Ai un manager de parole? Bine, dar îl folosești greșit
Publicat: 2022-01-29Felicitări! Ai urmat sfaturile noastre și ai instalat un manager de parole! Poate chiar l-ați antrenat să vă amintiți toate parolele. Dar ai înlocuit parolele proaste cu altele unice puternice? Ați protejat toate acele parole cu o parolă principală puternică pe care nimeni altcineva nu o putea ghici? Pe scurt: folosești corect managerul de parole?
Stuart Schechter, Lector și Conducător de curs pentru UC Berkeley Confidențialitate și securitate utilizabilă, vă face griji că nu sunteți. Atât de mult încât și-a încurajat studenții absolvenți să afle exact ce faci. La conferința virtuală de securitate RSA din 2021, Schechter și studentul David Ng și-au dezvăluit descoperirile.
Parola este moartă, trăiește parola
Schechter s-a prezentat drept tipul care purta o mască N95 la RSAC de anul trecut, un ciudat printre o mare de fețe goale. El a remarcat că acest lucru nu se datorează niciunui tip de presciție cu privire la pandemia de coronavirus, ci mai degrabă o aversiune față de a face ipoteze optimiste în absența datelor. De asemenea, fără date, el nu poate presupune că consumatorii folosesc managerii de parole așa cum ar trebui.
Schechter a revenit la o predicție din 2004 a lui Bill Gates, care spunea că vom folosi parolele din ce în ce mai puțin. „Microsoft a vorbit despre eradicarea parolelor, ca și cum ar fi o boală, precum variola”, a spus Schechter. „Dar o tabără separată pariază pe înmulțirea parolelor, nu pe dispariție.” El a cercetat în profunzime evoluția managerilor de parole, împreună cu evenimente precum lansarea CardSpace de către Microsoft în 2006, intenționată să pună capăt parolelor (nu a făcut-o) și declarația sa că Windows 10 a însemnat sfârșitul parolelor (nu a făcut-o).
Folosirea unui manager de parole are un risc intrinsec - ți-ai pus toate ouăle într-un singur coș. În cazul puțin probabil în care un echipaj de hacking vă sparge managerul de parole, aveți probleme. Beneficiile utilizării unui manager de parole sunt nenumărate, printre care și protecția împotriva înșelătoriilor de tip phishing.
„Te bazezi pe managerul tău de parole pentru a introduce o parolă pe care nici măcar nu o cunoști. Dacă accesați un site de phishing, managerul de parole nu îl va completa”, a spus Schechter. „Va trebui să te uiți în managerul de parole și doar asta este un indiciu important că ești phishing.”
Principalii noștri manageri de parole
Într-un studiu anterior, Schechter și un coleg au evaluat capacitatea persoanelor de a-și aminti parole puternice. Veștile bune? Ei au stabilit că aproape oricine poate memora o parolă foarte puternică. Vestea proastă, totuși, este că pentru a face acest lucru au fost necesare 20-30 de sesiuni de antrenament la cel puțin o jumătate de oră între ele și că parola ar putea fi uitată dacă nu este folosită în mod regulat.
Toate beneficiile utilizării unui manager de parole depind de trei presupuneri: Presupunem că utilizatorii vor memora o parolă puternică; că se vor baza pe capacitatea managerului de parole de a genera parole aleatorii; și că vor schimba orice parole care sunt slabe, reutilizate sau compromise. Dar sunt acele presupuneri corecte? În loc să opteze pentru optimism în absența datelor, Schechter și-a încurajat studenții absolvenți să caute adevărul.
Date, date, date
Studentul de licență David Ng a intrat în amănunte despre modul în care grupul și-a găsit participanții, câștigând un grup inițial de aproape 2.500 de persoane, până la aproximativ 100 care au folosit un manager de parole timp de mai mult de cinci luni; a gestionat cel puțin cinci parole; și au fost dispuși să ofere o captură de ecran a tabloului de bord de securitate al managerului de parole.
