Bin ich ein Idiot für noch mit einen Passwort-Manager?
Hacker brach in beliebten Passwort-Manager LastPass diese Woche, das einige offensichtlichen Fragen aufwirft: Wenn der Service, die Sie verwenden, um Ihre Passwörter zu schützen immer kompromittiert kompromittiert wird, sollten Sie es weiterhin verwenden? Ist es wirklich ratsam, alle Passwörter speichern in der Wolke?
Du bist kein idiot
Zuerst deaktiviert ist, bist Nein, du ein Idiot wenn Sie einen Passwort-Manager verwenden. Mit einem Passwortmanager ist Meilen besser als mit dem gleichen Passwort über und über. Sie wahrscheinlich verstehen die Notwendigkeit für komplizierte, lange, einzigartige Passwörter, und sehen einen Passwort-Manager als eine vernünftige Lösung, die den Überblick behalten. (Wenn man bedenkt das beliebteste Passwort noch 123456, relativ gesehen du bist ein Gott der Schutz personenbezogener Daten.)
Passwort-Manager wie LastPass, 1Password, und KeePass alle haben die gleiche grundlegende Prämisse: speichern sie all Ihre Passwörter an einem "sicheren" Ort. Außer natürlich, Ihr master-Passwort für den Service, die Sie brauchen, um auf den Dienst zugreifen.
LastPass und andere Web-basierte Optionen speichern Ihre Passwörter in verschlüsselte Datenbanken in der Cloud, die von Natur aus anfällig während KeePass und 1Password standardmäßig lokal gespeichert ist, was bedeutet, dass sie Ihre verschlüsselten Kennwort-Datenbank auf eine Datei auf einem Gerät, wie Ihr Telefon oder Ihren Computer zu speichern. Lokale Speicherung ist sicherer, da es nicht im Web, aber es weniger bequem ist. (Unsere Schwester Site Lifehacker hat eine genauere Aufschlüsselung der besten Passwort-Manager.)
Passwort-Manager sind attraktiv, weil sie es einfacher machen, eine eigene, komplexe Kennwort für jeden Dienst haben, die Sie verwenden, während nur einer auswendig zu lernen. Viele lange Passwörter für Sie zu generieren, und werden Ihre Passwörter, schwachen auszurotten Prüfung.
Aber die grundlegende Prämisse – ein Passwort ein, um Zugriff auf alle Ihre Passwörter zu merken – wenn du denkst, es bewegt sich wie ein Idiot klingen. Eiern, Korb, etc. — wenn jemand in der Anwendung bricht, haben sie Zugriff auf Ihre Kennwörter für alles, was Sie tun.
Aber aber aber
Die meisten Passwort-Manager sind eine mittelmäßige Option für sich selbst zu schützen. Ja, Sie bekommen eine Möglichkeit, eine Quiverfull hinterhältig lange Passwörter zu generieren, aber du legst deinen Glauben in die Sicherheit eines einzelnen Dienstes. Die Frage ist, wie sicher diese Dienste sind?
Schauen wir uns den LastPass-Hack. LastPass ist eines der beliebtesten und angesehensten Passwort-Manager, so ist dies eine Rinkydink-Operation nicht.
Obwohl es wurde angegriffen und einige Informationen kompromittiert wurde und es zu empfehlen ist, dass Benutzer ihre master-Passwörter ändern, ist LastPass zuversichtlich, dass die Hacker Benutzer Passwort Gewölbe greifen nicht, weil es eine strenge Kryptographie-System verwendet.
Dies bedeutet nicht, dass der Service-Garantien werden jedes Mal arbeiten; Dies ist LastPasss zweiten Verstoß in vier Jahren. Weder Verletzung brach vorbei an deren Verschlüsselung Schutz, aber beide haben deutlich gemacht, dass Sicherheitslücken vorhanden sind. Darüber hinaus fanden die Forscher mehrere kritische Fehler in LastPass letztes Jahr, als auch andere webbasierte Passwort Manager PasswordBox, RoboForm, My1Login und NeedMyPassword. Letzter Durchlauf hatte die schwersten defekt, da ein Fehler in seiner "Bookmarklets" Funktion Hackern erlaubt, Schadcode zu implantieren, die verwendet werden könnte, um Log-in Informationen von anderen Websites zu stehlen. Das Unternehmen behoben das Problem, wenn Forscher ihnen davon erzählt, so dass es nie genutzt wurde.
Du nimmst immer ein Risiko mit einem Passwort-Manager, aber Passwort-Manager können die Risiken der Verwendung von unzureichende Passwörter verringern. Plus haben keiner der großen Manager wie LastPass oder 1Password einen Hack schlimm genug, um tatsächlich Benutzer Passwort Gewölbe jedoch aussetzen erlebt, so dass sie einen anständigen Leistungsausweis verfügen.
Passwörter sind Idioten
Passwörter sind gebrochen. Sie brauchen eine für so ziemlich jede digitale Dienstleistung, aber unser Gehirn nicht gut Auswendiglernen lange, komplizierte einzigartige Passphrasen und einfache Passwörter sind extrem leicht zu knacken. Du nimmst ein Risiko, jedes Mal, wenn Sie ein Kennwort verwenden.
Wir sind mit einer klassischen Situation weniger-von-zwei-Übel hier links. Es sei denn, du gehst, Ihre Passwörter manuell aufschreiben und physisch zu schützen, wirst du ein Element der digitalen Sicherheitsanfälligkeit behandeln.
Es ist eine unvollkommene Realität, aber auf Nummer sicher, ist es wichtig, zwei-Faktor-Authentifizierung zu verwenden, wann immer Sie können – auch in Ihrer Passwort-Manager – und einen wirklich komplexen master-Passwort zu wählen. Sie können auch bulk-up Ihren Schutz mit LastPass mit einem Flash-Laufwerk als eine Authentifizierungsgerät, das Lifehacker, etwa in der Vergangenheit geschrieben hat eingerichtet. Seien Sie kein Idiot, es zu tun.
Kontaktieren Sie den Autor unter [email protected].
Öffentlichen PGP-Schlüssel
PGP-Fingerprint: FF8F 0D7A AB19 6 71 C967 9576 8 12 9478 EE07 10 C
Titelgrafik, die aus von Alan Henry mit IsaArt (Shutterstock)