A nagy értékű jelszavak kockáztatása nélkül is elkezdheti
Ha a fenti kockázatok miatt vonakodik attól, hogy minden fiókjához jelszókezelőt használjon, fontolja meg, hogy azokkal a jelszavakkal kezdjen, amelyek elvesztése vagy veszélyeztetése miatt a legkevésbé aggódik.
Például valószínűleg nem érdekli egy olyan jelszó, amellyel egy szoftverprogram hétnapos próbaelőfizetését, újságcikkeket vagy kutatásokat készít. Ha sok különböző weboldalon vásárol, lehet, hogy tucatnyi fiókja van, amelyek mind ugyanazon információk másolatát védik: a hitelkártyaszámát, a telefonszámát és a címét. Ezen információk egyike sem túl titkos, a felelőssége korlátozott, ha ellopják a hitelkártyaszámát, és a legtöbb vásárlási webhely jelszavát könnyen visszaállíthatja, ha kap egy jelszó-visszaállító e-mailt.
Azzal, hogy a kisebb értékű jelszavakkal kezd, megismerkedhet a jelszókezelők működésével, miközben a hibák következményei alacsonyak. Ahogy tapasztalatot szerez, jobban megérti majd a kockázatokat és az előnyöket is. Lehet, hogy ha már nem kell létrehoznia, megjegyeznie és begépelnie ezeket az alacsonyabb értékű jelszavakat, akkor a megtakarított erőfeszítés egy részét a nagyobb értékű fiókok jelszavainak védelmére fordíthatja.
A jelszókezelőt arra is használhatja, hogy véletlenszerű jelszavakat generáljon, amelyeket nem kellene elmentenie. Ezeket valószínűleg érdemes lesz leírni. Idővel képesnek kell lennie arra, hogy megtanulja a véletlenszerű jelszavakat néhány fiókhoz pusztán ezek használatával.
A legtöbb felhasználó új szoftver megvásárlása vagy letöltése nélkül is belevághat. Ha elsősorban Safarit vagy Chrome-ot használ, mindkét böngésző rendelkezik jelszókezelővel, amely véletlenszerű jelszavakat generál Önnek. Nem fogok foglalkozni a Brave, az Edge vagy a Firefox böngészővel, mert e cikk írásakor ezek nem generálnak jelszavakat.
Míg érdemes megfontolni az önálló jelszókezelőket, különösen, ha az értékesebb fiókok jelszavait tárolja, könnyen importálhatja ezekbe a Chrome vagy Safari beépített jelszókezelőinek kipróbálása során elmentett jelszavait.
A Chrome-on való túllépés egyik oka, hogy az nem fogja azonosítani, hogy mely jelszavakat használta újra az egyes webhelyek között . Az újrahasznált jelszavak ellenőrzése elengedhetetlen ahhoz, hogy a jelszókezelő által kínált biztonsági előnyökhöz jusson. A legtöbb önálló jelszókezelő kínál auditálási funkciót, és a Safari beépített jelszókezelője (az Apple Keychain) nemrégiben szintén hozzáadott egyet.
Még ha igyekszik is nem tárolni a fontos jelszavakat a jelszókezelőjében, akkor is érdemes rendszeresen felülvizsgálni, hogy mely jelszavakat mentette el, és melyeket használja újra – egyes fiókok, amelyek értéktelennek tűntek, amikor létrehozta őket, idővel értékesebbnek bizonyulhatnak. Egyes jelszókezelők arra is felhívják a figyelmet, ha egyes jelszavai nyilvánvalóan gyengék (pl. ha szerepelnek a gyakori jelszavak listáin.) Ha le szeretné cserélni régi jelszavait, a munka mennyisége ijesztő lehet. Nem kell megvárnia, amíg elég ideje lesz mindet egyszerre megváltoztatni; állítson fel fontossági sorrendet, és kezdjen hozzá.
