VAULTAES-256 encryptedmasterbank.commail.comwork.comshop.com

מנהלי סיסמאות

11 דקות קריאהבִּטָחוֹן

מנהל סיסמאות מחליף את המשימה הבלתי אפשרית של זכירת 200 סיסמאות חזקות ייחודיות במשימה הניתנת להשגה של זכירת אחת. ההחלטה היא לא אם להשתמש באחד - זה מסודר - אלא איזו ארכיטקטורה מתאימה למודל האיום שלך: סנכרון ענן, מקומי בלבד או מובנה בדפדפן.

גוף המאמר המלא מסופק באנגלית להלן.

A password manager הוא אחסון מוצפן עבור אישורים, הגישה אליו באמצעות סיסמת אב (ובאופן אידיאלי גורם שני). המנהל מייצר סיסמאות אקראיות חזקות לפי דרישה, ממלא אותן בטפסי התחברות אוטומטית ושומר אותן מסונכרנות בין המכשירים שלך. הערימה כולה נשענת על הנחה אחת: סיסמת האב והמפתח הנגזר שלה נשארים סודיים.

הארכיטקטורה

כל מנהל סיסמאות מודרני משתמש באותה דפוס קריפטו:

  1. הסיסמה הראשית מופעלת באמצעות פונקציית גזירת מפתח איטית (PBKDF2, ארגון 2, או מפיק מאסטרקריפט). איטי בכוונה - מיליוני איטרציות - כדי לייקר ניחושים בכוח גס.
  2. המפתח הראשי מצפין מפתח הצפנה לכל כספת.
  3. מפתח ההצפנה עוטף ערכים בודדים עם AES-256-GCM או דומה דומה להצפנה vPLZ1Xciphertext44Xcipher. ו(עבור מנהלי ענן) מסונכרנים לשרת.

השרת לעולם לא רואה את סיסמת האב או את הכספת הלא-עטופה. זה נקרא "אפס ידע" - הספק לא יכול לפענח את הנתונים שלך גם אם הם רצו או נאלצו לעשות זאת. LastPass) — כספות מסתנכרנות דרך השרת של הספק. אתה מקבל גישה חוצת מכשירים, כספות משותפות למשפחות/צוותים ואפשרויות שחזור. אתה גם סומך על התשתית והקוד של הספק.

  • Local בלבד (KeePassXC, KeePass, Strongbox) — כספת היא קובץ במכשיר שלך. אתה מסנכרן אותו באופן ידני באמצעות Dropbox, Syncthing או מקל USB. שליטה מקסימלית, יותר חיכוך.
  • Browser מובנה (Chrome, Firefox, Safari, Edge) — סיסמאות מאוחסנות בדפדפן, מסונכרנות לענן של הספק (Google/Mozilla/Apple/Microsoft). נוֹחַ. פחות עשיר בתכונות; קשור לדפדפן אחד.

    • The LastPass שיעורים

    LastPass - פעם מנהל סיסמאות הענן הדומיננטי - ספג פרצה חמורה שנחשפה בשנת 2022. התוקף חלץ כספות מוצפנות יחד עם מטא נתונים כמו כתובות האתרים שכל ערך מכוסה. כספות מוצפנות נותרו מוצפנות, אך דליפת המטא נתונים עזרה לתוקפים לתעדף אילו כספות לתקוף במצב לא מקוון, וסיסמאות אב חלשות היו ניתנות לניחוש. הפרק קבע שלושה עקרונות עבור שאר התעשייה:

    • A סיסמת אב אקראית ארוכה ואינה ניתנת למשא ומתן.
    • מפתח ההצפנה של הכספת חייב להשתמש ב-KDF חזק עם ספירת איטרציות גבוהה. חשיפת מטא-נתונים היא נזק אמיתי.

    מה שהופך סיסמת מאסטר לחזקה

    Length מנצח את המורכבות. לביטוי סיסמה אקראי בן 5 מילים (בסגנון Diceware - "ספוג סיכות סוס נכון") יש יותר אנטרופיה מאשר "P@ssw0rd1!" והרבה יותר קל להקליד. שאפו לפחות 70 סיביות של אנטרופיה, התואמות בערך לארבע עד שש מילים אקראיות מתוך רשימה של 7,000 מילים, או 16 תווים אקראיים. השקעת האבטחה היחידה המועילה ביותר שמשתמש יכול לעשות היא החלפת סיסמת אב חלשה באחת חזקה.

    גורם שני במנהל עצמו

    כל מנהל סיסמאות מודרני תומך בהוספת גורם אימות שני לביטול הנעילה. השתמש בו. האפשרויות המאובטחות ביותר:

    • Hardware token (YubiKey, Solo, Titan) - חסינת דיוג. אפליקציית אימות
    • TOTP (Aegis, Raivo, משל 1Password). audit.

    SMS מבוסס 2FA על מנהל סיסמאות מקובל אבל האפשרות החלשה ביותר עקב התקפות חילופי SIM.

