it-swarm-id.com

Pengelola kata sandi vs. mengingat kata sandi

Saya selalu berpikir bahwa Anda tidak seharusnya menggunakan manajer kata sandi tetapi untuk menyimpan kata sandi Anda di kepala Anda, tetapi belakangan ini saya telah memikirkan tentang pro dan kontra dari memiliki manajer kata sandi.

Beberapa area mungkin: panjang kata sandi, pencegahan pencatat kunci, entropi antara kata sandi, aksesibilitas.

(Saya tidak menanyakan cara membuat kata sandi yang keras tapi mudah diingat! Ini mungkin menjadi bagian dari solusi tetapi tidak seluruh pertanyaan.)

Akhirnya, apakah ada cara menggabungkan mereka: tetap setengah di manajer dan mengetik yang lain, untuk menghindari penebang kunci.

50
KilledKenny

Saya menulis tahun lalu tentang pro dan kontra dari pengelola kata sandi:

Kelebihan:

  • Keseimbangan kenyamanan dan keamanan yang hebat - orang cenderung memilih kata sandi sederhana dan menggunakan kembali kata sandi yang sama (atau basis) karena ada begitu banyak kata sandi dan Anda harus sering memasukkannya. Dengan 1Password atau Lastpass Anda dapat menghasilkan kata sandi yang benar-benar kuat (setidaknya untuk akun penting Anda) tetapi masih memiliki kemudahan untuk mengisinya secara otomatis atau setidaknya tersedia di telepon Anda. Manfaat nyata juga dalam hal-hal seperti pertanyaan rahasia, ini biasanya merupakan titik lemah di mana kata sandi yang sangat kuat memiliki kamus 5 huruf Word sebagai jawaban pertanyaan rahasia. Anda sekarang dapat menghasilkan jawaban pertanyaan rahasia yang kuat juga

  • Portabilitas - masalah dengan menggunakan browser Anda menyimpan fungsi kata sandi adalah bahwa kecuali jika Anda menggabungkannya dengan sesuatu seperti Google atau Firefox sinkronisasi itu tidak portabel. Bahkan saat itu tidak tersedia di ponsel Anda (setidaknya bukan iPhone, tidak yakin apakah browser Android memiliki Google sync)

  • Penyimpanan aman - informasi sensitif Anda dienkripsi dalam penyimpanan dan dilindungi oleh kata sandi utama. Ini jauh lebih baik daripada hanya menulisnya di suatu tempat atau menyimpannya dalam catatan atau spreadsheet yang tidak dienkripsi

  • Bukan hanya untuk kata sandi - Anda dapat menyimpan detail bank, nomor asuransi, kartu kredit, nomor paspor, dll yang dapat menghemat waktu Anda memasukkan rincian ini dan memberi Anda akses aman ke detail saat bepergian. Anda juga dapat menyimpan file seperti pindaian dokumen Anda atau kunci pribadi Anda

  • Tingkatkan ingatan Anda - di situs yang jarang saya gunakan, dan situs pemerintah dengan nama pengguna yang rumit itu saya tidak pernah bisa mengingat detail ini. Luncurkan iPhone, 1Password, dan semuanya dengan mudah dengan pencarian

  • Orang-orang juga menambahkan anti-phishing/anti-malware ke daftar ini tetapi saya tidak setuju dengannya. Anda masih harus memasukkan kata sandi utama yang bisa ditangkap oleh malware, jika Anda memilikinya di ponsel dan memasukkan kata sandi lagi, itu bisa ditangkap. Jika Anda meluncurkan situs web dari alat ini, saya rasa itu bisa anti-phishing, tetapi itu sama dengan mengetiknya secara langsung atau menggunakan bookmark Anda

Kekurangan:

  • Satu titik kegagalan, kunci kerajaan - jika Anda menyinkronkan gantungan kunci ke telepon atau memilikinya di desktop atau laptop, beberapa orang bisa mendapatkan akses ke sana. Jika kata sandi master Anda lemah maka Anda kehilangan segalanya dalam sekali jalan. Sejauh yang saya ketahui, 1Password tidak menawarkan opsi otentikasi dua faktor berbasis perangkat keras untuk kata sandi utama yang akan mengurangi risiko ini secara signifikan. Lastpass memang menawarkan penggunaan yubikey sebagai mekanisme dua faktor, tetapi karena Lastpass memiliki aplikasi web, itu dapat menderita dari kerentanan aplikasi web (mis. XSS) yang dapat meninggalkan detail akun Anda dan kemungkinan terburuknya password terekspos.

