it-swarm.dev

L'utente medio ha davvero bisogno di un gestore di password?

Mi descriverei come un utente medio esperto di computer. Ho molti account nei forum, nei siti di shopping, ecc. Dove riciclo due password moderatamente forti con una piccola variazione. Questi sono account in cui non mi interessa se qualcuno può accedervi ed è per questo che li ho salvati nel gestore delle password del browser. Ad esempio, non mi interessa se qualcuno accede al mio account del forum Alfa Romeo o al mio account Deal Extreme perché non possono farmi del male.

Ora per il mio internet banking e l'e-mail principale, è una storia diversa. Uso una password complessa per il mio internet banking che NON riciclo e non l'ho salvata nei gestori password del mio browser. Per le transazioni bancarie utilizzo un token hardware. Per il mio gmail utilizzo una verifica in due passaggi con un'altra password complessa. A me sembra un metodo abbastanza sicuro in cui mantengo ciò che è importante al sicuro e allo stesso tempo non sto intasando la mia mente con troppe password o preoccupandomi di quale sarebbe l'ultima violazione della sicurezza nel mio gestore delle password.

Grazie!

41
Vladimir

Sì.

L'utente medio dovrebbe usare password long random per ogni sito. Le password non devono essere ripetute, le password non devono seguire un modello riconoscibile. Il compromesso di una sola password (ad es. Il tuo accesso Adobe o LinkedIn) non deve essere consentito per facilitare l'attaccante nell'indovinare le tue altre password. Questi requisiti rendono quasi impossibile ricordare le password. Ma questo non è il motivo principale per cui dovresti usare un gestore di password.

Il motivo principale è che ti protegge in modo affidabile dagli attacchi di phishing. Un gestore di password integrato nel browser solo inserisce una password specifica del sito se stai effettivamente visitando il sito corretto. Quindi non digiti accidentalmente la password di Paypal.com in www.Paypal.com.us.cgi-bin.webscr.xzy.ru. Questo è doppiamente vero per medio utenti, che in media si affidano alla familiarità generale di un sito per determinare se è legittimo (un euristico terribilmente inefficace) . Dato che non conosci la tua password, non puoi digitarla. Invece, si riempirà automaticamente solo se ti trovi nel sito autentico.

Utilizza un gestore di password integrato nel browser, non ricevere phishing. È letteralmente così semplice. Il phishing è comunque una minaccia molto più diffusa e grave della divulgazione di password.

69
tylerl

C'è qualche pensiero interessante in corso nei laboratori di ricerca Microosft che supporta il tuo approccio. http://research.Microsoft.com/apps/pubs/default.aspx?id=2271 ad esempio.

Indicano che non tutti gli account protetti da password sono uguali. Li categorizzano come:

  • conti non preoccupati (porte sbloccate).
  • conti a basso rischio (porte da giardino chiuse).
  • conti di media conseguenza (porta d'ingresso chiusa a chiave).
  • conti ad alto rischio (porte del caveau di una banca).
  • resoconti ultra sensibili (quelle fantastiche porte che ci piace immaginare sono al NORAD).

e sottolinea che è uno sforzo inutile rendere le password su account non importanti come quelle sugli account ad alta conseguenza. Se non ti interessa un account, perché non dovresti usare "password" come password?

Sono d'accordo con loro, ma uso ancora un gestore di password e ho password complesse uniche per tutto per il semplice motivo che non voglio passare il tempo a capire quale valore apprezzo su ciascun account. Con il mio gestore di password, ho appena fatto tutto al massimo e me ne dimentico.

Quindi consiglierei un gestore di password per l'utente medio, perché è il modo più semplice per fargli usare password complesse.

10
Graham Hill

Altri hanno sottolineato i vantaggi per la sicurezza, mi concentrerò solo sulla convenienza e l'inconveniente.

Se usi il tuo gestore di password per tutto ciò che faccio, salvo i luoghi in cui il gestore è inaccessibile, diventi condizionato a usare la sua comodità.

Siti diversi hanno politiche diverse e quindi a volte non è nemmeno possibile lasciare la porta aperta, è necessario capitalizzare la prima lettera o qualunque sia la rapida derivazione della password di utilizzo ovunque.

Ci sono molte volte in cui non riuscivo a ricordare se avessi usato la password sbagliata o se avessi bisogno di capitalizzare qualcosa o se stavo usando il nome utente o l'e-mail sbagliati.

