У вас есть менеджер паролей? Хорошо, но вы используете это неправильно
Опубликовано: 2022-01-29Поздравляем! Вы последовали нашему совету и установили менеджер паролей! Возможно, вы даже натренировали его запоминать все свои пароли. Но заменили ли вы плохие пароли надежными уникальными? Вы защитили все эти пароли надежным мастер-паролем, который никто другой не смог бы угадать? Вкратце: правильно ли вы используете свой менеджер паролей?
Стюарт Шехтер, лектор и руководитель курса «Полезная конфиденциальность и безопасность» Калифорнийского университета в Беркли, беспокоится, что это не так. Настолько, что он поощрял своих аспирантов узнавать, чем вы занимаетесь. На виртуальной конференции по безопасности RSA 2021 года Шехтер и аспирант Дэвид Нг поделились своими выводами.
Пароль мертв, да здравствует пароль
Шехтер представился как тот парень, который носил маску N95 на прошлогоднем RSAC, чудак среди моря обнаженных лиц. Он отметил, что это было связано не с каким-либо предвидением пандемии коронавируса, а скорее с неприятием делать оптимистичные предположения в отсутствие данных. Точно так же без каких-либо данных он не может предположить, что потребители используют менеджеры паролей должным образом.
Шехтер вспомнил прогноз Билла Гейтса, сделанный в 2004 году, который сказал, что мы будем использовать пароли все реже и реже. «Microsoft говорила об уничтожении паролей, как будто они были болезнью вроде оспы, — сказал Шехтер. «Но отдельный лагерь сделал ставку на то, что пароли умножаются, а не исчезают». Он глубоко погрузился в эволюцию менеджеров паролей, наряду с такими событиями, как выпуск Microsoft CardSpace в 2006 году, предназначенный для прекращения паролей (это не произошло), и его заявление о том, что Windows 10 означает конец паролей (это не так).
Использование менеджера паролей сопряжено с одним неотъемлемым риском — вы кладете все яйца в одну корзину. В том маловероятном случае, если команда хакеров взломает ваш менеджер паролей, у вас будут проблемы. Преимущества использования менеджера паролей бесчисленны, среди них защита от фишинга.
«Вы полагаетесь на свой менеджер паролей, чтобы ввести пароль, который вы даже не знаете. Если вы попадете на фишинговый сайт, менеджер паролей не заполнит его», — сказал Шехтер. «Вам придется поискать его в менеджере паролей, и уже одно это является важным признаком того, что вас фишингуют».
Наши лучшие менеджеры паролей
В более раннем исследовании Шехтер и его коллега оценивали способность людей запоминать надежные пароли. Хорошие новости? Они определили, что почти каждый может запомнить очень надежный пароль. Плохая новость заключается в том, что для этого требовалось 20-30 учебных занятий с интервалом не менее получаса, и что пароль можно было забыть, если не использовать его регулярно.
Все преимущества использования менеджера паролей зависят от трех допущений: мы предполагаем, что пользователи запомнят надежный пароль; что они будут полагаться на способность менеджера паролей генерировать случайные пароли; и что они изменят любые пароли, которые являются слабыми, повторно используемыми или скомпрометированными. Но верны ли эти предположения? Вместо того, чтобы питать оптимизм в отсутствие данных, Шехтер призвал своих аспирантов искать правду.
Данные, данные, данные
Аспирант Дэвид Нг очень подробно рассказал о том, как группа нашла своих участников, сократив первоначальный пул почти из 2500 человек до примерно 100, которые использовали менеджер паролей более пяти месяцев; управлял по крайней мере пятью паролями; и были готовы предоставить скриншот панели безопасности своего менеджера паролей.
Итак, использовали ли участники надежный мастер-пароль? Очень немногие из менеджеров паролей генерировали пароли, которые они затем запоминали. Гораздо большая группа разработала пароль, используя мнемоническое устройство, как мы в PCMag часто предлагаем. Увы, самая большая группа признала, что повторно использовала знакомый пароль в качестве главного ключа для своих менеджеров паролей.
Вы можете использовать менеджер паролей, чтобы сохранить нажатия клавиш, оставив все ваши пароли равными 12345678 или другим ужасным паролем. Правильное использование, конечно, требует, чтобы вы изменили эти слабые пароли на что-то, сгенерированное утилитой паролей. Исследование показало, что едва ли пятая часть тех, кто полагался на встроенный менеджер паролей Chrome, когда-либо позволяла ему генерировать пароли. Около половины тех, кто полагался на сторонние утилиты, воспользовались этой функцией.
Далее в исследовании изучалось, как (и использовали ли) участники возможность панели безопасности выявлять слабые, повторяющиеся и скомпрометированные пароли. Результаты были обескураживающими. Даже те участники, которые согласились с тем, что инструмент паролей правильно идентифицировал пароли, нуждающиеся в замене, часто ничего не делали для решения проблемы. Причины заключались в том, что это было слишком много работы, или что они опасались, что обновление пароля может вызвать проблемы.
Не думайте, что люди знают, что делают
Нг завершил презентацию предупреждением для экспертов по безопасности и частных лиц. Тот факт, что у людей есть менеджеры паролей, не означает, что они полностью защищены.
«Не думайте, что люди будут выбирать надежные мастер-пароли, — сказал он. — Не думайте, что они будут использовать пароли, созданные менеджером паролей. И не думайте, что они заменят слабые, повторно используемые или скомпрометированные пароли, даже когда напомнили».
Рекомендовано нашими редакторами
Как делать пароли правильно
Вы видели, что слишком много людей устанавливают менеджер паролей, а затем не используют его должным образом. Не будь как они! Пусть их ошибки станут вашим уроком.
Начните с этого мастер-пароля. Как уже отмечалось, он защищает вашу сокровищницу учетных данных для входа в систему, поэтому это должно быть что-то, что вы можете запомнить, но что никто не догадается. Следуйте нашим советам, чтобы превратить любимое стихотворение или песню в пароль или выбрать что-то неуловимое из личной жизни.
Не останавливайтесь на достигнутом! Повысьте защиту своих заветных паролей, включив многофакторную аутентификацию. Он есть во всех лучших менеджерах паролей. Теперь даже злоумышленник, который украл ваш пароль, который невозможно угадать, не сможет войти, потому что другой фактор аутентификации есть только у вас. Этот фактор может быть биометрическим, или он может работать через приложение на телефоне в вашем кармане (и ни у кого другого).
Многие менеджеры паролей оценивают ваши сохраненные пароли, отмечая неверные пароли, которые вы использовали несколько раз или которые были раскрыты в результате утечки данных. Я знаю, что это утомительно, но вы должны проработать их и заменить их новыми длинными надежными паролями. Начните с худших и повторяйте несколько за раз, пока все ваши пароли не станут идеальными. Вам не нужно придумывать эти новые пароли; ваш менеджер паролей сгенерирует их для вас.
Может быть, вы сопротивлялись использованию сложных паролей, потому что не хотите вводить их на крошечной клавиатуре своего телефона? Не сопротивляйся больше! Установите мобильное приложение менеджера паролей и привяжите его к своей учетной записи. Теперь авторизоваться на телефоне совсем несложно.
Примите вызов и научитесь правильно использовать свой менеджер паролей. Если вас достаточно, возможно, следующее исследование покажет, что некоторые люди достаточно умны, чтобы в полной мере воспользоваться преимуществами этих полезных программ.