  • Syarat dan ketentuan - secara teknis masih 'menulis kata sandi'. Ini mungkin bertentangan dengan syarat dan ketentuan pada hal-hal seperti situs Internet Banking Anda. Ini dapat mengurangi atau menghapus perlindungan yang Anda dapatkan jika terjadi penipuan. Anda selalu dapat memeriksa ini dan tidak menyimpan kata sandi untuk situs-situs ini

  • Percaya pada cloud - ini seharusnya dienkripsi dalam penyimpanan tetapi jika Anda melakukan sinkronisasi data beberapa orang tidak akan pernah percaya bahwa 1Password atau Lastpass tidak memiliki pintu belakang, berpotensi memungkinkan akses karyawan yang berbahaya atau tidak puas. Semua perangkat lunak memiliki kerentanan, sekali lagi yang serius dapat memungkinkan penyerang mengakses data Anda

Pilihan lain adalah menggunakan brankas kata sandi yang disimpan dalam perangkat yang dienkripsi perangkat keras seperti Ironkey. Versi datang dengan pengelola kata sandi yang dimasukkan. Ini sedikit kurang nyaman karena Anda harus melampirkannya ke drive USB dan telah membaca akses ke ini tetapi jelas lebih aman. Ini mengurangi beberapa risiko yang disorot di atas, itu adalah perangkat keras yang dienkripsi dan hanya disimpan di perangkat Anda. Juga jika Ironkey Anda ada di gantungan kunci fisik Anda, kemungkinan besar Anda tidak akan kehilangan itu daripada ponsel atau laptop Anda. Anda juga dapat menghancurkannya dari jarak jauh jika Anda berhasil kehilangannya.

Untuk perusakan jarak jauh online, Anda memerlukan versi kunci perusahaan. Penghancuran jarak jauh adalah fitur di konsol manajemen. Ketika kunci sudah terpasang di dalamnya, itu telepon rumah. Jika penghancuran telah diaktifkan, pada tahap itu menjadi tidak dapat digunakan dan semua data hilang secara efektif (percaya dengan menghancurkan kunci dekripsi). Ada juga mode offline (mirip dengan iPhone), di mana Anda dapat mengaturnya ke penghancuran otomatis setelah 10 upaya master password gagal.

Kesimpulan

Secara keseluruhan saya percaya pro lebih besar daripada yang kontra. Jika Anda tidak memiliki pilihan untuk otentikasi dua faktor, maka memiliki kata sandi yang kuat adalah satu-satunya pertahanan Anda. Menggunakan brankas kata sandi membuat ini jauh lebih praktis dan nyaman.

Tidak ada alasan mengapa Anda tidak dapat menyimpan setengah kata sandi di pengelola kata sandi dan mengingat sisanya, itu akan membuat lebih sulit bagi seorang pencatat kunci untuk mendapatkan kata sandi Anda, namun pertukaran untuk kegunaan mungkin tidak sepadan. Pilihan yang lebih baik mungkin menggunakan dua faktor untuk informasi Anda yang benar-benar sensitif dan manajer kata sandi untuk yang lain

46
Rakkhi

Jika seseorang telah melakukan rooting pada kotak Anda, maka saya pikir mereka dapat memperoleh kata sandi Anda dari kedua metode tersebut tanpa terlalu banyak usaha. Mereka akan bisa mendapatkan file kata sandi Anda untuk pengelola kata sandi dan kata sandi untuk file itu melalui keylogger. Jika Anda hanya menggunakan kata sandi yang diingat, mereka akan mengumpulkan kata sandi Anda seiring waktu saat Anda memasukkannya.

Jika seseorang memiliki akses fisik ke mesin Anda untuk menginstal dan mengambil keylogger, maka mereka dapat masuk ke mesin Anda jika mereka memiliki akses fisik untuk waktu yang signifikan. Jika mereka tidak punya cukup waktu untuk itu, maka Anda akan lebih aman dengan pengelola kata sandi karena mereka tidak memiliki file kata sandi Anda (hanya kata sandi untuk itu). Jika mereka punya waktu untuk mendapatkan akses root ke kotak Anda dan mengaktifkan akses jarak jauh untuk digunakan di waktu luang mereka, maka Anda berada di posisi yang sama seperti pada paragraf pertama.

Ketika Anda memikirkannya seperti ini, ada sangat sedikit jika ada yang menghafal manajer kata sandi. Dan bahwa Anda dan kata sandi Anda disembunyikan jika seseorang jahat memiliki akses fisik OR dapat me-root komputer Anda dari jarak jauh. Mencegah dua serangan ini adalah kuncinya.

