Recomand în mod regulat ca oamenii să folosească un fel de sistem de gestionare a parolelor care le permite să seteze parole greu de spart (fie scurte și complicate, fie lungi și ușor de reținut) în mod unic pentru fiecare site și serviciu și, de asemenea, le permite să completeze aceste parole peste tot unde este nevoie.
Lowell Nelson mi-a trimis un e-mail cu câteva săptămâni în urmă întrebându-mă de ce sunt atât de înfocat cu opțiunile terților, cum ar fi 1Password, Dashlane și LastPass, când Apple are o soluție proprie robustă, multiplatformă, care include sincronizare: Keychain. (Keychain descrie mai exact partea de OS X, în timp ce iCloud Keychain permite sincronizarea între dispozitive și utilizarea cu iOS.)
Este o întrebare extraordinară, iar eu prefer să nu le spun oamenilor să cumpere un serviciu plătit (fie că este vorba de o taxă unică sau de un abonament) decât dacă utilitatea acelui serviciu este atât de mare încât depășește costul.
Să analizăm detaliile. Având în vedere că am testat și studiat pe larg 1Password și LastPass, le folosesc ca bază de comparație. Ar trebui să puteți găsi răspunsuri la fiecare dintre punctele de mai jos în întrebările frecvente sau în descrierile caracteristicilor pentru orice alternativă suficient de solidă.
În timp ce Apple’s Keychain, 1Password și LastPass pot stoca în siguranță și alte tipuri de date, parolele sunt cel mai fiabil element care poate fi folosit într-un întreg ecosistem și pe toate platformele.
Cât de sigure sunt datele dumneavoastră?
Un „seif” de parole trebuie să păstreze parolele, ei bine, în siguranță, în trei domenii majore:
-
Date în repaus pe un dispozitiv. Parolele ar trebui să fie securizate pe un dispozitiv împotriva accesului oricărei persoane în afară de proprietar.
-
Date stocate pe servere. Ar trebui să fie dificil sau imposibil pentru un atacator să acceseze și să decripteze parolele stocate în cloud.
-
Date în tranzit în timp ce sunt sincronizate sau către și de la accesul bazat pe Web. O criptare puternică ar trebui să împiedice un spion să descifreze intrările noi, recuperările și actualizările, precum și sesiunile interactive.
Keychain și iCloud Keychain sunt destul de robuste în aceste privințe. OS X și iOS trebuie să fie deblocate pentru a completa intrările Keychain, iar aplicația Keychain Access din OS X necesită o parolă administrativă sau de utilizator pentru a debloca și vizualiza parolele. Cu Touch ID sau un cod de acces în iOS și FileVault 2 în OS X, parolele sunt foarte sigure și atunci când sunteți închis (OS X) sau blocat (iOS). iCloud Keychain utilizează criptarea bazată pe dispozitiv, ceea ce împiedică Apple să poată (sau să fie obligată) să vă decripteze parolele.
1Password și LastPass folosesc o metodă „scumpă” de criptare a frazei de trecere pentru bazele de date stocate local, astfel încât, chiar dacă cineva intră în posesia lor, un spărgător nu poate face decât încercări de forțare brută a parolei într-un ritm foarte, foarte lent. LastPass a testat acest lucru în mod neintenționat în urma unui hacking: nu au apărut rapoarte privind deblocarea vreunui seif de parole.
LastPass sincronizează totul prin intermediul serverelor sale, dar criptează cu chei cunoscute doar de utilizatori. 1Password se sincronizează prin Dropbox și alte servicii bazate pe cloud (bazându-se pe metodele lor de securitate și de criptare în repaus), precum și prin intermediul abonamentelor sale suplimentare pentru partajarea cu membrii familiei sau ai echipei, dar blochează totul cu chei deținute de utilizator.
LastPass și opțiunile de echipă sau de familie pentru 1Password vă oferă, de asemenea, acces prin intermediul unui browser web și utilizează decriptarea bazată pe browser în locul unui software client nativ; companiile nu dețin cheile dumneavoastră. Cu toate acestea, există un punct slab în a te baza pe browser. Malware-ul și alte exploatări bazate pe browser fac browserele mult mai vulnerabile în raport cu nivelul de securitate disponibil prin intermediul aplicațiilor native și al sincronizării în cloud. Defectele Safari din iOS și OS X sunt descoperite în mod regulat (deși foarte puține sunt văzute în mediul natural) și ați putea fi tentat să vă accesați parolele de pe o mașină necunoscută care rulează un alt sistem de operare.
