it-swarm-vi.com

Quản lý mật khẩu và ghi nhớ mật khẩu

Tôi luôn nghĩ rằng bạn không nên sử dụng trình quản lý mật khẩu mà phải giữ mật khẩu trong đầu, nhưng gần đây tôi đã nghĩ về những ưu và nhược điểm của việc có trình quản lý mật khẩu.

Một số lĩnh vực có thể là: độ dài mật khẩu, ngăn chặn logger, entropy giữa mật khẩu, khả năng truy cập.

(Tôi không hỏi cách tạo mật khẩu cứng nhưng dễ nhớ! Đây có thể là một phần của giải pháp nhưng không phải là toàn bộ câu hỏi.)

Cuối cùng, có bất kỳ cách nào để kết hợp chúng: giữ một nửa trong trình quản lý và gõ cái kia, để tránh các logger chính.

50
KilledKenny

Tôi đã viết năm ngoái về sự chuyên nghiệp và khuyết điểm của người quản lý mật khẩu:

Ưu điểm:

  • Sự cân bằng tuyệt vời của sự thuận tiện và bảo mật - mọi người có xu hướng chọn mật khẩu đơn giản và sử dụng lại cùng một mật khẩu (hoặc cơ sở) vì có rất nhiều trong số chúng và bạn phải nhập chúng thường xuyên. Với 1Password hoặc Lastpass, bạn có thể tạo một mật khẩu thực sự mạnh (ít nhất là cho các tài khoản quan trọng của bạn) nhưng vẫn có sự tiện lợi khi tự động điền hoặc ít nhất là có sẵn được ghi trên điện thoại của bạn. Một lợi ích thực sự cũng nằm ở những thứ như câu hỏi bí mật, đây thường là một điểm yếu trong đó mật khẩu thực sự mạnh có từ điển 5 chữ cái Word như một câu trả lời câu hỏi bí mật. Bây giờ bạn cũng có thể tạo câu trả lời câu hỏi bí mật mạnh mẽ

  • Tính di động - vấn đề với việc sử dụng trình duyệt của bạn lưu chức năng mật khẩu là trừ khi bạn kết hợp nó với một cái gì đó như đồng bộ hóa Google hoặc Firefox thì nó không khả dụng. Thậm chí sau đó nó hiện không có sẵn trên điện thoại của bạn (ít nhất là không phải iPhone, không chắc chắn liệu trình duyệt Android có đồng bộ hóa Google không)

  • Lưu trữ an toàn - thông tin nhạy cảm của bạn được mã hóa trong lưu trữ và được bảo vệ bằng mật khẩu chính. Điều này tốt hơn nhiều so với việc chỉ viết nó ở đâu đó hoặc lưu trữ trong một ghi chú hoặc bảng tính không được mã hóa

  • Không chỉ đối với mật khẩu - bạn có thể lưu trữ chi tiết ngân hàng, số bảo hiểm, thẻ tín dụng, số hộ chiếu, vv có thể giúp bạn tiết kiệm thời gian nhập các chi tiết này và cung cấp cho bạn quyền truy cập an toàn vào các chi tiết khi di chuyển. Bạn cũng có thể lưu trữ các tệp như quét tài liệu hoặc khóa riêng của bạn

  • Cải thiện trí nhớ của bạn - trên các trang web tôi hầu như không bao giờ sử dụng và các trang web chính phủ có tên người dùng phức tạp đó tôi không bao giờ có thể nhớ các chi tiết này. Khởi chạy iPhone, 1Password và mọi thứ dễ dàng tìm kiếm

  • Mọi người cũng thêm chống lừa đảo/chống phần mềm độc hại vào danh sách này nhưng tôi không đồng ý. Bạn vẫn phải nhập mật khẩu chính mà phần mềm độc hại có thể nắm bắt, nếu bạn có mật khẩu trên điện thoại và nhập lại mật khẩu thì có thể bị bắt lại. Nếu bạn khởi chạy các trang web từ công cụ, tôi đoán nó có thể chống lừa đảo nhưng điều đó cũng giống như nhập trực tiếp hoặc sử dụng dấu trang của bạn

