У вас есть менеджер паролей? Хорошо, но вы используете это неправильно

Современный онлайн-мир требует, чтобы обычные люди запоминали десятки или даже сотни паролей, поэтому помощь менеджера паролей просто необходима. Безопасное хранение всех существующих паролей означает, что вы их не забудете. Но если вы остановитесь на этом, вы упустите суть. Теперь, когда вам не нужно полагаться на собственную память, вы можете и должны изменить все слабые пароли на надежные, уникальные. И, конечно же, мастер-пароль, открывающий эту сокровищницу, должен быть таким, чтобы никто не мог угадать. Правильно ли вы используете менеджер паролей?

Стюарт Шехтер, лектор и руководитель курса «Полезная конфиденциальность и безопасность» Калифорнийского университета в Беркли, беспокоится, что это не так. Настолько, что он поощрял своих аспирантов узнавать, чем вы занимаетесь. На виртуальной конференции по безопасности RSA 2021 года Шехтер и аспирант Дэвид Нг поделились своими выводами. Да, исследование прошлогоднее, но проблема остается неизменной.

Пароль мертв, да здравствует пароль

Шехтер представился как тот парень, который носил маску N95 на конференции RSA 2020, чудак среди моря обнаженных лиц. Он отметил, что это было связано не с каким-либо предвидением пандемии коронавируса, а скорее с неприятием делать оптимистичные предположения в отсутствие данных. Точно так же без каких-либо данных он не может предположить, что потребители используют менеджеры паролей должным образом.

Шехтер вспомнил прогноз Билла Гейтса, сделанный в 2004 году, который сказал, что мы будем использовать пароли все реже и реже. «Microsoft говорила об уничтожении паролей, как будто они были болезнью вроде оспы, — сказал Шехтер. «Но отдельный лагерь сделал ставку на то, что пароли умножаются, а не исчезают». Он глубоко погрузился в эволюцию менеджеров паролей, а также в такие события, как выпуск Microsoft CardSpace в 2006 году (предназначенный для завершения паролей) и заявление о том, что Windows 10 означает конец паролей. Это не так, как и Windows 11.

Преимущества использования менеджера паролей бесчисленны, среди них защита от фишинга. «Вы полагаетесь на свой менеджер паролей, чтобы ввести пароль, который вы даже не знаете. Если вы попадете на фишинговый сайт, менеджер паролей не заполнит его», — сказал Шехтер. «Вам придется поискать его в менеджере паролей, и уже одно это является важным признаком того, что вас фишингуют».

В более раннее исследование, Шехтер и его коллега оценили способность людей запоминать надежные пароли. Хорошие новости? Они определили, что почти каждый может запомнить один очень надежный пароль. Плохая новость, однако, заключается в том, что для этого требовалось 20-30 учебных занятий с интервалом не менее получаса, и что пароль можно было забыть, если он не использовался регулярно.

Все преимущества использования менеджера паролей зависят от трех допущений. Мы предполагаем, что:

  • пользователи запомнят надежный пароль (тот, который разблокирует менеджер паролей),

  • пользователи будут полагаться на способность менеджера паролей генерировать случайные пароли, и

  • пользователи будут менять любые пароли, которые являются слабыми, повторно используемыми или скомпрометированными.

Но верны ли эти предположения? Вместо того, чтобы питать оптимизм в отсутствие данных, Шехтер призвал своих аспирантов искать правду.

Данные, данные, данные

Аспирант Дэвид Нг очень подробно рассказал о том, как группа нашла своих участников, сократив первоначальный пул почти из 2500 человек до примерно 100, которые использовали менеджер паролей более пяти месяцев; управлял по крайней мере пятью паролями; и были готовы предоставить скриншот панели безопасности своего менеджера паролей.

Итак, использовали ли участники надежный мастер-пароль? Очень немногие из менеджеров паролей генерировали пароли, которые они затем запоминали. Гораздо большая группа разработала пароль, используя мнемоническое устройство, как мы в PCMag часто предлагаем. Увы, самая большая группа признала, что повторно использовала знакомый пароль в качестве главного ключа для своих менеджеров паролей.

Вы можете использовать менеджер паролей, чтобы сохранить нажатия клавиш, оставив все ваши пароли равными 12345678 или другим ужасным паролем. Правильное использование, конечно, требует, чтобы вы изменили эти слабые пароли на что-то, сгенерированное утилитой паролей. Исследование показало, что едва ли пятая часть тех, кто полагался на встроенный менеджер паролей Chrome, когда-либо позволяла ему генерировать пароли. Около половины тех, кто полагался на сторонние утилиты, воспользовались этой возможностью.

Далее в исследовании изучалось, как (и использовали ли) участники возможность панели безопасности выявлять слабые, повторяющиеся и скомпрометированные пароли. Результаты были обескураживающими. Даже те участники, которые согласились с тем, что инструмент паролей правильно идентифицировал пароли, нуждающиеся в замене, не часто делать что-нибудь о проблеме. Причины заключались в том, что это было слишком много работы, или что они опасались, что обновление пароля может вызвать проблемы.

Не думайте, что люди знают, что делают

Нг завершил презентацию предупреждением для экспертов по безопасности и частных лиц. Тот факт, что у людей есть менеджеры паролей, не означает, что они полностью защищены.

«Не думайте, что люди будут выбирать надежные мастер-пароли, — сказал он. — Не думайте, что они будут использовать пароли, созданные менеджером паролей. И не думайте, что они заменят слабые, повторно используемые или скомпрометированные пароли, даже когда напомнили».

Рекомендовано нашими редакторами

Как делать пароли правильно

Вы видели, что слишком много людей устанавливают менеджер паролей, а затем не используют его должным образом. Не будь как они! Пусть их ошибки станут вашим уроком.

Начните с этого мастер-пароля. Как уже отмечалось, он защищает вашу сокровищницу учетных данных для входа в систему, поэтому это должно быть что-то, что вы можете запомнить, но что никто не догадается. Следуйте нашим советам, чтобы превратить любимое стихотворение или песню в пароль или выбрать что-то неуловимое из личной жизни.

Не останавливайтесь на достигнутом! Повысьте защиту своих заветных паролей, включив многофакторную аутентификацию. Он есть во всех лучших менеджерах паролей. Теперь даже злоумышленник, который украл ваш пароль, который невозможно угадать, не сможет войти, потому что другой фактор аутентификации есть только у вас. Этот фактор может быть биометрическим, или он может работать через приложение на телефоне в вашем кармане (и ни у кого другого).

Многие менеджеры паролей оценивают ваши сохраненные пароли, отмечая неверные пароли, которые вы использовали несколько раз или которые были раскрыты в результате утечки данных. Я знаю, что это утомительно, но вы должны проработать их и заменить их новыми длинными надежными паролями. Начните с худших и повторяйте несколько за раз, пока все ваши пароли не станут идеальными. Вам не нужно придумывать эти новые пароли; ваш менеджер паролей сгенерирует их для вас.

Может быть, вы сопротивлялись использованию сложных паролей, потому что не хотите вводить их на крошечной клавиатуре своего телефона? Не сопротивляйся больше! Установите мобильное приложение менеджера паролей и привяжите его к своей учетной записи. Теперь войти в систему на телефоне несложно, особенно если вы включите биометрическую аутентификацию вместо мастер-пароля.

Примите вызов и научитесь правильно использовать свой менеджер паролей. Если достаточное количество из вас это сделает, возможно, следующее исследование покажет, что некоторый люди достаточно умны, чтобы в полной мере воспользоваться этими полезными программами.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.