Igen, azért vagyok itt, hogy egyenes arccal elmondjam, még soha nem használtam jelszókezelőt. Nem mintha soha nem gondoltam volna, hogy regisztráljak egyet. Folyamatosan csábítanak arra, hogy különféle lehetőségeket próbáljak ki, de egy részem mindig viszketni kezd a tojások egy kosárban, különösen, ha az adatszivárgás folyamatosan emlékeztet bennünket, hogy ez rossz lehet ötlet. Tudom, hogy nem vagyok egyedül ezen a hajón, mert hát a régi szokások elpusztulnak. Úgy gondoltam, "biztonságosabb" leszek, ha emlékezem a jelszavaimra, vagy leírom őket valahova. De az online fiókok egyre növekvő listája miatt végre küszködöm, hogy mindegyikhez egyedi és erős jelszavakat hozzak létre. Tehát a 2023-as műszaki állásfoglalásom az volt, hogy a jelszókezelőknek adok egy esélyt, szóval itt vagyunk.
A jó jelszókezelő kiválasztása bonyolult lehet, és a rengeteg lehetőség nem könnyíti meg a dolgot. Elég sokat tanultam utam során, és remélem, hogy ezek a tippek a tiédre is segítségedre lesznek.
Keresse meg a kívánt funkciókat
A legtöbb jelszókezelő sokkal többet tesz annál, mint hogy egyszerűen kitölti a jelszavakat egy bejelentkezési űrlapon. A Keeper például egy szuper funkciókban gazdag jelszókezelő, amely bankkártyaadatait is tárolhatja, fájlokat és fényképeket zárolhat egy biztonságos trezorban, segíthet a jelszavak megosztásában és még sok más. Az 1Password számos csengőt és sípot is tartalmaz, és további feladatokat is végrehajthat, például eltávolíthatja a titkokat a vágólapról, és figyelmeztetheti Önt a biztonsági megsértésekre.
Fontos megérteni, hogy mit akar a jelszókezelőtől, hacsak nem a végtelen, lehetőségekkel teli ösvényen szeretne haladni. Végül is nincs értelme felárat fizetni az összes extráért, ha nem használja őket. Előfordulhat, hogy okostelefonján már van egy biztonságos mappa a fontos fájlok és fényképek zárolásához, vagy nem kell fizetnie az olyan újdonságokért, mint a Dark Web Monitoring és a figyelmeztetések. Ehelyett keressen olyan hasznos funkciókat, amelyek fontosak az Ön számára.
Íme a fontosabb szolgáltatások, amelyeket érdemes inkább keresni:
- Platformok közötti támogatás a mentett jelszavak eléréséhez és kezeléséhez bármely eszközön vagy platformon
- Többtényezős hitelesítés hogy biztosítsa a jelszótárolót
- Offline hozzáférés hogy akkor is megőrizze jelszavát, amikor nem csatlakozik az internethez
- Böngésző bővítmény támogatása hogy a használt webböngészőtől függetlenül hozzáférhessen jelszavához
Például jelszókezelőt kerestem, amely segít elkerülni, hogy ugyanazokat a jelszavakat újra felhasználjam különböző fiókokban. Elértem azt a pontot, ahol elkezdtem újra felhasználni néhány jelszavamat, így nyitva hagytam az ajtót a rossz színészek számára, hogy több fiókba betörjenek. Röviden összefoglalva, előnyben részesítettem egy egyszerű és biztonságos jelszógenerátort, mint egy divatos funkciókkal rendelkezőt, hogy új ügyfélként ne költsek többet, mint amennyit szerettem volna. A futásteljesítmény azonban változhat.
A „zéró tudás” titkosítás fontos
A legtöbb jelszókezelő biztonságos titkosítást, például AES 256 bites és XChaCha20 titkosítást is használ a jelszó zárolására, mielőtt elhagyná az eszközt. Így még ha olyan jelszókezelő szolgáltatást is használ, amely egy távoli kiszolgálóra menti a jelszavát, előfordulhat, hogy nem lesz azonnal elérhető a hackerek számára, akik megpróbálják ellopni. Az összes megbízható jelszókezelő összetett titkosítási technikákat használ a trezor védelmére, így nem lesz sötétben, amikor fontos információkat ad át.
A Bitwarden például AES-CBC 256 bites titkosítást használ a trezoradatokhoz, a PBKDF2 SHA-256 titkosítást pedig a titkosítási kulcs származtatásához. Minden adata titkosítva vagy kivonatolva lesz, mielőtt elküldené a távoli kiszolgálóknak, és csak a fő jelszóból származó kulccsal lehet visszafejteni. A NordPass ezzel szemben az XChaCha20-at használja, amely gyorsabb és könnyebben megvalósítható, mint a hagyományos módszerek.
Azt javaslom, hogy csak olyanokat válasszon, amelyek nulla tudású titkosítási megoldást használnak, vagyis nem tudják elolvasni vagy megosztani az Ön bizalmas adatait. Természetesen nincs mód arra, hogy 100%-os biztonságban maradjon az interneten, de segít, ha lefedi az alapokat.
Válasszon jelszókezelőket biztonságos biztonsági másolatokkal
Az is fontos, hogy olyan jelszókezelőket válasszunk, amelyek lehetővé teszik az összes titkosított jelszó biztonsági másolatának létrehozását arra az esetre, ha az összes jelszavát tartalmazó távoli kiszolgáló összeomlana. Egyes jelszókezelők biztonsági másolatot készítenek a titkosított jelszóról, míg mások egyszerűen lehetővé teszik, hogy biztonsági másolatot készítsen a visszafejtett adatokról ember által olvasható formátumban. Akárhogy is, fontos biztonsági másolatot készíteni arra az esetre, ha elveszítené a hozzáférést a trezorhoz valamilyen szerverhiba, és olyan helyzetbe kerül, hogy többé nem tud hozzáférni fiókjaihoz online.
