Czy warto korzystać z menedżera haseł? Rozważ korzyści i zagrożenia

Wielu ekspertów ds. cyberbezpieczeństwa uważa, że ​​korzystanie z menedżera haseł to najlepszy sposób na zapewnienie sobie bezpieczeństwa. Silne i unikalne hasło Dla każdego z Twoich kont online. Podczas gdy inni nie doceniają wartości tych narzędzi.

Dla cyberprzestępców menedżery haseł stanowią poważne zagrożenie – są kopalnią niezwykle poufnych informacji, chronionych jednym głównym hasłem, które można zgubić, ukraść lub zhakować.

• Najlepsze oprogramowanie do zarządzania hasłami Aby zapewnić bezpieczeństwo Twoim kontom online.
• LastPass, 1Password i inne menedżery haseł mogą zostać zhakowane: co robić?

Kto więc ma rację? Zespół Tom's Guide rozmawiał z wieloma ekspertami ds. bezpieczeństwa cyfrowego i przeprowadził ankietę na temat zalet i wad obecnych rozwiązań do zarządzania hasłami.

Oto, co mają do powiedzenia na temat tych kontrowersyjnych narzędzi technologicznych, a także kilka wskazówek, jak zmniejszyć ryzyko związane z przechowywaniem wszystkich haseł w jednym miejscu.

Eksperci ds. bezpieczeństwa chwalą oprogramowanie do zarządzania hasłami

Nie wszyscy eksperci ds. bezpieczeństwa preferują menedżery haseł, ale ci, którzy je preferują, nie wyobrażają sobie świata bez nich. Doskonałym przykładem jest Robert Siciliano, analityk ds. bezpieczeństwa z Bostonu i prezes Safr.me, który stwierdził, że mając ponad 650 aktywnych haseł, po prostu nie mógłby funkcjonować bez menedżera haseł.

„Bez menedżera haseł użytkownicy wracają do słabych haseł, którym nie można zarządzać” – napisał Siciliano w e-mailu. „Będą używać tego samego hasła do wszystkich ważnych kont i nieuchronnie zostaną zhakowani”. To podkreśla wagę korzystania z silnych menedżerów haseł w celu ochrony poufnych danych.

Ale nawet Siciliano – który podkreślił, że nie ma logicznego argumentu przeciwko korzystaniu z menedżera haseł – podejmuje kroki, aby zmniejszyć ryzyko związane z przechowywaniem wszystkich haseł w jednym miejscu. Te środki ostrożności są niezbędne do zwiększenia bezpieczeństwa informacji.

Wyjaśnił, że zapamiętuje dane logowania do swoich najważniejszych kont (takich jak konta bankowości internetowej), ale resztę haseł przechowuje w internetowym menedżerze haseł. Ta równowaga między zapamiętywaniem a przechowywaniem stanowi zrównoważoną strategię bezpieczeństwa.

„Nikt nie jest w stanie zapamiętać wszystkich haseł”.

Morris Tabush, który prowadzi własną firmę konsultingową z branży IT, Tabush Group, w Nowym Jorku, wskazuje na ryzyko związane z poleganiem wyłącznie na hasłach w celu ochrony Twoja tożsamość cyfrowaUważa, że ​​w tej trudnej rzeczywistości użytkownicy powinni dołożyć wszelkich starań, aby chronić swoje hasła.

W przypadku Taboush najlepszym rozwiązaniem jest skorzystanie z menedżera haseł.

„Nie da się używać jednej nazwy użytkownika i hasła do wszystkich witryn i usług, ponieważ każda witryna lub usługa ma własne wymagania dotyczące hasła” – wyjaśnia Tabosh w e-mailu. „Nikt nie jest w stanie zapamiętać każdej kombinacji różnych nazw użytkownika i haseł”.