Pertama-tama Anda membutuhkan keamanan fisik yang baik untuk mencegah serangan fisik. Maka Anda perlu mencegah serangan jarak jauh - menerapkan keamanan perimeter jaringan yang baik, mengaktifkan layanan minimum dan memiliki praktik keamanan yang baik untuk yang tidak memiliki pilihan lain selain mengaktifkan. Dan juga praktikkan kebiasaan menjelajah yang aman, perbarui mesin Anda secara berkala, dll. Yaitu langkah-langkah pencegahan yang mencegah Anda berakar di tempat pertama. Dan Anda perlu memiliki cadangan jika Anda mendapatkan root. Jika Anda mendapatkan root, maka Anda harus berasumsi bahwa Anda perlu mengubah setiap kata sandi apakah Anda menggunakan pengelola kata sandi atau tidak.

Tentang satu-satunya hal yang menghafal Anda IMO mungkin sedikit waktu sebelum seseorang mencatat kata sandi penting Anda. Anda banyak berkorban untuk ini. Penghafalan tidak dapat diskalakan. Semakin banyak situs yang Anda gunakan (dan ketika web meresapi kehidupan kita, kebutuhan akan lebih banyak nama pengguna dan kata sandi tumbuh), semakin banyak hal yang Anda butuhkan untuk kata sandi. Dan mereka semakin diuntungkan dengan menjadi kuat. Untuk membuatnya kuat membutuhkan banyak upaya di pihak pengguna, bersama dengan membuat menghafal sulit. Atau jika Anda menuliskannya di selembar kertas, Anda memiliki masalah yang sama dengan pengelola kata sandi, kecuali bahwa lebih sulit untuk membuat cadangan dan menyinkronkan, lebih mencolok, lebih mudah salah tempat, dalam teks biasa, dll. Dan Anda harus mengetiknya sepanjang waktu, daripada menyalin dan menempel.

Setidaknya menggunakan pengelola kata sandi memberi Anda kemampuan untuk memiliki kata sandi yang sangat kuat dan berbeda untuk setiap situs di internet yang Anda gunakan (yang mungkin banyak). Dan juga kemampuan untuk dengan mudah mengingat nama pengguna yang berbeda, bersama dengan catatan tentang situs tertentu. Jika Anda menghafal kata sandi yang kuat kepada manajer kata sandi Anda, mereka harus bisa mendapatkan penekanan tombol Anda entah bagaimana memanfaatkan file Anda, atau mereka membutuhkan file Anda untuk menggunakan penekanan tombol Anda.

7
user1971

Banyak hal berubah dalam 10 tahun. Jadi hampir semua jawaban sudah ketinggalan zaman di posting sebelumnya. Dalam beberapa tahun terakhir ini, saya pasti menggunakan manajer kunci alih-alih mengingat kunci untuk layanan online. Tetapi simpan rahasia lokal di tempat/cara yang terpisah. Ada 2 arah utama yang bisa dijadikan rahasia Anda.

  1. Dari internet. Itu berarti layanan online yang Anda gunakan telah diretas atau dipaksa untuk mengungkapkan pass Anda.
  2. Sistem lokal Anda telah disusupi: malware, pencurian fisik, perampokan ...

Sulit untuk mengatakan arah mana yang lebih berisiko saat ini secara umum. Tapi saya harus mengatakan risiko ke-2 jauh lebih sedikit untuk pengguna yang bertanggung jawab. Pengguna yang bertanggung jawab tidak akan melakukan:

  1. menyimpan rahasia di perangkat apa pun sebagai plaintext.
  2. biarkan orang lain menggunakan akun Anda sendiri.
  3. lupa menyimpan cadangan rahasia Anda dengan cara terenkripsi.
  4. gunakan kata sandi yang sama selama lebih dari 3 bulan
  5. nonaktifkan firewall dan perangkat lunak antimalware Anda untuk kenyamanan
  6. lupa untuk memutakhirkan patch keamanan untuk sistem Anda ...

Jika beberapa perangkat telah diperoleh oleh pelaku. Mereka masih tidak dapat membuka kunci apa pun dalam waktu singkat (beberapa tahun) karena mereka tidak memiliki kunci utama Anda. Jadi setelah ini, pengguna yang bertanggung jawab hanya akan mengubah kata sandi ASAP (dalam beberapa hari). Kemudian semuanya kembali normal. Orang akan bertanya, bagaimana jika kita dipaksa untuk melepaskan kartu pas? Nah, dalam hal ini, bagaimanapun juga kita kacau. Mereka bahkan dapat memaksa Anda untuk mentransfer aset Anda secara langsung tanpa repot-repot menekan Anda untuk mendapatkan kata sandi. Jika Anda merasa bahwa Anda selalu berada dalam risiko itu, hanya ada satu hal yang mungkin Anda temukan membantu: menggunakan enkripsi yang dapat ditolak secara masuk akal.

