Parola Yöneticiniz var mı? Güzel Ama Yanlış Kullanıyorsun
Yayınlanan: 2022-01-29Tebrikler! Tavsiyemize uydunuz ve bir şifre yöneticisi kurdunuz! Belki de onu tüm şifrelerinizi hatırlaması için eğitmişsinizdir. Ancak kötü şifreleri güçlü benzersiz şifrelerle değiştirdiniz mi? Tüm bu şifreleri, başka kimsenin tahmin edemeyeceği güçlü bir ana şifre ile mi korudunuz? Kısacası: şifre yöneticinizi doğru kullanıyor musunuz?
Stuart Schechter, UC Berkeley'in Kullanılabilir Gizlilik ve Güvenlik bölümünde Öğretim Görevlisi ve Kurs Lideri, olmadığınızdan endişeleniyor. Öyle ki, yüksek lisans öğrencilerini ne yaptığınızı öğrenmeye teşvik etti. 2021 sanal RSA güvenlik konferansında Schechter ve yüksek lisans öğrencisi David Ng bulgularını açıkladılar.
Şifre Öldü, Yaşasın Şifre
Schechter kendini geçen yılki RSAC'ta N95 maskesi takan adam olarak tanıttı, çıplak yüzler denizi arasında bir tuhaflık. Bunun koronavirüs pandemisi hakkında herhangi bir önseziden değil, veri yokluğunda iyimser varsayımlar yapmaktan kaçınmadan kaynaklandığını kaydetti. Aynı şekilde, herhangi bir veri olmadan tüketicilerin parola yöneticilerini gerektiği gibi kullandığını varsayamaz.
Schechter, parolaları gitgide daha az kullanacağımızı söyleyen Bill Gates'in 2004 yılındaki tahminine geri döndü. Schechter, "Microsoft, şifreleri çiçek hastalığı gibi bir hastalıkmış gibi ortadan kaldırmaktan bahsetti" dedi. "Ama şifrelerin kaybolması değil, çoğalması üzerine ayrı bir kamp bahsi." Microsoft'un 2006 CardSpace sürümünün parolaları sonlandırmayı amaçladığı (olmadı) ve Windows 10'un parolaların sonu anlamına geldiği (olmadı) beyanı gibi olaylarla birlikte parola yöneticilerinin evrimine derin bir dalış yaptı.
Parola yöneticisi kullanmanın kendine özgü bir riski vardır; tüm yumurtalarınızı tek bir sepete koyarsınız. Muhtemel olmayan bir durumda, bir bilgisayar korsanlığı ekibinin şifre yöneticinizi kırması durumunda, başınız belaya girer. Bir parola yöneticisi kullanmanın sayısız faydası vardır ve bunların arasında kimlik avı dolandırıcılığına karşı koruma vardır.
“Bilmediğin bir şifreyi girmek için şifre yöneticine güveniyorsun. Bir kimlik avı sitesine girerseniz, şifre yöneticisi onu doldurmaz” dedi Schechter. "Gidip şifre yöneticisinde aramanız gerekecek ve bu tek başına kimlik avına çıktığınıza dair büyük bir ipucu."
En İyi Şifre Yöneticilerimiz
Daha önceki bir çalışmada, Schechter ve bir meslektaşı, bireylerin güçlü parolaları hatırlama yeteneklerini değerlendirdi. Güzel haberler? Neredeyse herkesin çok güçlü bir şifreyi ezberleyebileceğini belirlediler. Ancak kötü haber şu ki, bunu yapmak yarım saatten az olmamak üzere 20-30 eğitim seansı gerektiriyordu ve düzenli kullanılmadığı takdirde şifre unutulabiliyordu.
Parola yöneticisi kullanmanın tüm faydaları üç varsayıma bağlıdır: Kullanıcıların güçlü bir parolayı ezberleyeceğini varsayıyoruz; şifre yöneticisinin rastgele şifreler oluşturma yeteneğine güveneceklerini; ve zayıf, yeniden kullanılan veya güvenliği ihlal edilmiş tüm şifreleri değiştireceklerini. Ama bu varsayımlar doğru mu? Schechter, verilerin yokluğunda iyimserliği tercih etmek yerine, yüksek lisans öğrencilerini gerçeği aramaya teşvik etti.
Veri, Veri, Veri
Yüksek lisans öğrencisi David Ng, grubun katılımcılarını nasıl bulduğu hakkında çok ayrıntılı bilgi verdi ve beş aydan fazla bir süredir parola yöneticisi kullanan yaklaşık 2500 kişiden oluşan bir başlangıç havuzunu yaklaşık 100 kişiye indirdi; en az beş şifre yönetti; ve şifre yöneticilerinin güvenlik panosunun bir ekran görüntüsünü sağlamaya istekliydiler.
