Biztonságos az összes jelszavamat egy helyen tárolni?

Igen, ha ez a hely egy megfelelően megtervezett jelszókezelő erős fő jelszóval és a 2FA-val. A menedzser megsértésének kockázata sokkal kisebb, mint a jelszavak újrafelhasználásának kockázata, amit szinte minden hitelesítő adathalász támadás kihasznál. A matematika túlnyomórészt előnyben részesíti a menedzser használatát.

Melyik a legbiztonságosabb jelszókezelő?

A felhőkezelők közül az 1Password, a Bitwarden és a Proton Pass egyaránt jó hírnévvel rendelkezik. Csak helyi használatra a KeePassXC a nyílt forráskódú szabvány. Az Apple, a Google és a Mozilla böngészőbe épített kezelői szintén ésszerű választások – kevésbé gazdagok, de jól megtervezettek.

Mi van, ha elfelejtem a fő jelszavamat?

Helyreállítási lehetőségek nélkül elveszíti a hozzáférést minden bejegyzéshez. A jó hírű menedzserek vészhelyzeti csomagok letöltését, közösségi helyreállítást vagy biometrikus/eszközalapú helyreállítást kínálnak. Konfiguráljon legalább egyet, mielőtt valóban szüksége lenne rá. Helyreállítás nélkül a nulla tudású architektúra azt jelenti, hogy még a szolgáltató sem tud segíteni.

Megbízhatom a böngészőbe beépített jelszókezelőket?

Jobbak, mint újrafelhasználni. A fő korlátozások: egyetlen böngészőhöz van zárva, gyenge az integráció a nem böngésző alkalmazásokkal, gyengébbek az ellenőrzési funkciók, és a platformok közötti szinkronizálás a böngésző gyártójának fiókjától függ. A legtöbb alkalmi felhasználó számára elfogadható a böngészőkezelő; Mindenkinek, akinek komoly fenyegetési modellje van vagy sok fiókja van, jobb egy dedikált menedzser.

A VPN helyettesítheti a jelszókezelőt?

Nem – különböző problémákat oldanak meg. A VPN elrejti hálózati identitását a webhelyek elől; egy jelszókezelő védi fiókja azonosságát a webhelyeken. Használja mindkettőt. Egyes VPN-szolgáltatók egy jelszókezelőt kapcsolnak össze (NordPass a NordVPN-nel, Proton Pass Proton VPN-nel); a kötegelés kényelmes, de a termékek közötti adatvédelmi határok továbbra is függetlenek.

A jelszókezelők elmagyarázták: hogyan működnek, miért fontosak a főjelszavak, és melyik modell illik hozzád

A jelszókezelő felváltja a 200 egyedi erős jelszó megjegyezésének lehetetlen feladatát egy megjegyezhető feladattal. Nem az a döntés, hogy valamelyiket használjuk-e – ez már megoldott –, hanem az, hogy melyik architektúra felel meg a fenyegetési modellnek: felhőszinkronizált, csak helyi vagy böngészőbe beépített.

A cikk teljes szövege alább olvasható angol nyelven.

A Az password manager egy titkosított tároló a hitelesítő adatok számára, amelyhez egy fő jelszó (és ideális esetben egy második tényező) érhető el. A menedzser igény szerint erős véletlenszerű jelszavakat generál, automatikusan kitölti a bejelentkezési űrlapokba, és szinkronban tartja őket az eszközök között. Az egész verem egy feltételezésen nyugszik: a fő jelszó és a származtatott kulcsa titkos marad.

Az architektúra

Minden modern jelszókezelő ugyanazt a titkosítási mintát használja:

A mester jelszót lassú kulcs-levezetési funkción (PBKDF2, cryptings a master key)2, producing a kulcson keresztül futtatják. Szándékosan lassú – több millió iteráció –, hogy megdrágítsa a nyers erejű találgatást.
A mesterkulcs egy tárolónkénti titkosítási kulcsot titkosít.
A titkosítási kulcs az egyes bejegyzéseket AES-256-GCM-mel vagy hasonló hitelesített titkosítással burkolja.XPLZ pherd14XXPLX helyileg és (felhőkezelők esetén) egy szerverrel szinkronizálva.

