Zalecam regularnie, aby ludzie używali jakiegoś systemu zarządzania hasłami, który pozwala im ustawić trudne do złamania hasła (krótkie i skomplikowane lub długie i łatwe do zapamiętania) unikalnie dla każdej witryny i usługi, a także pozwala im wypełnić te hasła wszędzie tam, gdzie muszą.
Lowell Nelson wysłał mi e-mail kilka tygodni temu zastanawiając się, dlaczego jestem tak gorąco na opcje innych firm, takich jak 1Password, Dashlane, i LastPass, gdy Apple ma solidne, wieloplatformowe rozwiązanie z własnej, która obejmuje synchronizację: Keychain. (Keychain bardziej szczegółowo opisuje część dla OS X, podczas gdy iCloud Keychain pozwala na synchronizację między urządzeniami i korzystanie z iOS.)
To wspaniałe pytanie, a ja wolę nie mówić ludziom, aby kupili płatną usługę (czy to jednorazową opłatę, czy subskrypcję), chyba że użyteczność tej usługi jest tak wysoka, że przewyższa koszty.
Przejrzyjmy się szczegółom. Ponieważ przetestowałem i zbadałem 1Password i LastPass szeroko, używam ich jako podstawy do porównania. Powinieneś być w stanie znaleźć odpowiedzi na każdy z poniższych punktów w FAQ lub opisach funkcji dla każdej wystarczająco solidnej alternatywy.
While’s Apple’s Keychain, 1Password, i LastPass mogą bezpiecznie przechowywać inne rodzaje danych, hasła są najbardziej niezawodnym elementem, który może być używany w całym ekosystemie i na różnych platformach.
Jak bezpieczne są Twoje dane?
Hasła „bezpieczne” muszą być bezpieczne w trzech głównych obszarach:
-
Dane w stanie spoczynku na urządzeniu. Hasła powinny być zabezpieczone na urządzeniu przed uzyskaniem dostępu przez kogokolwiek poza właścicielem.
-
Dane przechowywane na serwerach. Uzyskanie dostępu i odszyfrowanie haseł przechowywanych w chmurze powinno być trudne lub niemożliwe dla osoby atakującej.
-
Dane przesyłane podczas synchronizacji lub dostępu do i z sieci Web. Silne szyfrowanie powinno uniemożliwić snooperowi odszyfrowanie nowych wpisów, pobrań i aktualizacji, a także sesji interaktywnych.
Keychain i iCloud Keychain są dość solidne pod tym względem. Systemy OS X i iOS muszą być odblokowane, aby wypełnić wpisy Keychain, a aplikacja Dostęp do Keychain w systemie OS X wymaga hasła administracyjnego lub użytkownika, aby odblokować i wyświetlić hasła. Dzięki Touch ID lub kodowi dostępu w systemie iOS oraz FileVault 2 w systemie OS X hasła są bardzo bezpieczne również wtedy, gdy użytkownik jest wyłączony (OS X) lub zablokowany (iOS). iCloud Keychain wykorzystuje szyfrowanie oparte na urządzeniu, co uniemożliwia firmie Apple odszyfrowanie haseł (lub zmuszenie jej do tego).
1Password i LastPass używają „drogiej” metody szyfrowania haseł dla lokalnie przechowywanych baz danych, dzięki czemu nawet jeśli ktoś wejdzie w ich posiadanie, cracker może tylko łamać hasła w bardzo, bardzo wolnym tempie. LastPass przetestował to nieumyślnie po włamaniu: nie pojawiły się żadne doniesienia o odblokowaniu skarbców haseł.
LastPass synchronizuje wszystko przez swoje serwery, ale szyfruje za pomocą kluczy znanych tylko użytkownikom. 1Password synchronizuje się za pośrednictwem Dropbox i innych usług w chmurze (opierając się na ich zabezpieczeniach i metodach szyfrowania w stanie spoczynku), a także poprzez dodatkowe subskrypcje umożliwiające udostępnianie członkom rodziny lub zespołu, ale blokuje wszystko za pomocą kluczy należących do użytkownika.
LastPass i opcje zespołowe lub rodzinne dla 1Password również umożliwiają dostęp przez przeglądarkę internetową i korzystają z odszyfrowywania opartego na przeglądarce zamiast natywnego oprogramowania klienckiego; firmy nie posiadają kluczy użytkownika. Poleganie na przeglądarce ma jednak pewien słaby punkt. Złośliwe oprogramowanie i inne exploity oparte na przeglądarce sprawiają, że przeglądarki są znacznie bardziej podatne na ataki w porównaniu z poziomem bezpieczeństwa dostępnym dzięki natywnym aplikacjom i synchronizacji w chmurze. Błędy w Safari w systemach iOS i OS X są odkrywane regularnie (choć niewiele z nich jest widocznych na wolności), a Ty możesz ulec pokusie uzyskania dostępu do swoich haseł z nieznanej maszyny z innym systemem operacyjnym.