A jelszókezelők, amelyek tesztelik, hogy újra használt-e egy jelszót, csak akkor teszik ezt meg, ha engedélyezi számukra a jelszó tárolását. Ha csak a kis értékű fiókok jelszavait tárolja, a jelszókezelő csak azt tudja megmondani, hogy a kis értékű jelszavak közül melyeket használta újra. Nem ismerek olyan jelszókezelőt, amely figyelmeztetné Önt, ha egy másik oldalra elmentett jelszót ír be az aktuális weboldalra . Nincs technikai oka annak, hogy a legtöbb jelszókezelő ne tudna figyelmeztetni az ilyen jelszó-újrafelhasználásra, ezért remélem, hogy néhányan hamarosan figyelmeztetni fogják.
Tanuljon meg egy erős főjelszót
A legtöbb jelszókezelő egy másik jelszóval védi a jelszavakat, amelyet általában főjelszónak neveznek. Az önálló jelszókezelők a használatuk megkezdésekor kérni fogják, hogy hozzon létre egy mesterjelszót. Ha a Google Chrome böngészőjét használja jelszavainak tárolására és eszközönkénti megosztására, jelszavait a Google tárolja, és a Google-fiókja jelszavával védi (az esetlegesen használt második tényezőkkel együtt). Az Apple iCloud Kulcstár elsősorban a készülékek jelszavaira és feloldási funkcióira támaszkodik az adatok rendszeres védelme érdekében, de van egy tartalék mesterjelszó, az úgynevezett iCloud biztonsági kód .
Ne használjon olyan mesterjelszót, amelyet másra is használt. Ezt meg kell ismételni, mert valószínűleg megtanulta a jelszavak újrahasználatára vonatkozó figyelmeztetéseket, miután ilyen tanácsokat kapott olyan fiókokhoz, amelyekkel nem törődik. Ezekkel az értéktelen jelszavakkal ellentétben az összes többi jelszavát védő mesterjelszónak valóban egyedinek kell lennie.
Ha a Google-fiókján keresztül szinkronizált Chrome jelszókezelőt használja, és nem 100%-ig biztos abban, hogy a Google-fiókja erős és egyedi jelszóval rendelkezik, hozzon létre egy újat (miután gondoskodott arról, hogy legyen egy helyreállítási terve arra az esetre, ha elfelejtené az új jelszót, amint azt alább tárgyaljuk). Ez egy jó alkalom annak újraértékelésére is, hogy szükség van-e kétfaktoros hitelesítésre a fiókhoz. Hasonlóképpen, ha az Apple iCloud kulcstárát használja, ne használjon újra jelszót iCloud biztonsági kódként.
A fő jelszónak véletlenszerűen generáltnak és elég hosszúnak kell lennie ahhoz, hogy megvédje a jelszavát még akkor is, ha a támadók megszereznék egy webhely titkosított jelszólistáját, és megpróbálnák feltörni a titkosítást. Annak érdekében, hogy jelszava valóban véletlenszerű legyen, hagyja, hogy jelszókezelője generálja azt (vagy használjon kockát és egy szólistát). Sokan tévesen azt hiszik, hogy véletlenszerűséget tudnak generálni azáltal, hogy betűket idéznek meg az elméjükben, vagy a billentyűzetükön csapkodnak, de sok olyan mentális folyamat, amelyet véletlenszerűnek gondolunk, valójában nem igazán véletlenszerű. Egy jó jelszókezelő kriptográfiai véletlenszám-generátorral biztosítja, hogy a jelszava kellően véletlenszerű legyen (a kocka pedig a fizikai véletlenszerűség bevált forrása, amelynek igazságosságát egyszerűen gurítással ellenőrizheti).
A fő jelszónak legalább 12 kisbetűs karakterből vagy öt szóból kell állnia. Miért használjon kisbetűket vagy szavakat, amikor a múltban valószínűleg azt mondták (és kényszerítették), hogy nagybetűket és szimbólumokat használjon? Ha a jelszót képernyőn megjelenő billentyűzettel rendelkező eszközön (például a telefonján) kell beírnia, minden egyes nagybetűs betű vagy szimbólum további billentyűk lenyomását igényelheti. Ugyanezt a biztonságot elérheti, és rengeteg frusztrációtól kímélheti meg magát, ha a csak kisbetűs jelszavát csak 30%-kal hosszabbá teszi, mintha vegyes betűket használna. Más szóval, egy véletlenszerűen generált 13 karakteres kisbetűs jelszó, amelyet 13 billentyűleütéssel lehet megadni, ugyanolyan biztonságos, mint egy 10 karakteres vegyes jelszó, amelyhez sokkal többre lehet szükség.