Tabosh podkreśla znaczenie menedżerów haseł dla siebie i swoich klientów, którzy często są właścicielami małych i średnich firm z dziesiątkami kont online. Preferuje RoboForm firmy Siber Systems, aplikację do zarządzania hasłami dostępną na systemy Windows i Mac, a także na urządzenia mobilne z systemami iOS i Android.

Tapush RoboForm to idealny wybór, ponieważ działa na wszystkich urządzeniach, w tym na komputerach stacjonarnych, laptopach, iPhone'ach i iPadach. Ponieważ ten internetowy menedżer haseł przechowuje hasła w zaszyfrowanych plikach, nawet jeśli jedno z Twoich urządzeń Tapush zostanie skradzione, złodziej nie będzie mógł uzyskać dostępu do Twoich danych logowania. Zapewnia to dodatkową warstwę ochrony przed włamaniem na konto i kradzieżą danych.

Ciemna strona technologii cyfrowej

Oczywiście, na każdego eksperta, który twierdzi, że nie może żyć bez menedżera haseł, przypada inny, który wolałby spędzić resztę życia bez niego. Ten podział opinii odzwierciedla uzasadnione obawy dotyczące bezpieczeństwa danych.

Takiego poglądu jest zdania Terry'ego Cutlera, współzałożyciela i dyrektora ds. technicznych Digital Locksmiths, firmy konsultingowej zajmującej się cyberbezpieczeństwem z siedzibą w Montrealu.

W wywiadzie mailowym Cutler stwierdził: „W ogóle nie jestem zwolennikiem menedżerów haseł. Jeśli któryś z nich zostanie naruszony, cały kod zostanie skradziony”. Cutler uważa, że ​​potencjalne ryzyko przeważa nad korzyściami, zwłaszcza że cyberataki stają się coraz bardziej wyrafinowane.

Tyler Regoli, dyrektor ds. badań i rozwoju bezpieczeństwa w Tripwire, firmie zajmującej się cyberbezpieczeństwem z Portland w stanie Oregon, zgadza się z Cutlerem. Twierdzi, że menedżery haseł mogą wyrządzić więcej szkody niż pożytku, zwłaszcza użytkownikom domowym, którzy mogą nie mieć wystarczającej wiedzy, aby je bezpiecznie skonfigurować.

„Menedżery haseł to sposób, w jaki społeczeństwo przenosi złe nawyki na komputery” – dodaje Regoli. „Zapisywanie haseł jest niedopuszczalne, dlatego zamiast tego „przechowujemy” je na komputerach. „Przechowywanie” to po prostu cyfrowy odpowiednik „zapisywania”. Regoli wyjaśnia, że ​​poleganie na jednym menedżerze haseł tworzy centralny punkt podatności, czyniąc go atrakcyjnym celem dla atakujących. Zamiast tego zaleca stosowanie lepszych praktyk bezpieczeństwa, takich jak używanie silnych, unikalnych haseł dla każdego konta i włączanie uwierzytelniania dwuskładnikowego, gdy tylko jest to możliwe.

„Nie ufam internetowym menedżerom haseł”.

Określenie, które narzędzia są bezpieczne, a które nie, niekoniecznie jest łatwym zadaniem. Jak zauważa Ken Westin, dyrektor ds. strategii bezpieczeństwa w ReliaQuest, trudno jest stwierdzić, jak bezpieczne są w rzeczywistości menedżery haseł.

„Osobiście nie ufam internetowym menedżerom haseł” – napisał Westen w e-mailu. „Nie dlatego, że uważam je za niebezpieczne, ale dlatego, że nie wiem, jak są bezpieczne, jak przechowują moje informacje i czy moje dane są odpowiednio szyfrowane”.

Z powodu tych wątpliwości Westin stwierdził, że nie będzie przechowywał swoich najwrażliwszych informacji w internetowych menedżerach haseł. Do zarządzania hasłami do kont finansowych i e-mail, Westin zalecał korzystanie z narzędzia offline, uważając, że bezpieczeństwo wrażliwych haseł wymaga izolacji od potencjalnych zagrożeń.