Nhược điểm:

  • Điểm duy nhất của sự thất bại, chìa khóa của vương quốc - nếu bạn đồng bộ móc khóa của mình với điện thoại hoặc có nó trên máy tính để bàn hoặc máy tính xách tay, một số người có thể truy cập vào đó. Nếu mật khẩu chủ của bạn yếu thì bạn sẽ mất tất cả mọi thứ trong một lần. Theo như tôi biết thì 1Password không cung cấp tùy chọn xác thực hai yếu tố dựa trên phần cứng cho mật khẩu chính, điều này sẽ làm giảm đáng kể rủi ro này. Lastpass cung cấp việc sử dụng yubikey làm cơ chế hai yếu tố nhưng vì Lastpass có ứng dụng web nên nó có thể bị lỗ hổng ứng dụng web (ví dụ: XSS) có thể để lại chi tiết tài khoản của bạn và trong trường hợp xấu nhất là mật khẩu bị lộ.

  • Điều khoản và điều kiện - về mặt kỹ thuật vẫn là 'viết mật khẩu'. Điều này có thể trái với các điều khoản và điều kiện đối với những thứ như trang web Internet Banking của bạn. Điều này có thể làm giảm hoặc loại bỏ bất kỳ sự bảo vệ nào bạn nhận được trong trường hợp gian lận. Bạn luôn có thể kiểm tra điều này và không lưu trữ mật khẩu cho các trang web này

  • Tin tưởng vào đám mây - được cho là được mã hóa trong bộ lưu trữ nhưng nếu bạn đồng bộ hóa dữ liệu, một số người sẽ không bao giờ tin rằng 1Password hoặc Lastpass không có cửa hậu, có khả năng cho phép nhân viên truy cập độc hại hoặc bất mãn. Tất cả các phần mềm đều có lỗ hổng bảo mật, một lần nữa nghiêm trọng có thể cho phép kẻ tấn công truy cập vào dữ liệu của bạn

Một tùy chọn khác là sử dụng một hầm mật khẩu được lưu trữ trong một thiết bị được mã hóa phần cứng như Ironkey. Các phiên bản đi kèm với trình quản lý mật khẩu được tải vào. Sẽ tiện lợi hơn một chút khi bạn phải gắn nó vào ổ USB và có quyền truy cập đọc vào điều này nhưng nó chắc chắn an toàn hơn. Nó giảm thiểu một số rủi ro được nêu ở trên, nó được mã hóa phần cứng và chỉ được lưu trữ trên thiết bị của bạn. Ngoài ra, nếu Ironkey của bạn nằm trong chuỗi khóa vật lý, bạn sẽ ít bị mất nó hơn điện thoại hoặc máy tính xách tay. Bạn cũng có thể phá hủy nó từ xa nếu bạn làm mất nó.

Để hủy từ xa trực tuyến, bạn cần phiên bản doanh nghiệp của khóa. Sự phá hủy từ xa là một tính năng trong bảng điều khiển quản lý. Khi chìa khóa được cắm vào, nó điện thoại về nhà. Nếu sự hủy diệt đã được kích hoạt, ở giai đoạn đó, nó trở nên không sử dụng được và tất cả dữ liệu bị mất một cách hiệu quả (tin rằng bằng cách bỏ các khóa giải mã). Ngoài ra còn có chế độ ngoại tuyến (tương tự iPhone), nơi bạn có thể đặt chế độ tự động tự hủy sau 10 lần thử mật khẩu chính không thành công.

Kết luận

Nhìn chung, tôi tin rằng sự chuyên nghiệp vượt trội hơn các nhược điểm. Nếu bạn không có tùy chọn để xác thực hai yếu tố thì việc có một mật khẩu mạnh là biện pháp bảo vệ duy nhất của bạn. Sử dụng một vault mật khẩu chỉ làm cho điều này thực tế và thuận tiện hơn rất nhiều.