    מעבר מפתח הסיסמה

    Passkeys (אישורי FIDO2 המנוהלים על ידי מנהל מערכות הפעלה) או אתרי סיסמאות רבים המנוהלים בהדרגה עבור אתרי סיסמאות גבוהים. מנהלי סיסמאות מודרניים מאחסנים ומסנכרנים מפתחות סיסמא לצד סיסמאות. העתיד לטווח הבינוני: סיסמאות לאתרים מדור קודם, סיסמאות לאתרים חדשים, שניהם מנוהלים באותה כספת. סיסמת האב לא נעלמת; זה נשאר השורש של האמון.

    מצבי כשל נפוצים

    שלושת הדרכים שבהן משתמשי מנהל סיסמאות נפגעים:

    • phishing את סיסמת המאסטר. דף התחברות מזויף לוכד אותה. גורם שני עם אסימון חומרה מונע זאת לחלוטין.
    • תוכנה זדונית במכשיר. מכשיר מפתח לוכד את סיסמת האב תוך כדי הקלדתה. אין תיקון תוכנה בלבד; זו הסיבה שהיגיינת נקודות קצה חשובה אפילו עם מנהל סיסמאות.
    • Lבד את הגישה. שכחת סיסמת האב, אובדן המכשיר היחיד, לא מוגדרות אפשרויות שחזור. הגדר ערכת שחזור חירום מודפסת ואחסן אותה פיזית.

    מה שמנהל סיסמאות טוב עושה עבורך מעבר לאחסון

    • יוצר סיסמאות חזקות לכל אתר עם ערכת תווים שניתן להגדיר ואורךXPLZ19ZPLZ21XXXLZ עבור ערכיות קיימות. שימוש חוזר, סיסמאות חלשות והפרות ידועות (דרך ה-API של HaveIBeenPwned k-anonymity)
    • ממלא אישורים רק בדומיינים תואמים, מביס את רוב ניסיונות הדיוג כספת מוצפנת
    • מספק כספות משותפות למשפחות או קבוצות מבלי לחשוף סיסמאות בודדות

    אפילו שכבה חינמית של כל מנהל מכובד טובה באופן דרמטי משימוש חוזר בסיסמאות או כתיבתן במחברת.

    שאלות נפוצות

    האם זה בטוח לאחסן את כל הסיסמאות שלי במקום אחד?
    כן, אם המקום הזה הוא מנהל סיסמאות מעוצב כהלכה עם סיסמת אב חזקה ו-2FA מופעלת. הסיכון להפרת מנהל קטן בהרבה מהסיכון של שימוש חוזר בסיסמאות, וזה מה שכמעט כל התקפת מילוי אישורים מנצלת. המתמטיקה מעדיפה באופן גורף שימוש במנהל.
    מהו מנהל הסיסמאות הבטוח ביותר?
    בקרב מנהלי ענן, ל-1Password, Bitwarden ו-Proton Pass יש לכולם מוניטין חזק. עבור מקומי בלבד, KeePassXC הוא תקן הקוד הפתוח. מנהלים מובנים בדפדפן מאפל, גוגל ומוזילה הם גם אפשרויות סבירות - פחות עשירות בתכונות אבל מהונדסים היטב.
    מה אם אשכח את סיסמת האב שלי?
    ללא אפשרויות שחזור, אתה מאבד גישה לכל ערך. מנהלים בעלי מוניטין מציעים הורדות של ערכות חירום, שחזור חברתי או שחזור ביומטרי/מבוסס מכשיר. הגדר לפחות אחד לפני שאתה באמת צריך את זה. ללא התאוששות, ארכיטקטורת אפס הידע פירושה שאפילו הספק לא יכול לעזור לך.
    האם עלי לסמוך על מנהלי סיסמאות מובנים בדפדפן?
    הם טובים יותר משימוש חוזר. המגבלות העיקריות: אתה נעול לדפדפן אחד, האינטגרציה עם אפליקציות שאינן דפדפן גרועה, תכונות הביקורת חלשות יותר וסנכרון חוצה פלטפורמות תלוי בחשבון של ספק הדפדפן. עבור רוב המשתמשים המזדמנים, מנהל דפדפן מקובל; לכל מי שיש לו מודלים רציניים של איומים או חשבונות רבים, עדיף מנהל מסור.
    האם VPN יכול להחליף מנהל סיסמאות?
    לא - הם פותרים בעיות שונות. VPN מסתיר את זהות הרשת שלך מאתרים; מנהל סיסמאות מגן על זהות החשבון שלך באתרים. השתמש בשניהם. ספקי VPN מסוימים מאגדים מנהל סיסמאות (NordPass עם NordVPN, Proton Pass עם Proton VPN); החבילה נוחה אך גבולות הפרטיות בין המוצרים עדיין בלתי תלויים.
    מנהלי סיסמאות הסבירו: איך הם עובדים, למה חשובות סיסמאות מאסטר ואיזה דגם מתאים לך