Tüm şifrelerimi tek bir yerde saklamak güvenli mi?

Evet, eğer bu yer güçlü bir ana şifreye sahip ve 2FA'nın etkin olduğu, uygun şekilde tasarlanmış bir şifre yöneticisiyse. Yönetici ihlali riski, neredeyse her kimlik bilgisi doldurma saldırısında yararlanılan parolanın yeniden kullanılması riskinden çok daha küçüktür. Matematik ezici bir çoğunlukla bir yönetici kullanmayı tercih ediyor.

En güvenli şifre yöneticisi nedir?

Bulut yöneticileri arasında 1Password, Bitwarden ve Proton Pass güçlü bir itibara sahiptir. Yalnızca yerel için KeePassXC açık kaynak standardıdır. Apple, Google ve Mozilla'nın yerleşik tarayıcı yöneticileri de makul seçimlerdir; daha az özellik açısından zengindir ancak iyi tasarlanmışlardır.

Ana şifremi unutursam ne olur?

Kurtarma seçenekleri olmazsa her girişe erişimi kaybedersiniz. Saygın yöneticiler acil durum kiti indirmeleri, sosyal kurtarma veya biyometrik/cihaz tabanlı kurtarma sunar. Gerçekten ihtiyacınız olmadan önce en az birini yapılandırın. Kurtarma olmadan sıfır bilgi mimarisi, sağlayıcının bile size yardım edemeyeceği anlamına gelir.

Tarayıcının yerleşik şifre yöneticilerine güvenmeli miyim?

Yeniden kullanmaktan daha iyidirler. Ana sınırlamalar: tek bir tarayıcıya bağlısınız, tarayıcı dışı uygulamalarla entegrasyon zayıf, denetim özellikleri daha zayıf ve platformlar arası senkronizasyon tarayıcı satıcısının hesabına bağlı. Çoğu sıradan kullanıcı için bir tarayıcı yöneticisi kabul edilebilir; Ciddi tehdit modelleri veya çok sayıda hesabı olan herkes için özel bir yönetici daha iyidir.

Bir VPN şifre yöneticisinin yerini alabilir mi?

Hayır; farklı sorunları çözüyorlar. VPN, ağ kimliğinizi sitelerden gizler; bir şifre yöneticisi sitelerdeki hesap kimliğinizi korur. Her ikisini de kullanın. Bazı VPN sağlayıcıları bir şifre yöneticisini bir araya getirir (NordVPN ile NordPass, Proton VPN ile Proton Pass); Paketleme uygundur ancak ürünler arasındaki gizlilik sınırları hâlâ bağımsızdır.

Şifre Yöneticileri Açıklanıyor: Nasıl Çalışırlar, Ana Şifreler Neden Önemlidir ve Hangi Model Size Uygundur?

Bir parola yöneticisi, 200 benzersiz güçlü parolayı hatırlama gibi imkansız bir görevi, gerçekleştirilebilir bir parolayı hatırlama göreviyle değiştirir. Karar, bunlardan birini kullanıp kullanmayacağınız değil (bu zaten belli), hangi mimarinin tehdit modelinize uygun olduğudur: bulutla senkronize edilmiş, yalnızca yerel veya yerleşik tarayıcı.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

A parola yöneticisi, bir ana parolayla (ve ideal olarak ikinci bir faktörle) erişilen, kimlik bilgileri için şifrelenmiş bir depolama alanıdır. Yönetici, isteğe bağlı olarak güçlü rastgele parolalar oluşturur, bunları oturum açma formlarına otomatik olarak doldurur ve bunları cihazlarınız arasında senkronize halde tutar. Tüm yığın tek bir varsayıma dayanır: ana parola ve ondan türetilen anahtar gizli kalır.

Mimari

Her modern parola yöneticisi aynı şifreleme modelini kullanır:

Ana parola, bir ana anahtar üreten yavaş bir anahtar türetme işlevi (PBKDF2, Argon2 veya scrypt) aracılığıyla çalıştırılır. Kaba kuvvet tahminini pahalı hale getirmek için özellikle yavaş - milyonlarca yineleme.
Ana anahtar, kasa başına şifreleme anahtarını şifreler.
Şifreleme anahtarı, bireysel girişleri AES-256-GCM veya benzeri kimlik doğrulamalı şifrelemeyle sarar.
Kasa şifre metni yerel olarak depolanır ve (bulut yöneticileri için) bir sunucuyla senkronize edilir. server.