Di sisi lain, risiko pertama bukanlah yang berada di bawah kendali kami. Dan ini banyak terjadi dalam beberapa tahun terakhir. Anda tidak dapat benar-benar menghindari ini. Satu-satunya hal yang bisa kita lakukan adalah meminimalkan kerusakan. Secara teori, tidak ada yang bisa mengingat lebih dari lusinan kata sandi dan terus mengubahnya setiap beberapa bulan. Jadi, jika kami tidak menggunakan pengelola kata sandi, kemungkinan besar Anda harus membagikan frasa sandi serupa di berbagai layanan. Ini memberi para pelaku peluang untuk dengan mudah masuk ke akun Anda yang lain setelah berhasil menyerang satu layanan. Karena itu risikonya di sini sangat tinggi. Dengan menggunakan pengelola kata sandi, Anda dapat membuat karakter acak untuk kata sandi setiap beberapa minggu. Bahkan Anda tidak akan bisa menebak kata sandi Anda. Jadi kami membatasi yang hilang hanya dalam satu akun. @Rakkhi khawatir tentang beberapa salinan gantungan kunci pada perangkat yang berbeda dapat membahayakan segalanya setelah diakses secara fisik. Risiko ini sangat rendah dalam beberapa tahun terakhir, karena kami telah disebutkan dalam arah serangan ke-2. Selain itu, Anda bahkan tidak perlu lagi menyimpan gantungan kunci di perangkat lain. Dalam situasi ide, Anda hanya menyimpan pengelola kata sandi di PC master Anda di lokasi yang aman. Semua perangkat lain dapat menggunakan pass aplikasi/perangkat yang disediakan oleh penyedia layanan Anda. Kata sandi aplikasi adalah frasa sandi acak yang dibuat oleh penyedia layanan Anda seperti MS, google, facebook, dll. Kata sandi aplikasi ini disimpan di perangkat Anda yang dienkripsi oleh mekanisme buka kunci/kunci perangkat Anda. Biasanya setiap perangkat akan memiliki set kata sandi aplikasi acak yang berbeda. Anda dapat mencabut kata sandi tersebut dari halaman web penyedia layanan Anda. Jadi, bahkan seseorang yang berhasil masuk ke satu perangkat seluler Anda, mereka mungkin mendapatkan akses selama beberapa menit, tetapi Anda dapat menonaktifkan akses perangkat itu ke akun Anda SECEPATNYA. Jika Anda mengatur enkripsi perangkat Anda seperti sidik jari atau gambar dengan benar, mereka bahkan tidak akan dapat mengakses data Anda dalam jangka panjang seperti yang kami sebutkan dalam risiko ke-2.

Jadi kesimpulannya adalah: Anda harus menggunakan kata sandi pengelola pada perangkat master, mengatur kata sandi aplikasi untuk perangkat lain dan menjadi pengguna yang bertanggung jawab.

1
Wang

Rakkhi membuat presentasi yang sangat baik tentang pro dan kontra dari manajer kata sandi. Untuk menambah ini dan untuk menjawab pertanyaan Anda tentang apakah pendekatan dapat dikombinasikan, ada cara mudah untuk melakukannya. Anda dapat menggunakan pengelola kata sandi untuk menuliskan kata sandi kompleks yang akan terlalu sulit untuk diingat tetapi menambahkan ukuran perlindungan tambahan dengan menghafal algoritma yang mudah untuk mengubah kata sandi Anda.

Salah satu algoritma tersebut adalah untuk menggabungkan bagian dari nama layanan dengan kata sandi Anda (beberapa menyebutnya salting, tetapi saya tidak yakin apakah itu sesuai dalam kasus ini).

Sebagai contoh, katakanlah pengelola kata sandi Anda memberi Anda "Aw! EI10." sebagai kata sandi Facebook Anda, kata sandi Anda yang sebenarnya bisa menjadi "FB-Aw! eI10." . Biaya metode seperti itu pada kegunaan sederhana (ingatlah untuk mengetikkan algoritma Anda, lalu tempel kata sandi Anda dari manajer Anda) dan itu mungkin akan membuat orang lain enggan menanganinya, atau setidaknya memberi Anda cukup waktu untuk mengatur ulang kata sandi Anda jika Anda menyadari bahwa manajer Anda telah disusupi.

0
Bushibytes