Jak łatwy jest system w użyciu?
System haseł musi być łatwy do wywołania. Jeśli tak nie jest, nie będziesz go konsekwentnie używać, ponieważ taka jest ludzka natura. Co gorsza, jeśli instalujesz go dla kogoś innego, aby poprawić jego bezpieczeństwo, może być mało prawdopodobne, aby go użyć w ogóle, jeśli nie jest to ciągłe przypomnienie i super proste.
Keychain jest używany głównie przez firmę Apple jako sposób na zapamiętywanie haseł do określonych pól na stronach internetowych oraz do przechowywania haseł do automatycznego pobierania i omijania w swoim oprogramowaniu (jak AirPort Admin w systemie operacyjnym) lub w oprogramowaniu innych firm, które korzysta z haków Keychain firmy Apple. W mobilnym i desktopowym Safari, Keychain działa bardzo dobrze, od sugerowania silnego hasła, do przechowywania go, do umożliwienia jego odzyskania lub użycia innych przechowywanych alternatyw.
Ale o ile w OS X jest on bardzo przydatny, ponieważ więcej programistów go zaadoptowało, a dostęp do Keychain umożliwia bezpośrednie wyszukiwanie i pobieranie, o tyle w systemie iOS trzeba przejść do Ustawienia > Safari > Hasła, aby wyświetlić, edytować lub (przesuwając palcem do samego dołu) dodawać hasła. Ponadto, nie można wywołać Keychain w Apple’s non-Web okna dialogowe logowania, co czyni go bezużytecznym dla wspólnych celów. I choć można wymyślić hasło, gdy go potrzebujesz, to jest niewygodne, aby dostać się do i może być pobrany tylko łatwo na odpowiedniej stronie internetowej.
Apple’s dodanie rozszerzeń począwszy od iOS 8 pozwala 1Password, LastPass, i inne narzędzia do wywołania w Safari i innych aplikacjach. Wiele aplikacji na iOS, z których korzystam, jest powiązanych bezpośrednio z API 1Password, które umożliwia bezpośrednie wywoływanie. W najgorszym przypadku, mogę przełączyć się do LastPass lub 1Password, aby znaleźć hasło, skopiować je, a następnie przełączyć się z powrotem do aplikacji i wkleić go w.
Można również użyć aplikacji do tworzenia silnych haseł, które są przechowywane na tworzenie, synchronizowane automatycznie i kopiowane do schowka do wykorzystania w innych aplikacjach.
Sytuacja międzyplatformowa jest znacznie gorsza. Apple nie udostępnia iCloud Keychain poza własnymi systemami operacyjnymi. 1Password i LastPass (i inne aplikacje) są dostępne na wielu różnych głównych platformach, a dodatkowo mają dostęp przez przeglądarkę (domyślnie w LastPass i jako opcja subskrypcji w 1Password).
iCloud Keychain nie ma mechanizmu dzielenia się z innymi ludźmi – część trwającej narracji, którą omawiam od lat o tym, jak Apple nie projektuje swoich systemów od podstaw, aby rozpoznać, że ludzie pracują w grupach i jako rodziny. (Nie zaczynajmy na problemy z Family Sharing.)
Większość systemów haseł ma jakiś mechanizm do dzielenia się sekretami z innymi, którzy mają konta. 1Password umożliwia bezpośrednie przesyłanie bez subskrypcji lub, od niedawna, selektywnie dzielony dostęp między członków grup biznesowych i rodzinnych. LastPass, ponieważ elementy są przechowywane centralnie, oferuje to od lat.
Wybór między nimi
Jeśli prawie całkowicie używasz haseł tylko na stronach internetowych, tylko używając iOS i OS X, i nie przeszkadza Ci zapamiętywanie i wpisywanie haseł wymaganych przez Apple dla swoich usług, Keychain z iCloud Keychain pasuje do rachunku. Jeśli nie wszystkie te warunki pasują, system zarządzania hasłami jest wart inwestycji.
Aktualizacja: Wcześniejsza wersja tej historii powiedział iOS nie zapewnia dostępu do przechowywanych haseł lub sposób na tworzenie nowych. Tak jest; jest po prostu pochowany w Ustawieniach.
.