Nézve a legutóbbi LastPass-baleset és hogyan kezelte a helyzetet, tudom, hogy soha nem hagyok biztonsági másolatot a jelszavaimról, még akkor sem, ha az titkosítva van. Bármikor készíthet manuális biztonsági másolatot, és kirakhatja az összes jelszavát, de ügyeljen arra, hogy biztonságosan mozgassa és tárolja, nehogy rossz kezekbe kerüljön.
Ellenőrizze a biometrikus adatokat és a bejelentkezés egyéb módjait
A többtényezős hitelesítés (MFA), mint korábban említettem, az egyik legfontosabb szolgáltatás, amelyet a jelszókezelőben keresni kell. Érdemes az erős jelszót kétfaktoros hitelesítéssel (2FA) vagy akár biometrikus hitelesítéssel kombinálni, például ujjlenyomat- vagy arcvizsgálattal. A biometrikus védelem általában kiegészítő rétegként működik, így továbbra is használnia kell fő jelszavát és bármely engedélyezett kétlépcsős bejelentkezést. Nincs olyan, hogy túl sok biztonsági réteg, különösen akkor, ha egyetlen jelszó/kulcs feloldhatja az érzékeny adatokkal teli trezort.
Azt is érdemes megjegyezni, hogy az MFA vagy biometrikus hitelesítés beállítása nem a fő jelszó alternatívája. Továbbra is szüksége lesz a fő kulcsra a tároló adatok dekódolásához, mielőtt további rétegeken keresztül hozzáférne. Technikailag minden eszközhöz csak egyszer kell megadnia a fő jelszót, mivel a szerverről származó tárolóadatok ezután automatikusan letöltődnek és helyben tárolódnak. Ezzel el is érkezem a következő – és valószínűleg a legfontosabb – pontomhoz.
Ne felejtse el fő jelszavát!
Szinte minden modern jelszókezelő nulla tudású titkosítással működik, így nem tudják elolvasni vagy lekérni a fő jelszót. Némelyikük olyan eszközöket kínál, amelyek segítségével visszaállíthatja a jelszót arra az esetre, ha elfelejtené, de nem igazán használhatja őket, hacsak nem engedélyezte ezeket a lehetőségeket. Néhány ilyen lehetőség a következőket tartalmazza:
- Jelszóra vonatkozó tipp: A jelszókezelő e-mailben elküldi Önnek a jelszóra vonatkozó tippet (ha be van állítva).
- Hozzáférés vészhelyzeti kapcsolaton keresztül: Feltéve, hogy fiókjában engedélyezve van a vészhelyzeti hozzáférési lehetőség, felveheti a kapcsolatot vészhelyzeti kapcsolattartójával, hogy visszaszerezze a hozzáférést a trezorhoz.
- Rendszergazdai jelszó visszaállítása: A vállalati fiókkal rendelkezők kapcsolatba léphetnek az adminisztrátoraikkal, hogy alaphelyzetbe állítsák és visszaszerezzenek hozzáférést fiókjukhoz.
A fent említett helyreállítási lehetőségek csak akkor működnek, ha korábban engedélyezte őket. Egyes jelszókezelők, például a Dashlane, lehetővé teszik a fő jelszó lekérését biometrikus hitelesítéssel, de ez is csak akkor működik, ha engedélyezte, mielőtt elfelejtette a fő jelszót.
Minden modern jelszókezelő nulla tudású titkosítással működik, így nem tudják elolvasni vagy lekérni a fő jelszót.
Ha a fenti lehetőségek egyike sem biztosít hozzáférést, akkor nincs más választása, mint törölni fiókját, és újat indítani. Ez azt is jelenti, hogy elveszíti a trezorban tárolt elemeket, így minden fiókhoz vissza kell állítania a bejelentkezési adatait.
Kezdő lépések
Ugyanúgy le voltam nyűgözve, mint te valószínűleg most, miután mindent elolvastam. Ha nem érzi kényelmesen beállítani a jelszókezelőt az összes fiókhoz, akkor miért nem kezdi el használni néhány egyszerű vagy alkalmi fiókhoz? Tudod, azokat, amelyeket esetleg azért hozott létre, hogy megnézzen egy ingyenes próbaverziót, vagy elolvasson egy cikket a fizetőfal mögött.
Azt is javaslom, hogy tesztelje a vizeket ingyenes jelszókezelőkkel, mielőtt elkötelezi magát egy prémium előfizetés mellett. Mint egy meglehetősen új ember a jelszókezelők világában, elkezdtem használni a Bitwardent, hogy megismerkedjek az alacsony kockázatú fiókokkal. A Bitwarden minden lényeges elemet tartalmaz, és nem zár be semmi fontosat a fizetőfal alá. Ezenkívül teljesen nyílt forráskódú, ami azt jelenti, hogy áttekintheti, auditálhatja és hozzájárulhat a Bitwarden kódjához a GitHubon.
Békét találok annak tudatában is, hogy figyelmen kívül hagyhatom a Bitwarden felhőalapú tárhelyét és a gazdagép teljes infrastruktúra-készletét az általam választott platformon. Ez ismét a kívánt funkciókon múlik, ezért feltétlenül nézzen körül a különböző lehetőségek között, és válassza ki azt, amelyik Ön szerint a legmegfelelőbb az Ön használati esetéhez. Mindig megtekintheti nálunk a legjobb jelszókezelők gyűjteménye ha már ismeri a csínját-bínját, és készen áll a kezdésre.