Masz menedżera haseł? Dobrze, ale używasz go źle
Opublikowany: 2022-01-29Gratulacje! Postąpiłeś zgodnie z naszymi radami i zainstalowałeś menedżera haseł! Może nawet nauczyłeś go zapamiętywać wszystkie hasła. Ale czy zastąpiłeś złe hasła silnymi, unikalnymi? Czy chroniłeś wszystkie te hasła silnym hasłem głównym, którego nikt inny nie mógł odgadnąć? W skrócie: czy używasz swojego menedżera haseł poprawnie?
Stuart Schechter, wykładowca i kierownik kursu ds. Użytecznej ścieżki prywatności i bezpieczeństwa UC Berkeley, martwi się, że tak nie jest. Do tego stopnia, że zachęcił swoich absolwentów, aby dowiedzieli się, co robisz. Na wirtualnej konferencji bezpieczeństwa RSA w 2021 r. Schechter i doktorant David Ng ujawnili swoje odkrycia.
Hasło jest martwe, niech żyje hasło
Schechter przedstawił się jako facet, który nosił maskę N95 na zeszłorocznym RSAC, dziwak wśród morza nagich twarzy. Zauważył, że nie było to spowodowane jakimikolwiek przewidywaniami na temat pandemii koronawirusa, ale raczej niechęcią do podejmowania optymistycznych założeń w przypadku braku danych. Podobnie bez żadnych danych nie może założyć, że konsumenci używają menedżerów haseł tak, jak powinni.
Schechter nawiązał do przepowiedni Billa Gatesa z 2004 roku, który powiedział, że będziemy coraz rzadziej używać haseł. „Microsoft mówił o usuwaniu haseł, jakby były chorobą, taką jak ospa” — powiedział Schechter. „Ale osobny obóz postawił na mnożenie haseł, a nie odchodzenie”. Zagłębił się w ewolucję menedżerów haseł, wraz z wydarzeniami, takimi jak wydanie CardSpace firmy Microsoft z 2006 roku, które miało na celu zakończenie haseł (nie miało to zrobić) i jego deklaracja, że Windows 10 oznacza koniec haseł (nie).
Korzystanie z menedżera haseł wiąże się z jednym nieodłącznym ryzykiem — włożyłeś wszystkie swoje jajka do jednego koszyka. W mało prawdopodobnym przypadku, gdy ekipa hakerska złamie Twój menedżer haseł, masz kłopoty. Korzyści z używania menedżera haseł są niezliczone, w tym ochrona przed oszustwami typu phishing.
„Polegasz na swoim menedżerze haseł, aby wprowadzić hasło, którego nawet nie znasz. Jeśli trafisz na stronę phishingową, menedżer haseł jej nie wypełni” — powiedział Schechter. „Będziesz musiał sprawdzić to w menedżerze haseł, a samo to jest dużą wskazówką, że jesteś wyłudzany”.
Nasi najlepsi menedżerowie haseł
We wcześniejszym badaniu Schechter i współpracownik ocenili zdolność osób do zapamiętywania silnych haseł. Dobre wieści? Ustalili, że prawie każdy może zapamiętać bardzo silne hasło. Zła wiadomość jest jednak taka, że wymagało to 20-30 sesji treningowych w odstępie nie krótszym niż pół godziny, a hasło może zostać zapomniane, jeśli nie będzie używane regularnie.
Wszystkie korzyści płynące z używania menedżera haseł zależą od trzech założeń: Zakładamy, że użytkownicy zapamiętają silne hasło; że będą polegać na zdolności menedżera haseł do generowania losowych haseł; i że zmienią wszystkie hasła, które są słabe, ponownie użyte lub złamane. Ale czy te założenia są trafne? Zamiast optować za optymizmem wobec braku danych, Schechter zachęcał swoich doktorantów do poszukiwania prawdy.
Dane, dane, dane
Doktorant David Ng bardzo szczegółowo omówił, jak grupa znalazła swoich uczestników, przesiewając początkową pulę prawie 2500 osób do około 100, które korzystały z menedżera haseł przez ponad pięć miesięcy; zarządzał co najmniej pięcioma hasłami; i byli gotowi dostarczyć zrzut ekranu pulpitu bezpieczeństwa swojego menedżera haseł.