Cât de ușor este sistemul de utilizat?
Un sistem de parole trebuie să fie ușor de invocat. Dacă nu este, nu îl veți folosi în mod constant, pentru că așa este natura umană. Mai rău, dacă îl instalați pentru ca altcineva să își îmbunătățească securitatea, este puțin probabil ca acesta să îl folosească deloc dacă nu este un memento constant și nu este superb de simplu.
Aplicațiile iOS au mai multe șanse să suporte extensiile LastPass și 1Password decât iCloud Keychain.
Keychain este utilizat în mare parte de Apple ca o modalitate de a reține parolele pentru anumite câmpuri de pe paginile web și de a stoca parolele pentru o recuperare și ocolire automată în software-ul său (cum ar fi AirPort Admin în OS) sau cu software-ul terților care utilizează cârligele Keychain de la Apple. În Safari mobil și desktop, Keychain funcționează foarte bine, de la sugerarea unei parole puternice, la stocarea acesteia, la posibilitatea de a o extrage înapoi sau de a utiliza alte alternative stocate.
Dar, în timp ce este în general util în OS X, deoarece mai mulți dezvoltatori l-au adoptat și există Keychain Access pentru căutări și extrageri directe, în iOS trebuie să coborâți la Settings > Safari > Passwords pentru a vedea, edita sau (glisați până jos) adăuga parole. Mai mult, nu puteți invoca Keychain în dialogurile de conectare non-Web ale Apple, ceea ce îl face inutil în scopuri obișnuite. Și, deși puteți inventa o parolă atunci când aveți nevoie de una, aceasta este greu de accesat și poate fi recuperată cu ușurință doar de pe o pagină Web corespunzătoare.
Adaptarea de către Apple a extensiilor începând cu iOS 8 permite ca 1Password, LastPass și alte instrumente să fie invocate în Safari și în alte aplicații. Multe dintre aplicațiile iOS pe care le folosesc sunt legate direct la API-ul 1Password care permite invocarea directă. În cel mai rău caz, pot să trec la LastPass sau 1Password pentru a găsi parola, să o copiez, apoi să trec din nou la aplicație și să o lipesc.
Puteți utiliza, de asemenea, aplicația pentru a crea parole puternice care sunt reținute la creare, sincronizate automat și copiate în clipboard pentru a fi utilizate în alte aplicații.
1Password poate chiar să vă pună parolele pe Apple Watch, dacă sunteți utilizator Pro, iar LastPass are și el o aplicație pentru Apple Watch.
Situația cross-platform este mult mai rea. Apple nu face ca iCloud Keychain să fie disponibil în afara propriilor sisteme de operare. 1Password și LastPass (și alte aplicații) sunt disponibile pe o mare varietate de platforme majore, plus că au acces prin browser (în mod implicit în cazul LastPass și ca opțiune de abonament în cazul 1Password).
iCloud Keychain nu are niciun mecanism de partajare cu alte persoane – o parte din narațiunea continuă pe care o discut de ani de zile despre modul în care Apple nu își proiectează sistemele de la zero pentru a recunoaște faptul că oamenii lucrează în grupuri și ca familii. (Să nu începem cu problemele legate de Family Sharing.)
Majoritatea sistemelor de parole au un mecanism de partajare a secretelor cu alte persoane care au conturi. 1Password permite transmiterea directă fără un abonament sau, mai recent, accesul partajat selectiv între membrii grupurilor de afaceri și de familie. LastPass, deoarece elementele sunt stocate la nivel central, oferă acest lucru de ani de zile.
Alegere între ele
Dacă folosiți aproape în totalitate parole doar pe site-uri web, folosiți doar iOS și OS X și nu vă deranjează să memorați și să tastați parolele cerute de Apple pentru serviciile sale, Keychain cu iCloud Keychain se potrivește. Dacă nu toate aceste condiții corespund, un sistem de gestionare a parolelor merită investiția.
Actualizare: O versiune anterioară a acestei știri spunea că iOS nu oferă acces la parolele stocate sau o modalitate de a crea altele noi. O face; este doar îngropat în Settings.