Sunucu hiçbir zaman ana parolayı veya sarılmamış kasayı görmez. Buna "sıfır bilgi" denir; sağlayıcı istese veya mecbur kalsa bile verilerinizin şifresini çözemez.

Bulut vs yerel vs tarayıcı

Üç mimari:

Bulutla senkronize edilmiş (1Password, Bitwarden, Dashlane, LastPass) — sağlayıcının sunucusu aracılığıyla kasalar senkronize edilir. Cihazlar arası erişime, aileler/ekipler için paylaşılan kasalara ve kurtarma seçeneklerine sahip olursunuz. Ayrıca sağlayıcının altyapısına ve koduna da güvenirsiniz.
LYalnızca yerel (KeePassXC, KeePass, Strongbox) — kasa, cihazınızdaki bir dosyadır. Dropbox, Syncthing veya USB stick aracılığıyla manuel olarak senkronize edersiniz. Maksimum kontrol, daha fazla sürtünme.
Yerleşik tarayıcı (Chrome, Firefox, Safari, Edge) — şifreler tarayıcıda saklanır ve satıcının bulutuyla (Google/Mozilla/Apple/Microsoft) senkronize edilir. Uygun. Daha az özellik açısından zengin; tek bir tarayıcıya bağlı.

LastPass dersleri

LastPass - bir zamanlar baskın bulut şifre yöneticisi - 2022'de açıklanan ciddi bir ihlale maruz kaldı. Saldırgan, her girişin kapsadığı URL'ler gibi meta verilerle birlikte şifrelenmiş kasalara sızdı. Şifrelenmiş kasalar şifreli kalmaya devam etti ancak meta veri sızıntısı, saldırganların çevrimdışı olarak hangi kasalara saldıracaklarına öncelik vermelerine yardımcı oldu ve zayıf ana şifreler tahmin edilebilir hale geldi. Bu bölüm, sektörün geri kalanı için üç ilke oluşturdu:

Uzun, rastgele bir ana parola tartışılamaz.
Kasa şifreleme anahtarı, yüksek yineleme sayılarına sahip güçlü bir KDF kullanmalıdır.
Şifrelenmiş kasa ihlalleri bile önemlidir; meta verilerin açığa çıkması gerçekten zararlıdır.

Bir ana şifreyi güçlü kılan şey

Luzunluk, karmaşıklığı yener. 5 kelimelik rastgele bir parola (Diceware tarzı — "doğru at pili zımba süngeri") "P@ssw0rd1!"den daha fazla entropiye sahiptir. ve yazılması çok daha kolaydır. En az 70 bit entropi hedefleyin; bu, 7.000 kelimelik bir listeden kabaca dört ila altı rastgele kelimeye veya 16 rastgele karaktere karşılık gelir. Bir kullanıcının yapabileceği en faydalı güvenlik yatırımı, zayıf bir ana parolayı güçlü bir parolayla değiştirmektir.

Yöneticinin kendisiyle ilgili ikinci faktör

Her modern parola yöneticisi, kilidi açmak için ikinci bir kimlik doğrulama faktörünün eklenmesini destekler. Kullan onu. En güvenli seçenekler:

Donanım belirteci (YubiKey, Solo, Titan) — kimlik avına karşı korumalı.
TOTP kimlik doğrulayıcı uygulaması (Aegis, Raivo, 1Password'e aittir).
Bir kimlik doğrulayıcı uygulaması aracılığıyla bildirimleri anında iletin — kullanışlı ancak kullanımı daha zor denetim.

SMS tabanlı bir parola yöneticisinde 2FA kabul edilebilir ancak SIM takas saldırıları nedeniyle en zayıf seçenektir.

Geçiş anahtarı geçişi

Passkey'ler (İşletim sistemi veya parola yöneticisi tarafından yönetilen FIDO2 kimlik bilgileri), trafiğin yoğun olduğu birçok site için yavaş yavaş parolaların yerini alıyor. Modern şifre yöneticileri, şifrelerin yanı sıra şifre anahtarlarını da saklar ve senkronize eder. Orta vadeli gelecek: eski siteler için şifreler, yeni siteler için geçiş anahtarları, her ikisi de aynı kasada yönetiliyor. Ana parola kaybolmuyor; güvenin kökü olmaya devam ediyor.