A szerver soha nem látja a fő jelszót vagy a kicsomagolt tárolót. Ezt "nulla tudásnak" nevezik – a szolgáltató akkor sem tudja visszafejteni az Ön adatait, ha akarná vagy kénytelen lenne.

Cloud vs local vs browser

A három architektúra:

1felhő-szinkronizált,da LastPass) – a trezorok szinkronizálása a szolgáltató szerverén keresztül történik. Eszközök közötti hozzáférést, megosztott trezorokat családok/csapatok számára, valamint helyreállítási lehetőségeket kap. Bízol a szolgáltató infrastruktúrájában és kódjában is.
Csak helyi (KeePassXC, KeePass, Strongbox) – a vault egy fájl az eszközén. Manuálisan szinkronizálhatja a Dropboxon, a Syncthingen vagy az USB pendrive-on keresztül. Maximális vezérlés, nagyobb súrlódás.
Böngésző beépített (Chrome, Firefox, Safari, Edge) — a jelszavakat a böngésző tárolja, szinkronizálva a gyártó felhőjével (Google/Mozilla/Apple/Microsoft). Kényelmes. Kevésbé funkciókban gazdag; egy böngészőhöz kötve.

A LastPass leckék

LastPass – egykor a domináns felhőjelszó-kezelő – súlyos jogsértést szenvedett, amelyet 2022-ben hoztak nyilvánosságra. A támadó kiszivárogtatta a titkosított tárolókat, valamint metaadatokat, például az egyes bejegyzések URL-jeit. A titkosított tárolók titkosítva maradtak, de a metaadat-szivárgás segített a támadóknak abban, hogy prioritást állítsanak fel, mely tárolókat támadják offline állapotban, és a gyenge főjelszavak is sejthetőek voltak. Az epizód három alapelvet határozott meg az iparág többi része számára:

A hosszú, véletlenszerű fő jelszó nem megtárgyalható.
A trezor titkosítási kulcsának erős KDF-et kell használnia, magas iterációs számmal.
Even bcryptaches-vault; a metaadatok expozíciója valódi kárt okoz.

Mitől lesz erős a mesterjelszó

A hosszúság felülmúlja a bonyolultságot. Egy 5 szavas véletlenszerű jelmondat (Diceware-stílusú – "helyes lóelem kapcsos szivacs") nagyobb entrópiával rendelkezik, mint a "P@ssw0rd1!" és sokkal könnyebb gépelni. Törekedjen legalább 70 bites entrópia elérésére, ami nagyjából négy-hat véletlenszerű szónak felel meg egy 7000 szavas listából, vagy 16 véletlenszerű karakternek. A felhasználó által megtehető leghasznosabb biztonsági befektetés az, ha egy gyenge fő jelszót erősre cserél.

Második tényező magán a kezelőn

Minden modern jelszókezelő támogatja egy második hitelesítési tényező hozzáadását a feloldáshoz. Használd. A legbiztonságosabb opciók:

Hardver token (YubiKey, Solo, Titan) – adathalászat-biztos.
TOTP hitelesítő alkalmazás (Aegis, Raivo, 1Password saját).
Push-értesítésekkel kényelmesen. audit.

SMS-alapú 2FA jelszókezelőn elfogadható, de a SIM-csere támadások miatt a leggyengébb lehetőség.

A jelszó áttérés

Jelszókulcsok (az operációs rendszer által kezelt FIDO2 hitelesítő adatok) sok helyszinten vagy egy jelszókezelőn keresztül fokozatosan cserélik a jelszót. A modern jelszókezelők a jelszavak mellett tárolják és szinkronizálják a jelszavakat. Középtávú jövő: jelszavak a régi webhelyekhez, jelszó az újakhoz, mindkettőt ugyanabban a tárolóban kezelik. A fő jelszó nem tűnik el; továbbra is a bizalom gyökere.

