Да, тук съм, за да ви кажа с право лице, че никога преди не съм използвал мениджър на пароли. Не е като никога да не съм обмислял да се запиша за такъв. Продължавам да се примамвам да изпробвам различни варианти, но част от мен винаги се чувства сърбяща да поставя всичко яйцата в една кошница, особено когато нарушенията на данните постоянно ни напомнят колко лошо може да е това идея. Знам, че не съм сам на тази лодка, защото старите навици умират трудно. Реших, че ще съм в „по-голяма безопасност“, ако помня паролите си или ги запиша някъде. Но с нарастващия списък от онлайн акаунти най-накрая се боря да създам уникални и силни пароли за всеки един. Така че моята техническа резолюция за 2023 г. беше да дам шанс на мениджърите на пароли, така че ето ни тук.
Изборът на добър мениджър на пароли може да бъде труден и големият брой опции не го прави по-лесен. Научих доста по време на моето пътуване и се надявам тези съвети да ви помогнат и при вашето.
Потърсете функциите, които искате
Повечето мениджъри на пароли правят много повече от просто попълване на вашите пароли във формуляр за влизане. Keeper, например, е супер богат на функции мениджър на пароли, който може също така да съхранява информацията за вашата кредитна карта, да заключва файлове и снимки в защитено хранилище, да ви помага да споделяте паролите си и много повече. 1Password се предлага и с много функции и може да изпълнява допълнителни задачи като премахване на тайни от клипборда ви и ви предупреждава за пробиви в сигурността.
Важно е да разберете какво искате от вашия мениджър на пароли, освен ако не искате да поемете по безкрайната пътека, пълна с опции. В крайна сметка няма смисъл да плащате премия за всички екстри, ако няма да ги използвате. Може вече да имате защитена папка на вашия смартфон, за да заключите важни файлове и снимки, или не е нужно да плащате за новости като Dark Web Monitoring и предупреждения. Вместо това потърсете полезни функции, които са важни за вас.
Ето важни функции, които препоръчвам да търсите вместо това:
- Поддръжка на различни платформи за достъп и управление на вашите запазени пароли на всяко устройство или платформа
- Многофакторно удостоверяване за да защитите хранилището си с пароли
- Офлайн достъп за да сте сигурни, че ще запазите паролата си, дори когато не сте онлайн
- Поддръжка на разширение на браузъра за да сте сигурни, че имате достъп до паролата си независимо от уеб браузъра, който използвате
Например, търсих мениджър на пароли, който да ми помогне да избегна повторното използване на едни и същи пароли в различни акаунти. Стигнах до момент, в който започнах да използвам повторно някои от паролите си, като по този начин оставих вратата отворена за лоши актьори да проникнат в множество акаунти. Накратко, дадох приоритет на прост и сигурен генератор на пароли пред такъв с фантастични функции, за да избегна да харча повече, отколкото исках като нов клиент. Вашият пробег обаче може да варира.
Криптирането с „нулево знание“ е важно
Повечето мениджъри на пароли също използват сигурно криптиране като AES 256-bit и XChaCha20, за да заключат паролата ви, преди да напуснат устройството ви. Така че дори ако използвате услуга за управление на пароли, която запазва вашата парола в отдалечен сървър, тя може да не е веднага достъпна за хакерите, които се опитват да я откраднат. Всички надеждни мениджъри на пароли използват сложни техники за криптиране, за да осигурят вашия трезор, така че няма да сте на тъмно, когато предавате важна информация.
Bitwarden, например, използва AES-CBC 256-битово криптиране за вашите данни от трезора и PBKDF2 SHA-256, за да извлече вашия ключ за криптиране. Всички ваши данни са криптирани или хеширани, преди да бъдат изпратени до отдалечените сървъри, и могат да бъдат декриптирани само с ключа, извлечен от вашата главна парола. NordPass, от друга страна, използва XChaCha20, който е по-бърз и лесен за внедряване от стандартните методи.
Препоръчвам да избирате само такива, които използват решение за криптиране с нулево знание, което означава, че не могат да четат или споделят вашата чувствителна информация. Разбира се, няма начин да останете 100% в безопасност онлайн, но е полезно, ако покриете основите.
Изберете мениджъри на пароли със защитени резервни копия
Също така е важно да изберете мениджъри на пароли, които ви позволяват да създадете резервно копие на всичките си криптирани пароли само в случай, че отдалеченият сървър, съдържащ всичките ви пароли, се срине. Някои мениджъри на пароли създават резервно копие на шифрованата парола, докато други просто ви позволяват да създадете резервно копие на декриптирани данни в четим от хора формат. Така или иначе е важно да създадете резервно копие, в случай че в крайна сметка загубите достъп до трезора си поради някаква сървърна грешка и се озовавате в ситуация, в която вече нямате достъп до акаунтите си на линия.