Yaygın hata modları

Parola yöneticisi kullanıcılarının güvenliğinin ihlal edilmesinin üç yolu:

Ana parolanın kimlik avı yapılması. Sahte bir oturum açma sayfası bu parolayı yakalar. Donanım belirteci ikinci faktörü bunu tamamen engeller.
Cihazdaki kötü amaçlı yazılım. Bir keylogger, siz yazarken ana şifreyi yakalar. Yalnızca yazılımla ilgili bir düzeltme yoktur; uç nokta hijyeninin şifre yöneticisiyle bile önemli olmasının nedeni budur.
Lerişimi kaybetme. Ana şifreyi unutma, tek cihazı kaybetme, yapılandırılmış kurtarma seçeneği yok. Basılı bir acil durum kurtarma kiti oluşturun ve fiziksel olarak saklayın.

İyi bir şifre yöneticisi depolamanın ötesinde sizin için ne yapar?

Yapılandırılabilir karakter seti ve uzunluğuyla site başına güçlü şifreler oluşturur
Mevcut girişleri yeniden kullanım, zayıf şifreler, ve bilinen ihlaller (HaveIBeenPwned k-anonimlik API'si aracılığıyla)
Kimlik bilgilerini yalnızca eşleşen alanlarda doldurur, kimlik avı girişimlerinin çoğunu yener
Güvenli notları, ödeme kartlarını ve kimlik belgelerini aynı şifreli kasada saklar
Sağlar bireysel şifreleri açığa çıkarmadan aileler veya ekipler için paylaşılan kasalar

Saygın bir yöneticinin ücretsiz katmanı bile şifreleri yeniden kullanmaktan veya not defterine yazmaktan çok daha iyidir.

Sık sorulan sorular

Tüm şifrelerimi tek bir yerde saklamak güvenli mi?: Evet, eğer bu yer güçlü bir ana şifreye sahip ve 2FA'nın etkin olduğu, uygun şekilde tasarlanmış bir şifre yöneticisiyse. Yönetici ihlali riski, neredeyse her kimlik bilgisi doldurma saldırısında yararlanılan parolanın yeniden kullanılması riskinden çok daha küçüktür. Matematik ezici bir çoğunlukla bir yönetici kullanmayı tercih ediyor.
En güvenli şifre yöneticisi nedir?: Bulut yöneticileri arasında 1Password, Bitwarden ve Proton Pass güçlü bir itibara sahiptir. Yalnızca yerel için KeePassXC açık kaynak standardıdır. Apple, Google ve Mozilla'nın yerleşik tarayıcı yöneticileri de makul seçimlerdir; daha az özellik açısından zengindir ancak iyi tasarlanmışlardır.
Ana şifremi unutursam ne olur?: Kurtarma seçenekleri olmazsa her girişe erişimi kaybedersiniz. Saygın yöneticiler acil durum kiti indirmeleri, sosyal kurtarma veya biyometrik/cihaz tabanlı kurtarma sunar. Gerçekten ihtiyacınız olmadan önce en az birini yapılandırın. Kurtarma olmadan sıfır bilgi mimarisi, sağlayıcının bile size yardım edemeyeceği anlamına gelir.
Tarayıcının yerleşik şifre yöneticilerine güvenmeli miyim?: Yeniden kullanmaktan daha iyidirler. Ana sınırlamalar: tek bir tarayıcıya bağlısınız, tarayıcı dışı uygulamalarla entegrasyon zayıf, denetim özellikleri daha zayıf ve platformlar arası senkronizasyon tarayıcı satıcısının hesabına bağlı. Çoğu sıradan kullanıcı için bir tarayıcı yöneticisi kabul edilebilir; Ciddi tehdit modelleri veya çok sayıda hesabı olan herkes için özel bir yönetici daha iyidir.
Bir VPN şifre yöneticisinin yerini alabilir mi?: Hayır; farklı sorunları çözüyorlar. VPN, ağ kimliğinizi sitelerden gizler; bir şifre yöneticisi sitelerdeki hesap kimliğinizi korur. Her ikisini de kullanın. Bazı VPN sağlayıcıları bir şifre yöneticisini bir araya getirir (NordVPN ile NordPass, Proton VPN ile Proton Pass); Paketleme uygundur ancak ürünler arasındaki gizlilik sınırları hâlâ bağımsızdır.