Không có lý do tại sao bạn không thể giữ một nửa mật khẩu trong trình quản lý mật khẩu và ghi nhớ phần còn lại, điều đó sẽ khiến cho trình ghi nhật ký khóa khó lấy mật khẩu của bạn, tuy nhiên việc đánh đổi khả năng sử dụng có thể không đáng. Một lựa chọn tốt hơn có thể là sử dụng hai yếu tố cho thông tin thực sự nhạy cảm của bạn và trình quản lý mật khẩu cho phần còn lại

46
Rakkhi

Nếu ai đó đã root hộp của bạn, thì tôi nghĩ họ có thể lấy mật khẩu của bạn từ một trong hai phương pháp mà không cần quá nhiều nỗ lực. Họ sẽ có thể lấy tệp mật khẩu của bạn cho trình quản lý mật khẩu và mật khẩu cho tệp đó thông qua một keylogger. Nếu bạn chỉ sử dụng mật khẩu đã nhớ, họ sẽ thu thập mật khẩu của bạn theo thời gian khi bạn nhập chúng vào.

Nếu ai đó có quyền truy cập vật lý vào máy của bạn để cài đặt và truy xuất keylogger, thì họ có thể đăng nhập vào máy của bạn nế họ có quyền truy cập vật lý trong thời gian đáng kể. Nếu họ không có đủ thời gian cho việc đó, thì bạn sẽ an toàn hơn với trình quản lý mật khẩu vì họ không có tệp mật khẩu của bạn (chỉ có mật khẩu cho nó). Nếu họ có thời gian để có quyền truy cập root vào hộp của bạn và cho phép truy cập từ xa để sử dụng lúc rảnh rỗi, thì bạn đang ở vị trí tương tự như trong đoạn đầu tiên.

Khi bạn nghĩ về nó như thế này, sẽ có rất ít nếu bất cứ điều gì mà việc ghi nhớ giữ lại các trình quản lý mật khẩu. Và rằng bạn và mật khẩu của bạn sẽ bị xóa nếu ai đó bất chính có quyền truy cập vật lý OR có thể root máy của bạn từ xa. Ngăn chặn hai cuộc tấn công này là chìa khóa.

Trước tiên bạn cần bảo mật vật lý tốt để ngăn chặn các cuộc tấn công vật lý. Sau đó, bạn cần ngăn chặn các cuộc tấn công từ xa - thực hiện bảo mật chu vi mạng tốt, kích hoạt tối thiểu các dịch vụ và có các thực tiễn bảo mật tốt cho những dịch vụ mà bạn không có lựa chọn nào khác ngoài việc kích hoạt. Và cũng thực hành thói quen duyệt web an toàn, giữ cho máy của bạn được cập nhật thường xuyên, v.v. tức là các biện pháp phòng ngừa ngăn bạn bắt nguồn từ nơi đầu tiên. Và bạn cần phải có bản sao lưu trong trường hợp bạn đã root. Nếu bạn đã được root, thì bạn nên cho rằng bạn cần thay đổi mọi mật khẩu cho dù bạn có sử dụng trình quản lý mật khẩu hay không.

Về điều duy nhất ghi nhớ mua cho bạn IMO có lẽ là một chút thời gian trước khi ai đó đăng nhập mật khẩu quan trọng của bạn. Bạn hy sinh rất nhiều cho việc này. Ghi nhớ không thể mở rộng. Càng nhiều trang web bạn sử dụng (và khi web thấm vào cuộc sống của chúng ta, cần thêm tên người dùng và mật khẩu phát triển), bạn càng cần nhiều mật khẩu hơn. Và họ ngày càng được hưởng lợi từ việc mạnh mẽ. Để làm cho chúng mạnh mẽ đòi hỏi rất nhiều nỗ lực từ phía người dùng, cùng với việc làm cho việc ghi nhớ trở nên khó khăn. Hoặc nếu bạn viết chúng ra một tờ giấy, bạn sẽ gặp vấn đề tương tự như trình quản lý mật khẩu, ngoại trừ việc sao lưu và đồng bộ hóa khó hơn, dễ thấy hơn, dễ bị nhầm hơn, trong văn bản đơn giản, v.v. Và bạn phải nhập chúng trong tất cả các thời gian, thay vì sao chép và dán.