Ne számítson arra, hogy azonnal megtanulja az új fő jelszót – nagyon kevés ember képes egy hosszú, véletlenszerűen generált jelszót egy ülés alatt megtanulni. Inkább az a legjobb módja a mesterjelszó megtanulásának, ha leírja és gyakran használja. Állítsa be a jelszókezelőjét úgy, hogy legalább naponta egyszer újra be kelljen írnia, amíg nem tudja, és csak akkor dobja ki a papíralapú példányt, ha már több napon keresztül megbízhatóan, emlékezetből írta be. Bár az emberek véletlenszerű jelszavak megtanulásának képessége nem jól tanulmányozott, az általam és munkatársaim általam végzett kutatások szerint 10 és 30 használat között van az emlékezéshez. (Ez a kutatás olyan technikákat vizsgál, amelyekkel a jelszókezelők segíthetnek az erős mesterjelszavak megtanulásában, de jelenleg egyik sem nyújt segítséget.)
Végezetül ne feltételezze, hogy nem fogja elveszíteni a mesterjelszó papírmásolatát, mielőtt megjegyezte volna, vagy hogy később nem fogja elfelejteni.
Tényező helyreállítás a jelszókezelő kiválasztásánál
Mivel az egyik legnagyobb különbség a jelszókezelők között az adatok helyreállításának folyamata, ha elveszíti a mesterjelszavát, ne válasszon jelszókezelőt anélkül, hogy utánanézne annak vészhelyzeti helyreállítási folyamatának. Miután meghozta a döntését, a mesterjelszó kiválasztása mellett az első dolog, amit tennie kell, hogy beállítja ezt a helyreállítási folyamatot. Erre nagyon hamar szüksége lehet, mivel a legnagyobb valószínűséggel röviddel a mesterjelszó létrehozása után, és még azelőtt elfelejti a mesterjelszót, hogy többszöri használat során megtanulta volna.
Míg a jelszavak elvesztésének következményei csekélynek tűnhetnek, amikor a dolgokat beállítja, és még nincsenek elvesztésre ítélt mentett jelszavai, hamar függővé válhat a jelszókezelőjétől. Tévesen feltételezheti, hogy ha egyszer megtanulta a jelszavát, soha nem fogja elfelejteni. Bár a leggyakoribb, hogy a jelszavakat röviddel a létrehozásuk után elfelejtik, az is gyakori, hogy egy olyan időszak után felejtik el őket, amikor nem használják őket. Például elfelejtheti a következő tervezett nyaralás után, vagy ahogy egy barátom néhány évvel ezelőtt megtanulta, egy nem tervezett kórházi tartózkodás után.
Miért kezeli minden termék másképp a helyreállítást? Részben azért, mert ez egy igazán nehéz probléma még a világ legnagyobb, legjobban finanszírozott és a nagyszerű használhatóságáról ismert vállalatok számára is. Vegyük például az Apple iCloudját, amely a Safari által használt iCloud kulcstárat tárolja. Az iCloud-fiókok helyreállításának egyik módja az ügyfélszolgálaton keresztül történik, de a hackerek becsapták az ügyfélszolgálati ügynököket, hogy kompromittálják a felhasználói fiókokat, többek között egy nagynevű riporter esetében 2012-ben. Ezért az Apple azt is felajánlotta a felhasználóknak, hogy tároljanak egy véletlenszerűen generált jelszót, amelyet a helyreállításhoz használhatnak (az Apple ezt helyreállítási kulcsnak nevezte el), és úgy konfigurálják a fiókjukat, hogy az ügyfélszolgálat ne tudja megváltoztatni a jelszavukat. Kevés felhasználó fogadta el a helyreállítási kulcsokat, és néhányan, akik megtették, felháborodtak, amikor rájöttek, hogy valójában az ügyfélszolgálat már nem tudott segíteni nekik, amikor szükségük volt rá. Az Apple 2015-ben leállította a helyreállítási kulcsok kínálatát. Az Apple jelenleg lehetővé teszi a jelszavak visszaállítását az ügyfelek telefonszámon keresztüli ellenőrzése után, annak ellenére, hogy ez a folyamat meglehetősen támadható.