Czy więc uczestnicy używali silnego hasła głównego? Bardzo niewielu menedżerów haseł wygenerowało takie, które następnie zapamiętali. Znacznie większa grupa opracowała hasło za pomocą urządzenia mnemonicznego, jak często sugerujemy w PCMag. Niestety, największa grupa przyznała się do ponownego użycia znanego hasła jako klucza głównego do swoich menedżerów haseł.
Możesz użyć menedżera haseł, aby zapisać naciśnięcia klawiszy, pozostawiając wszystkie hasła ustawione na 12345678 lub inne okropne hasło. Właściwe użycie wymaga oczywiście zmiany tych słabych haseł na coś wygenerowanego przez narzędzie do haseł. Badanie wykazało, że zaledwie jedna piąta osób, które polegają na wbudowanym menedżerze haseł Chrome, kiedykolwiek pozwoliła mu generować hasła. Około połowa osób, które polegają na narzędziach innych firm, skorzystała z tej funkcji.
W dalszej części badania zbadano, w jaki sposób (i czy) uczestnicy wykorzystali zdolność funkcji pulpitu bezpieczeństwa do identyfikowania słabych, duplikatów i zhakowanych haseł. Wyniki były zniechęcające. Nawet ci uczestnicy, którzy zgodzili się, że narzędzie hasła poprawnie identyfikuje hasła wymagające wymiany, często nie robili nic z problemem. Powodem było to, że było za dużo pracy lub obawiali się, że aktualizacja hasła może spowodować problem.
Nie zakładaj, że ludzie wiedzą, co robią
Ng zakończył prezentację ostrzeżeniem dla ekspertów ds. bezpieczeństwa i osób prywatnych. Tylko dlatego, że ludzie mają menedżerów haseł, nie oznacza to, że są w pełni chronieni.
„Nie zakładaj, że ludzie wybiorą silne hasła główne” — powiedział. „Nie zakładaj, że będą używać haseł utworzonych przez menedżera haseł. po przypomnieniu”.
Polecane przez naszych redaktorów
Jak prawidłowo wykonywać hasła
Widziałeś, że zbyt wiele osób instaluje menedżera haseł, a następnie nie używa go we właściwy sposób. Nie bądź taki jak oni! Niech ich błędy staną się momentami, w których można się nauczyć.
Zacznij od tego hasła głównego. Jak już wspomniano, chroni to skarbnicę danych logowania, więc musi to być coś, co można zapamiętać, ale czego nikt nie zgadnie. Postępuj zgodnie z naszą radą, aby zmienić ulubiony wiersz lub piosenkę w hasło lub wybrać coś, czego nie da się odgadnąć ze swojego życia osobistego.
Nie zatrzymuj się na tym! Zwiększ ochronę swoich cennych haseł, włączając uwierzytelnianie wieloskładnikowe. Mają go wszyscy najlepsi menedżerowie haseł. Teraz nawet złoczyńca, który ukradnie twoje niemożliwe do odgadnięcia hasło, nie może się dostać, ponieważ tylko ty masz inny czynnik uwierzytelniający. Może to być czynnik biometryczny lub może działać za pośrednictwem aplikacji w telefonie w Twojej kieszeni (i nikogo innego).
Wielu menedżerów haseł ocenia Twoje zapisane hasła, oznaczając te, które są kiepskie, używane wielokrotnie lub te, które zostały ujawnione w wyniku naruszenia bezpieczeństwa danych. Wiem, że to żmudne, ale musisz je przepracować i zastąpić je wszystkimi długimi, silnymi nowymi hasłami. Zacznij od najgorszych i rób kilka na raz, aż wszystkie twoje hasła będą idealne. Nie musisz wymyślać nowych haseł; Twój menedżer haseł wygeneruje je dla Ciebie.
Może oparłeś się użyciu skomplikowanych haseł, ponieważ nie chcesz ich wpisywać na maleńkiej klawiaturze telefonu? Nie opieraj się więcej! Zainstaluj aplikację mobilną menedżera haseł i połącz ją ze swoim kontem. Teraz logowanie przez telefon jest bardzo proste.
Podejmij wyzwanie i naucz się poprawnie używać swojego menedżera haseł. Jeśli wystarczająca liczba z was to zrobi, być może następne badanie pokaże, że niektórzy ludzie są wystarczająco inteligentni, aby w pełni korzystać z tych przydatnych programów.