia, takie jak LastPass, BitWarden, Dashlane, Keeper i 1Password. Przeglądarki internetowe, w tym Safari, Chrome i Firefox również mają wbudowane mechanizmy kontroli haseł, które są bardziej ograniczone, zwłaszcza jeśli używasz wielu przeglądarek, ale stają się coraz bardziej wyrafinowane.
Niestety, menedżerowie haseł mogą być skomplikowani i nie zawsze działają płynnie z witrynami i aplikacjami. To może być powód, dla którego tylko 3% użytkowników internetu polega głównie na menedżerach haseł, według Pew Research Institute. Woloski sugeruje, by zacząć od pomocy kogoś bardziej technicznego.
Wciąż, menedżerowie haseł mogą pomóc w poruszaniu się po Internecie z dużo mniejszym ryzykiem. Nawet jeśli przemysł techniczny w końcu wymyśla prawdziwe alternatywy dla haseł i sposoby na ich całkowite porzucenie, nadal będziesz musiał liczyć się z dziesiątkami lub setkami takich haseł przez najbliższe lata. Menedżery haseł mogą pomóc, nawet jeśli nie są idealne
Co to jest menedżer haseł?
Menedżery haseł generują unikatowe, złożone hasła dla każdej witryny, przechowują je bezpiecznie i wprowadzają w różnych przeglądarkach i na różnych urządzeniach komputerowych. Możesz ich używać jako rozszerzeń przeglądarki lub aplikacji mobilnych, które wypełniają strony logowania nazwą użytkownika i hasłem za Ciebie.
Wiąże się z tym mnóstwo korzyści. Po pierwsze, nie musisz zapamiętywać żadnych haseł (z wyjątkiem hasła do Twojego menedżera haseł). Oznacza to, że możesz stosować się do nieprzyjemnych, ale przydatnych rad dotyczących bezpieczeństwa, takich jak nieużywanie hasła ponownie i używanie długich, złożonych haseł, takich jak $ZnEk$tyMcF6K6XCGkxU3A8>uzC[B6&X.
Następnie, menedżery haseł pomagają chronić przed atakami phishingowymi, które kierują użytkownika na fałszywe strony internetowe i próbują go oszukać, aby podał swoje hasło. Menedżery haseł oferują dane uwierzytelniające do logowania tylko wtedy, gdy użytkownik znajduje się na właściwej stronie internetowej.
Wreszcie, wiele menedżerów haseł ma funkcje, które informują użytkownika, gdy witryna doświadczyła naruszenia danych. Mogą one również powiedzieć, jeśli hasło, którego używasz, zostało znalezione w magazynie skradzionych danych użytkowników, jak co najmniej 555 milionów haseł. Są to sygnały, że należy natychmiast zmienić hasło. Menedżery haseł mogą również pomóc w znalezieniu słabych lub ponownie używanych haseł.
Czy powinieneś przechowywać wszystkie swoje hasła w jednym miejscu?
Standardową radą od dziesięcioleci jest zapamiętywanie haseł, więc przechowywanie ich w jednym miejscu wydaje się trochę niewłaściwe. I, oczywiście, byłoby to straszne, gdyby hakerzy mogli złamać twojego menedżera haseł i uzyskać dostęp do wszystkich twoich kont.
Still, bezpieczeństwo menedżerów haseł okazał się solidny. Hakerzy dokonali jedynie ograniczonego postępu w kradzieży informacji o użytkownikach z menedżerów haseł – jedno naruszenie dotarło tak daleko, jak kompromitacja podpowiedzi do pytań bezpieczeństwa użytkownika LastPass, na przykład – ale żadne znane ataki nie uzyskały dostępu do pamięci podręcznej rzeczywistych haseł.
Jasne, hakerzy mogą w końcu złamać te zabezpieczenia, ale są one znacznie bardziej prawdopodobne, aby kierować się do Ciebie z ataku phishingowego do kradzieży haseł, powiedział Mark Risher, szef bezpieczeństwa konta Google. Ponadto korzystanie z menedżera haseł ogranicza szanse na to, że padniesz ofiarą ataku phishingowego.
Wideo: In a world of bad passwords, a security key could be your new best friend
Oczywiście, musisz być ostrożny. Ze wszystkimi swoimi hasłami w jednym koszyku menedżera haseł, upewnij się, że znajdziesz sposób na zapamiętanie swojego hasła głównego lub tajnego klucza. Dobrze jest je zapisać, o ile przechowujesz je w bezpiecznym miejscu. Możesz również od czasu do czasu wyeksportować swoje hasła do arkusza kalkulacyjnego, pod warunkiem, że zamkniesz go za pomocą szyfrowania (lub umieścisz wydrukowaną kopię w zamkniętej szufladzie na pliki).
Jeśli stracisz dostęp do swojego konta, będziesz musiał przejść przez proces resetowania hasła dla wszystkich innych kont, co byłoby bardzo dużym bólem głowy.
Wady menedżera haseł
Niestety, powinieneś spodziewać się trudnych sytuacji podczas korzystania z menedżerów haseł. Samo dodanie informacji ze wszystkich istniejących kont do usługi jest pracą, choć większość menedżerów haseł oferuje narzędzia do importowania danych z przeglądarki lub innych menedżerów haseł. I to zajmuje dodatkowe kroki, aby włączyć menedżera haseł na telefonie.