„Dla maksymalnego bezpieczeństwa hasła do tych usług [kont finansowych i e-mail] powinny być przechowywane w szyfrowanym, offline'owym menedżerze haseł, takim jak KeePass, który wymaga uwierzytelnienia do otwarcia i jest regularnie i bezpiecznie kopiowany” – stwierdził Westen. Gwarantuje to odpowiednią ochronę dostępu do tych kluczowych informacji.

Christopher Burgess, prezes Prevendra, firmy z Seattle zajmującej się bezpieczeństwem i prywatnością, zasugerował, że każdy, kto nie ufa menedżerom haseł, może zamiast tego ręcznie śledzić hasła. Ta metoda zapewnia pełną kontrolę nad poufnymi danymi.

„System ręczny jest prosty do wdrożenia [przy użyciu] dwóch notatników” – powiedział Burgess. „W pierwszym notatniku wpisz dane swojego konta – nazwę usługi, adres URL, identyfikator użytkownika i numer seryjny. W drugim notatniku, obok numeru seryjnego, zapisz hasło i wszelkie notatki uwierzytelniające. Przechowuj drugi notatnik w bezpiecznym miejscu i zaglądaj do niego, gdy zapomnisz hasła”. To podejście, choć proste, stanowi realną alternatywę dla tych, którzy wolą mieć bezpośrednią kontrolę nad bezpieczeństwem swoich haseł.

Środki ostrożności, które należy podjąć

Choć wielu ekspertów, z którymi rozmawialiśmy, ma zdecydowane zdanie na temat menedżerów haseł, wielu ekspertów ds. bezpieczeństwa wydaje się zajmować stanowisko pośrednie. Uważają te programy za przydatne narzędzia, ale nie są one idealne ani nie da się ich zhakować.

Jak zauważył w wiadomości e-mail Chester Wisniewski, starszy naukowiec w międzynarodowej firmie antywirusowej Sophos, osoby, które nie wybierają mądrze menedżerów haseł, mogą skończyć w sytuacji, w której oddadzą „jeden pierścień, by rządzić nimi wszystkimi”.

Wisniewski zaleca poszukiwanie „znanych i zaufanych aplikacji. Takie aplikacje powinny szyfrować dane lokalnie i nie polegać na szyfrowaniu stron trzecich. Osobiście preferuję LastPass i KeePass”.

Cedric Geno, założyciel i dyrektor generalny APrivacy, firmy zajmującej się cyberbezpieczeństwem z siedzibą w Waterloo w Ontario, podkreślił również, że przy podejmowaniu decyzji o wyborze menedżera haseł istotne jest niezawodne szyfrowanie danych.

Gino wyjaśnił, że jeśli wybrany menedżer haseł przechowuje dane w chmurze, a nie lokalnie na komputerze użytkownika, należy zwrócić szczególną uwagę na kraj, w którym przechowywane są informacje, osoby, które mogą mieć do nich dostęp, a także na usługę menedżera haseł.

Lamar Bailey, starszy dyrektor ds. bezpieczeństwa w firmie Tripwire, uważa, że ​​użytkownicy powinni szukać menedżerów haseł, które oferują funkcje bezpieczeństwa wykraczające poza szyfrowanie i pomagające chronić tożsamość użytkowników w sieci.

„Wiele menedżerów haseł ostrzega użytkowników o stronach internetowych, które zostały naruszone lub są dotknięte poważnymi lukami, takimi jak Heartbleed” – dodał Bailey w wiadomości e-mail.

Bailey dodał, że najważniejszą rzeczą, o której należy pamiętać, korzystając z menedżerów haseł, jest hasło główne, którego używa się do zabezpieczenia narzędzia.

Bailey podkreślił, że „każdy menedżer haseł jest tak bezpieczny, jak hasło główne. Dlatego użytkownicy powinni zawsze dbać o to, aby hasło w menedżerze haseł było bardzo silne i często je zmieniać”.