Ít nhất sử dụng trình quản lý mật khẩu cung cấp cho bạn khả năng có mật khẩu rất mạnh và khác nhau cho mọi trang web trên internet bạn sử dụng (có thể là nhiều). Và cũng có khả năng dễ dàng ghi nhớ các tên người dùng khác nhau, cùng với các ghi chú về các trang web cụ thể. Nếu bạn ghi nhớ một mật khẩu mạnh cho trình quản lý mật khẩu của mình, họ phải có thể sử dụng tổ hợp phím của bạn bằng cách nào đó để sử dụng tệp của bạn hoặc họ cần tệp của bạn để sử dụng tổ hợp phím của bạn.

7
user1971

Mọi thứ đã thay đổi rất nhiều trong 10 năm. Vì vậy, gần như tất cả các câu trả lời đã lỗi thời trong bài viết trước. Trong những năm gần đây, tôi chắc chắn sử dụng một trình quản lý khóa thay vì nhớ các khóa cho các dịch vụ trực tuyến. Nhưng giữ bí mật địa phương theo một cách/nơi riêng biệt. Có 2 hướng chính mà bí mật của bạn có thể được bao gồm.

  1. Từ internet. Điều đó có nghĩa là các dịch vụ trực tuyến bạn đang sử dụng đã bị hack hoặc buộc phải tiết lộ thẻ của bạn.
  2. Hệ thống cục bộ của bạn đã bị xâm nhập: phần mềm độc hại, trộm cắp vật lý, cướp ...

Thật khó để nói hướng nào là rủi ro hơn hiện nay nói chung. Nhưng tôi phải nói rằng rủi ro thứ 2 là ít hơn nhiều đối với một người dùng có trách nhiệm. Người dùng có trách nhiệm sẽ không làm:

  1. giữ bí mật trên bất kỳ thiết bị nào dưới dạng bản rõ.
  2. để người khác sử dụng tài khoản của riêng bạn.
  3. quên giữ bản sao lưu bí mật của bạn theo cách được mã hóa.
  4. sử dụng cùng một mật khẩu trong hơn 3 tháng
  5. vô hiệu hóa tường lửa và phần mềm chống phần mềm độc hại của bạn để thuận tiện
  6. quên nâng cấp các bản vá bảo mật cho hệ thống của bạn ...

Nếu một số thiết bị đã được thu thập bởi thủ phạm. Họ vẫn không thể mở khóa bất cứ thứ gì trong một khoảng thời gian ngắn (vài năm) vì họ không có khóa chính của bạn. Vì vậy, sau này, một người dùng có trách nhiệm sẽ chỉ thay đổi mật khẩu của mình càng sớm càng tốt (trong vài ngày). Sau đó mọi thứ trở lại bình thường. Người ta sẽ hỏi, điều gì sẽ xảy ra nếu chúng ta buộc phải từ bỏ đường chuyền chính? Chà, trong trường hợp này, dù sao thì chúng tôi cũng đụ. Họ thậm chí có thể buộc bạn chuyển tài sản của bạn trực tiếp mà không cần ép bạn lấy mật khẩu. Nếu bạn cảm thấy rằng bạn luôn có nguy cơ đó, chỉ có một điều bạn có thể thấy hữu ích: sử dụng mã hóa có thể bị từ chối hợp lý.