Prawdopodobnie największym problemem jest to, że niektóre strony internetowe nie grają ładnie z menedżerami haseł, powodując rodzaje kłopotliwych, uciążliwych problemów, które sprawiają, że chcesz wyrzucić swój komputer przez okno.
Na przykład, menedżerowie haseł czasami nie zauważają pól logowania. Mogą się też pomylić, gdy witryny proszą o dodatkowe informacje, takie jak kod PIN lub ulubiony film.
Czasami strony internetowe nie współpracują z menedżerami haseł.
Brett Pearce/CNET
Co gorsza, niektóre witryny blokują funkcję autouzupełniania, uniemożliwiając menedżerom haseł wprowadzanie danych logowania. Jeden z australijskich banków, CommBank, radzi klientom, aby nie przechowywali swoich danych uwierzytelniających do kont bankowych w menedżerach haseł. W oświadczeniu CommBank powiedział, że dostrzega wartość menedżerów haseł, ale uważa, że hakerzy znajdą sposoby, aby oszukać swoich klientów za pomocą wyrafinowanych schematów phishingu, jeśli będą oni korzystać z menedżerów haseł.
„W przypadku haseł do bankowości internetowej, zalecamy klientom stworzenie silnego hasła, które jest unikalne dla każdego konta i nie zapisywanie go,” powiedział rzecznik firmy. Mimo to, eksperci ds. bezpieczeństwa mówią, że to sprawia, że znacznie bardziej prawdopodobne, że klienci będą używać słabych lub ponownie używanych haseł.
1Password zajmuje się blokowaniem autouzupełniania poprzez współpracę z producentami przeglądarek internetowych, którzy chcą, aby strony internetowe pozwalały na tę funkcję, powiedział Matt Davey, dyrektor operacyjny firmy.
„To, co próbują zrobić, to zignorować je na poziomie witryny i tak je automatycznie wypełniać” – powiedział Davey o producentach przeglądarek. 1Password będzie również skontaktować się z witrynami bezpośrednio i powiedzieć im, że powinny dostać się z programem i niech ich użytkownicy logują się za pomocą menedżera haseł.
Nawet technicznie wykwalifikowani ludzie zmagają się z tarciem menedżerów haseł. Kimber Dowsett, ekspert ds. cyberbezpieczeństwa, która wcześniej pomagała w zabezpieczaniu systemów NASA, a obecnie pracuje jako dyrektor ds. inżynierii bezpieczeństwa w firmie Truss zajmującej się infrastrukturą oprogramowania, była ostatnio sfrustrowana, gdy próbowała zalogować się na stronie banku. Musiała wpisać swoje dane logowania ręcznie, ponieważ strona zablokowała jej menedżera haseł.
Był jeszcze jeden problem: nie mogła stwierdzić, czy hasło jest cyfrą zero czy literą O, więc musiała zgadywać.
„Wiele tarć zostałoby złagodzonych przez twórców aplikacji po prostu pozwalając na autouzupełnianie i wklejanie, abyśmy mogli faktycznie korzystać z menedżerów haseł zgodnie z przeznaczeniem”, powiedział Dowsett. „Rzucanie klucza do tego nie pomaga nikomu z nas”.
Używanie haseł mniej
Na dwóch frontach mamy dobre wieści. Pierwszym z nich jest to, że twórcy Chrome, Safari i Firefox są wzmocnienie ich własnych menedżerów haseł. Apple wbudował jeden w iOS i włącza go domyślnie. To jest OK, aby korzystać z tych funkcji na urządzeniach, które kontrolować za pomocą hasła lub logowania biometrycznego. Plus, powinny one uczynić cyfrowe przechowywanie haseł bardziej mainstream i potencjalnie zmusić twórców stron internetowych do zabawy z funkcjami takimi jak autouzupełnianie i wklejanie.
Po drugie, nowe technologie pozwalają Ci używać haseł rzadziej. Biometria, taka jak odciski palców i twarz, zmniejsza potrzebę przedstawiania hasła za każdym razem, gdy uzyskujesz dostęp do usługi. Usługi jednokrotnego logowania pozwalają zalogować się do jednej witryny za pomocą innego konta, takiego jak Google, Apple czy Facebook. Będziesz musiał być wygodne dzielenie się więcej informacji na temat usług, które używasz z jednym z tych tytanów technologii, choć.
Po trzecie, uwierzytelnianie wieloczynnikowe, klucze bezpieczeństwa i inne technologie uwierzytelniania pomagają poprawić niedociągnięcia bezpieczeństwa haseł. W końcu może się okazać, że w ogóle nie trzeba będzie używać haseł.
Ta innowacja nie zastąpi haseł w najbliższym czasie, powiedział dyrektor generalny BigID Dimitri Sirota, którego firma pomaga firmom chronić dane osobowe. Ale zaczyna odchodzić od prymatu haseł w zakresie bezpieczeństwa kont. I to jest dobra rzecz, powiedział.
„Hasła były standardem przez długi czas,” Sirota powiedział. „I to takim, z którego nikt nie jest szczególnie zadowolony”.
Po raz pierwszy opublikowane 10 marca 2020 r. o godz. 5:00 PT.