Ha ez nem lenne elég rossz, a követelmények, amelyek meghatározzák, hogy az ügyfélszolgálat visszaállítja-e egy felhasználó jelszavát vagy más hitelesítő adatait, nem nyilvánosak. Azon vállalatok közül, amelyek lehetővé teszik az ügyfélszolgálat számára, hogy visszaállítsa a felhasználók fiókjának hitelesítő adatait, nem tudok olyanról, amelyik megosztaná azokat a szabályokat, amelyek alapján döntést hoznak arról, hogy mi szükséges a visszaállításhoz. E szabályok nélkül a felhasználók nem tudhatják, hogy milyen feltételek mellett tudják visszaállítani a fiókjukat, és milyen feltételek mellett tudja egy támadó átvenni a fiókjukat. Érdemes megismételni: ezek a vállalatok elvárják, hogy rájuk bízza a fiókját, de nem mondják el azokat a szabályokat, amelyek meghatározzák, hogy továbbra is hozzáférhet-e a fiókjához, vagy egy támadó ellophatja azt Öntől.
Ahelyett, hogy átláthatatlan ügyfélszolgálati szabályokra támaszkodnának, sok jelszókezelő olyan megoldásokat használ, amelyek kevésbé sérülékenyek a támadásokkal szemben, de sérülékenyebbek a véletlen elvesztéssel szemben.
A nyílt forráskódú jelszókezelők, a KeePass és a PasswordSafe (az eredeti jelszókezelő) rád bízzák, hogy megtaláld a jelszavaidat tartalmazó fájl tárolásának és biztonsági mentésének módját, valamint a fájlokban lévő adatok védelmére (titkosítására) használt kulcsot. Ha tehát meg akarja osztani a jelszavait a gépek között, akkor létre kell hoznia egy online fájltároló fiókot (pl. DropBox). A biztonsági másolatod lehet a fő jelszó és a fájlmegosztó fiók jelszavának írásos másolata. Ha kétfaktoros hitelesítést használ ezen a fiókon, akkor ahhoz is szüksége lesz egy biztonsági másolatra.
A LastPass, a Keeper , és a Dashlane lehetővé teszi, hogy előre engedélyezze a vészhelyzeti kapcsolattartók hozzáférését a fiókjához… feltéve, hogy nekik is van fiókjuk ugyanannál a jelszókezelőnél. Ez a követelmény azért van, mert ezek a termékek kriptográfiát használnak annak biztosítására, hogy a barátaid, de nem a cégek hozzáférjenek ezekhez az adatokhoz. Ez segít megvédeni Önt, ha a szolgáltatásukat feltörik, vagy ha egy támadó sikeresen adja ki magát Önnek az ügyfélszolgálati személyzetüknél. A hátránya az, hogy egy támadó, aki kompromittálja a kapcsolattartója fiókját, ezután képes lehet kompromittálni az Önét. Csökkentheti ennek esélyét, ha időbeli késleltetést iktat be, mielőtt az Ön adatait kiadják a vészhelyzeti kapcsolattartójának. Ha ismer olyan embereket, akik valamelyik ilyen terméket használják, és akikben megbízik, hogy az ön vészhelyzeti kapcsolattartója legyenek, akkor az a termék jobb lehet az ön számára, mint azok, amelyeket az ön kapcsolattartói nem használnak.