I migliori gestori di password ricordano queste cose per te anche se svuoti la cache del browser. Ciò ha l'ulteriore vantaggio di sicurezza di sconfiggere i tentativi di phishing quando si utilizzano i plug-in che registrano le proprie credenziali su un dominio, come fa LastPass.

Tuttavia, non sempre è conveniente quando si utilizza un browser desktop, LastPass per iPhone non si integra con Safari, ma è esso stesso un browser e può essere utilizzato per copiare la password negli Appunti.

Ad essere sinceri, al contrario, se non sai quali sono le tue password e non hai accesso al tuo manager, non stai accedendo a nulla.

4
Andrew Hoffman

Posso darti un esempio di come potrei sfruttarti?

Uno dei forum (i frutti più bassi) trapelano i dettagli dell'utente, ora ho il tuo nome, indirizzo email, password e posso eventualmente elaborare alcune delle tue abitudini di navigazione.

Supponiamo che non ho la tua password in testo normale, quindi ti invio un'email che ti informa che il tuo account è stato compromesso, vai su ALFAR0ME0F0RUM.COM che ti offre la pagina "cambia la password" come previsto. Hai inserito una varietà della tua normale password, ora ho una variante della tua normale password in testo semplice. Ora posso facilmente decifrare la tua password originale, ora ho 2 delle tue password riciclate.

Ora supponiamo che tu abbia usato un account di posta elettronica non principale per AlfaRomeoForum.com che utilizza le password riciclate. Ora posso vedere tutti i servizi a cui ti sei registrato con quell'indirizzo e-mail e posso indovinare le password.

Hai comprato qualcosa usando questo indirizzo email, ora so cosa hai comprato e quando.

Ooh guarda, ecco un servizio che ha il tuo indirizzo e-mail principale su di esso (sono loggato ed è username/password e hai cambiato l'indirizzo e-mail ad un certo punto)

Ora posso telefonarti e farti alcune domande di sicurezza a causa di un problema con il tuo ordine. Hai impostato l'account abbastanza tempo fa che non riesci a ricordare che non sono state poste domande sulla sicurezza durante la configurazione dell'account di questo negozio.

Supponiamo che tu abbia un iPhone, ora posso telefonare per una password temporanea, posso rispondere alle domande di sicurezza perché me le hai detto. ora ho accesso al tuo iMessage che è anche i tuoi messaggi di testo.

Chiedo una reimpostazione della password dal tuo principale provider di posta elettronica che necessita di un pin che viene inviato al tuo telefono tramite sms. Ora ho accesso alla tua email e posso instradarlo come ho fatto con l'altro.

Al momento non riesco a pensare a come compromettere il tuo conto bancario, ma ora puoi vedere come un singolo buco nella sicurezza può aprire tutto? anche se avessi usato la tua e-mail principale per l'account originale che era stato compromesso, avrei comunque potuto cercare i tuoi account, è solo che sarebbero stati più difficili da trovare.

se pensi che la gente non lo farebbe vedere qui

4
Topher Brink

Sì, la maggior parte dei gestori di password ti impedisce di fare cose come mettere la tua password nel sito sbagliato.

Il pensiero tradizionale di cambiare le password su base regolare si applica davvero ai siti in cui l'attore malintenzionato vorrebbe lasciar perdere o fare le cose in silenzio con il tuo account. Cose come siti di social media o e-mail. In quei momenti è bene cambiare regolarmente la password. Ciò rende più difficile ricordare le password e quindi un altro vantaggio di un gestore di password.

Da Schneier: "Il motivo principale per fornire una credenziale di autenticazione - non solo una password, ma qualsiasi credenziale di autenticazione - una data di scadenza è limitare la quantità di tempo in cui una credenziale persa, rubata o falsa può essere utilizzata da qualcun altro. Se una tessera associativa scade dopo un anno, quindi se qualcuno ruba quella tessera può al massimo trarne beneficio per un anno. Successivamente, è inutile. "

I siti di cui le persone sembrano preoccuparsi maggiormente delle password, come i siti bancari o altri siti finanziari, sono in realtà meno importanti per cambiare frequentemente con la stessa frequenza. Un attore malintenzionato che ottiene questa password la utilizzerà e noterai (se non lo noti, hai problemi molto più grandi delle password).

Detto questo, sì, i gestori di password sono ottimi per gli utenti medi, ma ancora più importante è ricordare che le password sono una forma molto insicura di protezione dei dati. monitorare i tuoi account, limitare l'accesso ai tuoi account da posizioni che non hanno familiarità e monitorare i tuoi account (sì, lo ripeterò ancora e ancora).

1
David