Gyakori hibamódok

A jelszókezelő felhasználók háromféle módon kerülhetnek veszélybe:

A fő jelszó adathalászata. Egy hamis bejelentkezési oldal rögzíti. A hardver-token második tényező ezt teljesen megakadályozza.
Rosszindulatú program az eszközön. A keylogger rögzíti a fő jelszót a beírás közben. Nincs csak szoftveres javítás; ezért számít a végpont-higiénia még jelszókezelővel is.
A hozzáférés elvesztése. A fő jelszó elfelejtése, az egyetlen eszköz elvesztése, nincs konfigurálva helyreállítási lehetőség. Hozzon létre egy nyomtatott vészhelyzeti helyreállítási készletet, és tárolja fizikailag.

Mit tesz a jó jelszókezelő a tároláson túl gyenge jelszavak és ismert jogsértések (a HaveIBeenPwned k-anonymity API-n keresztül)
Csak egyező tartományokon tölti ki a hitelesítő adatokat, legyőzi a legtöbb adathalász kísérletet
Titkosítja vault
Megosztott trezorokat biztosít családok vagy csapatok számára egyéni jelszavak felfedése nélkül
Még egy jó hírű menedzser ingyenes szintje is sokkal jobb, mint a jelszavak újrafelhasználása vagy a jegyzetfüzetbe írása.

Gyakran ismételt kérdések

Biztonságos az összes jelszavamat egy helyen tárolni?: Igen, ha ez a hely egy megfelelően megtervezett jelszókezelő erős fő jelszóval és a 2FA-val. A menedzser megsértésének kockázata sokkal kisebb, mint a jelszavak újrafelhasználásának kockázata, amit szinte minden hitelesítő adathalász támadás kihasznál. A matematika túlnyomórészt előnyben részesíti a menedzser használatát.
Melyik a legbiztonságosabb jelszókezelő?: A felhőkezelők közül az 1Password, a Bitwarden és a Proton Pass egyaránt jó hírnévvel rendelkezik. Csak helyi használatra a KeePassXC a nyílt forráskódú szabvány. Az Apple, a Google és a Mozilla böngészőbe épített kezelői szintén ésszerű választások – kevésbé gazdagok, de jól megtervezettek.
Mi van, ha elfelejtem a fő jelszavamat?: Helyreállítási lehetőségek nélkül elveszíti a hozzáférést minden bejegyzéshez. A jó hírű menedzserek vészhelyzeti csomagok letöltését, közösségi helyreállítást vagy biometrikus/eszközalapú helyreállítást kínálnak. Konfiguráljon legalább egyet, mielőtt valóban szüksége lenne rá. Helyreállítás nélkül a nulla tudású architektúra azt jelenti, hogy még a szolgáltató sem tud segíteni.
Megbízhatom a böngészőbe beépített jelszókezelőket?: Jobbak, mint újrafelhasználni. A fő korlátozások: egyetlen böngészőhöz van zárva, gyenge az integráció a nem böngésző alkalmazásokkal, gyengébbek az ellenőrzési funkciók, és a platformok közötti szinkronizálás a böngésző gyártójának fiókjától függ. A legtöbb alkalmi felhasználó számára elfogadható a böngészőkezelő; Mindenkinek, akinek komoly fenyegetési modellje van vagy sok fiókja van, jobb egy dedikált menedzser.
A VPN helyettesítheti a jelszókezelőt?: Nem – különböző problémákat oldanak meg. A VPN elrejti hálózati identitását a webhelyek elől; egy jelszókezelő védi fiókja azonosságát a webhelyeken. Használja mindkettőt. Egyes VPN-szolgáltatók egy jelszókezelőt kapcsolnak össze (NordPass a NordVPN-nel, Proton Pass Proton VPN-nel); a kötegelés kényelmes, de a termékek közötti adatvédelmi határok továbbra is függetlenek.