A 1Password esetében a főtitkot valójában két darabból áll: egy titkos kulcsból, amelyet a szoftver minden olyan eszközön tárol, amelyre a jelszavakat feltette, és a fő jelszóból. Ahhoz, hogy egy új eszközt használhasson az 1Passworddel, a titkos kulcsot át kell helyeznie rá. A titkos kulcsot egy “vészhelyzeti készlet” létrehozásával mentheti, amely egy kinyomtatható PDF, amely tartalmazza a titkos kulcsot, és helyet biztosít a mesterjelszó felírására. (Remélhetőleg a kézírásod jobb, mint az enyém.) A LastPasshoz és a Dashlane-hez hasonlóan az 1Password is úgy alakította ki online szolgáltatását, hogy ne őrizze meg ezeket a titkokat, így az ügyfélszolgálat nem tud segíteni egy támadónak – vagy neked – abban, hogy ezek nélkül hozzáférjen az adataidhoz. A LastPass-szal és a Dashlane-nel ellentétben a helyreállítási folyamatuk nem igényel semmilyen interakciót a szolgáltatással, vagy bárki mással. Ez teszi az 1Passwordet vitathatatlanul a legprivátabb opcióvá, de minden ügyfélnek ára van az ilyen szintű adatvédelemnek: az 1Password nem tudhatja, hogy az ügyfelek hány százaléka nyomtatott ki helyreállítási készletet, hányan használták sikeresen, és hányan vesztették el örökre a jelszavaikat. Az egyetlen adat, amely segíthet nekik javítani a helyreállítási folyamat megbízhatóságát, abból származik, amit a felhasználók önkéntesen megadnak, ha kapcsolatba lépnek az ügyfélszolgálattal.
Ha Chrome-ot használ Google-fiókkal és kétfaktoros hitelesítéssel, tíz egyszer használatos helyreállítási jelszót kaphat (nyolcjegyű számokat hívnak biztonsági kódoknak), amelyek helyettesíthetik a két tényező egyikét. A Google azt ajánlja, hogy “nyomtassa ki vagy töltse le” ezeket. A Google ezeket a kódokat is tárolja, így a jól kezelt, véletlenszerűen generált jelszavakkal ellentétben a kódok veszélybe kerülhetnek, ha a Google-t behatolás éri.
Ha nyomtatott helyreállítási titkot használ a Chrome vagy az 1Password segítségével, vagy ha sajátot készít a KeePass vagy a PasswordSafe számára, el kell döntenie, hol tárolja a helyreállítási titkokat a nyomtatás után. Egy páncélszekrény vagy egy otthoni széf megfelelő lehet, különösen, ha már rendelkezik ilyennel, vagy amúgy is szüksége van rá. Nincs technikai oka annak, hogy ne oszthassa meg barátaival a helyreállítási titkok kinyomtatott példányait. Ha mégis megtenné, talán nem szeretné, hogy a lapon szerepeljen, hogy kinek szól, mivel ennek a ténynek a kizárása némi védelmet nyújthat, ha ellopják. Egy másik lehetőség, hogy két megbízható ismerősnek egy kód felét, vagy három megbízható ismerősnek egy-egy kód kétharmadát adja meg (így bármelyik két ismerős segíthet Önnek).
Ha a fenti lehetőségek egyike sem tetszik, akkor az összes jelszavát rendszeresen kinyomtathatja vagy leírhatja. Ha nyomtat, akkor arra kell hagyatkoznia, hogy a nyomtatója biztonságos, és a nyomtatóhoz biztonságos hálózati kapcsolattal rendelkezik.
Az elsődleges e-mail jelszava szintén különös figyelmet igényel a helyreállítási stratégia megtervezésekor, mivel sok más jelszó is visszaállítható e-mailben. Talán ez a legfontosabb jelszó, amelyet véletlenszerűen generált jelszóra kell cserélni, de erre lesz a legnagyobb szüksége, ha elveszíti a jelszókezelőhöz való hozzáférést. Ha megváltoztatja ezt a jelszót, érdemes megfontolnia, hogy leírja vagy biztonsági másolatot is készítsen róla.