Гледайки на скорошен инцидент с LastPass и как се справи със ситуацията, знам, че никога не оставям резервно копие на паролите си онлайн, дори и да е криптирано. Винаги можете да създадете ръчно архивиране и да разтоварите копие на всичките си пароли, но се уверете, че го премествате и съхранявате безопасно, за да предотвратите попадането му в неподходящи ръце.
Проверете за биометрични данни и други начини за влизане
Многофакторното удостоверяване (MFA), както споменах по-рано, е една от най-важните функции, които трябва да търсите в мениджъра на пароли. Трябва да комбинирате силна парола с двуфакторно удостоверяване (2FA) или дори биометрично удостоверяване, като пръстов отпечатък или сканиране на лице. Биометричната защита обикновено действа като допълнителен слой, така че все пак ще трябва да използвате главната си парола и всяко активирано влизане в две стъпки. Няма такова нещо като твърде много нива на сигурност, особено когато само една парола/ключ може да отключи трезор, пълен с чувствителни данни.
Също така си струва да се отбележи, че настройването на MFA или биометрично удостоверяване не е алтернатива на вашата главна парола. Все още ще ви трябва основният ключ, за да дешифрирате данните от трезора, преди да получите достъп до тях, след като преминете през допълнителни слоеве. Технически ще трябва да въведете главната парола само веднъж за всяко устройство, тъй като данните от трезора от сървъра след това автоматично се изтеглят и съхраняват локално. Това също ме отвежда до моята следваща — и вероятно най-важна — точка.
Не забравяйте вашата главна парола!
Почти всички съвременни мениджъри на пароли работят с криптиране с нулево знание, така че не могат да прочетат или извлекат вашата главна парола. Някои от тях ви предлагат инструменти за възстановяване на паролата, в случай че я забравите, но не можете наистина да ги използвате, освен ако не сте упълномощили предварително тези опции. Някои от тези опции включват:
- Подсказка за парола: Вашият мениджър на пароли ще ви изпрати подсказката за парола (ако имате такава) по имейл.
- Достъп чрез спешен контакт: При условие, че сте активирали опцията за спешен достъп във вашия акаунт, можете да се свържете с контакта си за спешни случаи, за да си възвърнете достъпа до вашия трезор.
- Нулиране на администраторска парола: Тези с корпоративен акаунт могат да се свържат с администраторите си, за да нулират и възстановят достъпа до своите акаунти.
Опциите за възстановяване, споменати по-горе, ще работят само ако сте ги упълномощили преди това. Някои мениджъри на пароли като Dashlane също ви позволяват да извлечете главната си парола чрез биометрично удостоверяване, но дори това ще работи само ако сте го активирали, преди да забравите главната парола.
Всички съвременни мениджъри на пароли работят с криптиране с нулево знание, така че не могат да прочетат или извлекат вашата главна парола.
Ако никоя от тези опции не ви осигури достъп, тогава нямате друг избор, освен да изтриете акаунта си и да създадете нов. Това също означава, че ще загубите елементите, съхранявани във вашия трезор, така че ще трябва да нулирате данните си за вход за всеки акаунт.
Първи стъпки като начинаещ
Бях също толкова поразен, колкото и вие вероятно в момента, след като прочетох всичко. Ако не ви е удобно да настроите мениджър на пароли за всичките си акаунти, тогава защо не започнете да го използвате за някои основни или случайни акаунти? Знаете, тези, които може да сте създали, за да проверите безплатна пробна версия или да прочетете статия зад платена стена.
Също така препоръчвам да тествате водите с безплатни мениджъри на пароли, преди да се ангажирате с премиум абонамент. Като човек сравнително нов в света на мениджърите на пароли, започнах да използвам Bitwarden, за да се запозная с нискорисковите акаунти. Bitwarden идва с всички основни неща и не заключва нищо важно под платена стена. Освен това е с напълно отворен код, което означава, че можете да преглеждате, проверявате и допринасяте за кода на Bitwarden в GitHub.
Също така намирам спокойствие, знаейки, че мога да игнорирам облачното хранилище на Bitwarden и целия инфраструктурен стек на хоста на платформата по мой избор. Отново, всичко се свежда до функциите, които искате, така че не забравяйте да се огледате за различни опции и да изберете тази, която смятате, че работи най-добре за вашия случай на употреба. Винаги можете да разгледате нашите колекция от най-добрите мениджъри на пароли след като знаете тънкостите и сте готови да се намесите.