Peki, katılımcılar güçlü bir ana şifre kullandılar mı? Çok azı parola yöneticisinin daha sonra ezberleyeceği bir parola oluşturmasını sağladı. Çok daha büyük bir grup, PCMag'de sıklıkla önerdiğimiz gibi, anımsatıcı bir cihaz kullanarak bir parola oluşturdu. Ne yazık ki, en büyük grup, parola yöneticileri için ana anahtar olarak tanıdık bir parolayı yeniden kullanmayı kabul etti.
Tüm parolalarınızı 12345678 veya başka bir korkunç parolaya ayarlanmış halde bırakırken tuş vuruşlarını kaydetmek için bir parola yöneticisi kullanabilirsiniz. Doğru kullanım, elbette, bu zayıf parolaları parola yardımcı programı tarafından oluşturulan bir parolayla değiştirmenizi gerektirir. Çalışma, Chrome'un yerleşik şifre yöneticisine güvenenlerin ancak beşte birinin şifre oluşturmasına izin verdiğini buldu. Üçüncü taraf yardımcı programlara güvenenlerin yaklaşık yarısı bu özellikten yararlandı.
Çalışma, katılımcıların güvenlik panosu özelliğinin zayıf, yinelenen ve güvenliği ihlal edilmiş parolaları belirleme yeteneğini nasıl (ve kullanıp kullanmadıklarını) incelemeye devam etti. Sonuçlar cesaret kırıcıydı. Parola aracının değiştirilmesi gereken parolaları doğru bir şekilde belirlediğini kabul eden katılımcılar bile genellikle sorunla ilgili hiçbir şey yapmadı. Sebepler, çok fazla iş olması veya parolayı güncellemenin bir soruna neden olabileceğinden endişe etmeleriydi.
İnsanların Ne Yaptıklarını Bildiklerini Sanmayın
Ng, sunumu güvenlik uzmanlarına ve bireylere bir uyarı ile tamamladı. İnsanların parola yöneticilerine sahip olması, tamamen korundukları anlamına gelmez.
"İnsanların güçlü ana parolalar seçeceğini varsaymayın. Parola yöneticisi tarafından oluşturulan parolaları kullanacaklarını varsaymayın. Zayıf, yeniden kullanılan veya güvenliği ihlal edilmiş parolaların bile yerini alacaklarını düşünmeyin. hatırlatıldığında."
Editörlerimiz Tarafından Önerilen
Şifreler Nasıl Doğru Yapılır?
Çok fazla kişinin bir parola yöneticisi kurduğunu ve ardından bunu doğru şekilde kullanmadığını gördünüz. Onlar gibi olma! Hatalarının öğretilebilir anlarınız olmasına izin verin.
Bu ana parolayla başlayın. Belirtildiği gibi, oturum açma kimlik bilgileriniz hazinenizi korur, bu nedenle hatırlayabileceğiniz, ancak kimsenin tahmin edemeyeceği bir şey olmalıdır. Favori bir şiiri veya şarkıyı şifreye dönüştürmek için tavsiyemizi takip edin veya kişisel hayatınızdan tahmin edilemez bir şey seçin.
Orada durma! Çok faktörlü kimlik doğrulamayı etkinleştirerek değerli parolalarınızın korumasını iyileştirin. Tüm en iyi şifre yöneticileri buna sahiptir. Artık, tahmin edilemez parolanızı çalan bir kötü niyetli kişi bile içeri giremez, çünkü diğer kimlik doğrulama faktörüne yalnızca siz sahipsiniz. Bu faktör biyometrik olabilir veya cebinizdeki (ve başka hiç kimsenin) telefonunuzdaki bir uygulama aracılığıyla çalışabilir.
Birçok şifre yöneticisi, kayıtlı şifrelerinizi derecelendirir, hatalı olanları, birden çok kez kullandığınızı veya bir veri ihlaline maruz kalanları işaretler. Sıkıcı olduğunu biliyorum, ancak bunların üzerinde çalışmalı ve hepsini uzun, güçlü yeni şifrelerle değiştirmelisiniz. En kötü olanlarla başlayın ve tüm şifreleriniz mükemmel olana kadar her seferinde birkaç tane yapın. Bu yeni şifreleri düşünmek zorunda değilsiniz; şifre yöneticiniz bunları sizin için üretecektir.
Belki de telefonunuzun küçük klavyesine yazmak istemediğiniz için karmaşık şifreler kullanmaya direndiniz? Artık direnme! Şifre yöneticinizin mobil uygulamasını yükleyin ve hesabınıza bağlayın. Artık telefonda oturum açmak çok kolay.
Meydan okumaya katılın ve şifre yöneticinizi doğru kullanmayı öğrenin. Yeterince bunu yaparsanız, belki bir sonraki çalışma bazı insanların bu faydalı programlardan tam olarak yararlanacak kadar akıllı olduğunu gösterecektir.