Deci, au folosit participanții o parolă principală puternică? Foarte puțini au avut managerul de parole să genereze unul pe care l-au memorat apoi. Un grup mult mai mare a elaborat o parolă folosind un dispozitiv mnemonic, așa cum sugerăm adesea noi cei de la PCMag. Din păcate, cel mai mare grup a recunoscut că a reutilizat o parolă familiară ca cheie principală pentru managerii de parole.
Puteți folosi un manager de parole pentru a salva apăsările de taste, lăsând toate parolele setate la 12345678 sau la o altă parolă groaznică. Utilizarea corectă, desigur, necesită să schimbați acele parole slabe cu ceva generat de utilitarul de parole. Studiul a constatat că abia o cincime dintre cei care se bazează pe managerul de parole încorporat al Chrome l-au lăsat vreodată să genereze parole. Aproximativ jumătate dintre cei care se bazează pe utilități terțe au profitat de această caracteristică.
Studiul a continuat să examineze modul în care (și dacă) participanții au folosit capacitatea caracteristicii tabloului de bord de securitate de a identifica parolele slabe, duplicate și compromise. Rezultatele au fost descurajatoare. Chiar și acei participanți care au fost de acord că instrumentul de parole a identificat corect parolele care necesită înlocuire nu au făcut deseori nimic în privința problemei. Motivele au inclus faptul că a fost prea multă muncă sau că s-au îngrijorat că actualizarea parolei ar putea cauza o problemă.
Nu presupuneți că oamenii știu ce fac
Ng a încheiat prezentarea cu un avertisment către experți și persoane în securitate. Doar pentru că oamenii au manageri de parole nu înseamnă că sunt pe deplin protejați.
„Nu presupuneți că oamenii vor alege parole principale puternice”, a spus el. „Nu presupuneți că vor folosi parole create de managerul de parole. Și nu presupuneți că vor înlocui parolele slabe, reutilizate sau compromise, chiar și când i se aduce aminte.”
Recomandat de editorii noștri
Cum se face corect parolele
Ați văzut că prea mulți oameni instalează un manager de parole și apoi nu îl folosesc în mod corespunzător. Nu fi ca ei! Lasă greșelile lor să devină momentele tale de învățat.
Începeți cu acea parolă principală. După cum am menționat, vă protejează comoara de acreditări de conectare, așa că trebuie să fie ceva pe care să vă amintiți, dar pe care nimeni nu l-ar ghici. Urmați sfaturile noastre pentru a transforma o poezie sau melodia preferată într-o parolă sau alegeți ceva de neghicit din viața personală.
Nu te opri aici! Îmbunătățiți protecția parolelor dvs. prețioase, activând autentificarea multifactorială. Toți cei mai buni manageri de parole o au. Acum nici un răufăcător care îți fură parola de neghicit nu poate intra, pentru că doar tu ai celălalt factor de autentificare. Acest factor ar putea fi biometric sau ar putea funcționa printr-o aplicație de pe telefonul din buzunar (și al nimănui altcuiva).
Mulți manageri de parole evaluează parolele tale salvate, semnalând toate care sunt șchioape, pe care le-ai folosit de mai multe ori sau care au fost expuse într-o încălcare a datelor. Știu că este plictisitor, dar trebuie să le rezolvi și să le înlocuiești pe toate cu parole noi lungi și puternice. Începeți cu cele mai proaste și faceți câteva la un moment dat, până când toate parolele sunt perfecte. Nu trebuie să vă gândiți la acele noi parole; managerul de parole le va genera pentru tine.
Poate ați rezistat să folosiți parole complexe pentru că nu doriți să le introduceți pe tastatura minusculă a telefonului dvs.? Nu mai rezista! Instalați aplicația mobilă a managerului de parole și conectați-o la contul dvs. Acum, conectarea la telefon este o simplă.
Acceptă provocarea și învață să folosești corect managerul de parole. Dacă o faceți destui, poate că următorul studiu va arăta că unii oameni sunt suficient de inteligenți pentru a beneficia pe deplin de aceste programe utile.