Mặt khác, rủi ro thứ 1 không nằm trong tầm kiểm soát của chúng tôi. Và điều này xảy ra rất nhiều trong những năm gần đây. Bạn thực sự không thể tránh điều này. Điều duy nhất chúng ta có thể làm là giảm thiểu thiệt hại. Về lý thuyết, không ai có thể nhớ nhiều hơn hàng tá mật khẩu và cứ thay đổi chúng cứ sau vài tháng. Vì vậy, nếu chúng tôi không sử dụng trình quản lý mật khẩu, nhiều khả năng bạn phải chia sẻ cụm mật khẩu tương tự trên các dịch vụ khác nhau. Điều này mang lại cho thủ phạm cơ hội dễ dàng xâm nhập vào các tài khoản khác của bạn sau khi tấn công thành công một dịch vụ. Do đó rủi ro ở đây là rất cao. Bằng cách sử dụng trình quản lý mật khẩu, bạn có thể tạo các ký tự ngẫu nhiên cho mật khẩu cứ sau vài tuần. Thậm chí bạn sẽ không thể đoán được mật khẩu của mình. Vì vậy, chúng tôi đã hạn chế mất chỉ trong một tài khoản. @Rakkhi đã lo lắng về việc nhiều bản sao của móc khóa trên các thiết bị khác nhau có thể thỏa hiệp mọi thứ sau khi được truy cập vật lý. Rủi ro này rất thấp trong những năm gần đây, vì chúng tôi đã đề cập theo hướng tấn công thứ 2. Hơn nữa, bạn thậm chí không cần giữ móc khóa trên các thiết bị khác nữa. Trong tình huống ý tưởng, bạn chỉ giữ trình quản lý mật khẩu của mình trên PC chính ở vị trí an toàn. Tất cả các thiết bị khác có thể sử dụng ứng dụng/thiết bị vượt qua được cung cấp bởi nhà cung cấp dịch vụ của bạn. Mật khẩu ứng dụng là cụm mật khẩu ngẫu nhiên được tạo bởi nhà cung cấp dịch vụ của bạn như MS, google, facebook, v.v. Những mật khẩu ứng dụng này được lưu trên thiết bị của bạn được mã hóa theo cơ chế mở khóa/khóa thiết bị của bạn. Thông thường mỗi thiết bị sẽ có các bộ mật khẩu ứng dụng ngẫu nhiên khác nhau. Bạn có thể thu hồi các mật khẩu đó từ các trang web của nhà cung cấp dịch vụ của bạn. Vì vậy, ngay cả ai đó đã quản lý để truy cập vào một thiết bị di động của bạn, họ có thể có quyền truy cập trong vài phút, nhưng bạn có thể vô hiệu hóa quyền truy cập của thiết bị đó vào tài khoản của mình càng sớm càng tốt. Nếu bạn thiết lập đúng mã hóa thiết bị của mình như in dấu vân tay hoặc bản vẽ, họ thậm chí sẽ không thể truy cập dữ liệu của bạn trong thời gian dài như chúng tôi đã đề cập trong rủi ro thứ 2.

Vì vậy, kết luận là: bạn chắc chắn nên sử dụng trình quản lý mật khẩu trên thiết bị chính, thiết lập mật khẩu ứng dụng cho các thiết bị khác và là người dùng có trách nhiệm.

1
Wang

Rakkhi trình bày rất tốt về những ưu và nhược điểm của các nhà quản lý mật khẩu. Để thêm vào điều này và để trả lời câu hỏi của bạn về việc liệu các phương pháp có thể được kết hợp hay không, có một cách dễ dàng để làm điều đó. Bạn có thể sử dụng trình quản lý mật khẩu để ghi lại các mật khẩu phức tạp, điều này quá khó nhớ nhưng hãy thêm một biện pháp bảo vệ bổ sung bằng cách ghi nhớ một thuật toán dễ dàng để chuyển đổi mật khẩu của bạn.

Một thuật toán như vậy là nối một phần tên dịch vụ với mật khẩu của bạn (một số người gọi nó là muối, nhưng tôi không chắc liệu nó có phù hợp trong trường hợp này không).

Ví dụ: giả sử trình quản lý mật khẩu của bạn cung cấp cho bạn "Aw! EI10." là mật khẩu Facebook của bạn, mật khẩu thực tế của bạn có thể là "FB-Aw! eI10." . Chi phí của một phương pháp như vậy về khả năng sử dụng rất đơn giản (hãy nhớ nhập thuật toán của bạn, sau đó dán mật khẩu của bạn từ người quản lý của bạn) và nó có thể làm nản lòng ai đó nắm trong tay trình quản lý mật khẩu của bạn, hoặc ít nhất là cho bạn đủ thời gian để đặt lại mật khẩu của bạn nếu bạn nhận ra người quản lý của mình đã bị xâm phạm.

0
Bushibytes