איזה מנהל סיסמאות הוא המאובטח ביותר?

Lifehacker יקר,
אני מחפש מנהל סיסמאות, אחרי ששכנעת אותיבאמת צריך להשתמש בסיסמאות אקראיות וייחודיות באמת עבור כל אתר. הדפדפן שלי תמיד שואל אם אני רוצה לשמור את כניסותיי. האם עלי לומר כן ולהשתמש בזה? או שאני צריך מנהל סיסמאות ייעודי? אם כן, איזה מנהל סיסמאות הכי בטוח? עֶזרָה!

חָתוּם,
יותר מדי כניסות

TML יקר,
מנהלי סיסמאות כולם נועדו להסיר את הכאב מלזכור מאות סיסמאות ייחודיות - הכרחי אם ברצונך למזער את סיכוני האבטחה שלך. עם זאת, יש הרבה לבחירה, כולל תכונת שמירת הסיסמה המובנית בדפדפן שלך. בואו נסתכל על הכלים הללו וכיצד הם עומדים אחד מול השני מבחינת אבטחה.

שמירת כניסות בדפדפן שלך

IE, Chrome, Firefox ודפדפנים אחרים יכולים לשמור את פרטי ההתחברות והמידע הבסיסי שלך למילוי טופס אוטומטי. זה נוח, כי אתה לא צריך להוריד או להגדיר אפליקציה אחרת, אבל זו לא האפשרות המאובטחת או החזקה ביותר.

איך הם עובדים: דפדפנים מאחסנים את הסיסמאות שלך במסדי נתונים מוצפנים או בערכי רישום המאוחסנים באופן מקומי במחשב שלך. אם לדפדפן יש תכונה לסנכרון הנתונים שלך בין המחשבים שלך למכשירים אחרים, המידע נשמר בפורמט המוצפן שלו לחשבון מקוון (למשל, Google אם אתה משתמש ב-Chrome או בחשבון Firefox Sync שלך ב-Mozilla).

חולשות אבטחה: הבעיה הגדולה ביותר עם שמירת הסיסמאות שלך בדפדפן שלך היא שלא קשה למי שמקבל גישה למחשב שלך לגשת גם לכל הסיסמאות שלך. בכרום, למשל, אתה (או כל מי שפורץ למחשב שלך) יכול פשוט להיכנס להגדרות הדפדפן וללחוץ על כפתור ההצגה בלשונית ההעדפות כדי לחשוף כל סיסמה שמורה. Internet Explorer מאובטח יותר מכיוון שהוא לא מאפשר לך להציג סיסמאות שמורות, והוא גם לא מסנכרן את הנתונים שלך בין מחשבים. עם זאת, גם IE וגם Chrome, השתמשו בסיסמת ההתחברות של המחשב שלכם כצופן עבור הנתונים המוצפנים. בגלל זה, קל לגלות את הסיסמאות שלך עם כלים כמו של נירסופטWebBrowserPassView. אם כלי עזר של צד שלישי כמו זה יכולים לשחזר את הנתונים, ייתכן שגם תוכנות זדוניות הפועלות תחת חשבון המשתמש שלך יוכלו לגשת לנתונים.

האפשרות הבטוחה ביותר: עם זאת, WebBrowserPassView לא יכול לאחזר סיסמאות המוצפנות בסיסמת אב. זה הופך את Firefox למאובטח ביותר מבין שלושת הדפדפנים האלה בכל הנוגע לניהול סיסמאות, מכיוון שאתה יכול להצפין ולהגן באמצעות סיסמה על ההתחברות שלך ב-Firefox עם סיסמת אב אחת. אם לא תגדיר את סיסמת האב בפיירפוקס (שאינה מופעלת כברירת מחדל), אתה חשוף לאותן בעיות אבטחה אם המחשב שלך יגיע לידיים הלא נכונות.

מנהלי סיסמאות מבוססי אינטרנט

מנהלי סיסמאות מבוססי אינטרנט הם צעד גדול מעלה משמירת כניסותיך בדפדפן שלך. אפליקציות אינטרנט אלו מציעות תכונות חזקות יותר כגון יצירת סיסמאות מאובטחות אקראיות, ביקורת הסיסמאות שלך ואחסון מידע סודי נוסף (כרטיסי אשראי, מספרי ביטוח, הערות וכו').

איך הם עובדים: מנהלי סיסמאות מקוונים כגוןLastPassורובופורם בכל מקוםהצפין את מסד הנתונים של הסיסמאות שלך ותן לך את המפתח היחיד - בצורה של סיסמת אב שרק אתה יודע. כל ההצפנה והפענוח מתרחשים באופן מקומי במחשב שלך. מכיוון שלחברות האלה אין את מפתח ההצפנה, גם אם השרתים שלהן ייפרצו, עושי הרשע לא יוכלו לפענח את הנתונים שלך...

חולשות אבטחה: ...אלא אם סיסמת המאסטר שלך אינה חזקה במיוחד או שאתה משתמש באותה סיסמה באתרים אחרים (אבל, היי, האם זה לא מה שאתה מנסה למנוע על ידי שימוש במנהל סיסמאות בכל מקרה?). בשנה שעברה, LastPassחווה בעיית אבטחה אפשרית שייתכן שהייתה הפרה, אבל אמר למשתמשים שהם מוגניםכל עוד הם השתמשו בסיסמאות מאסטר חזקות שאינן מבוססות מילון. כמו כן, בעוד LastPass (וחברות אחרות למנהלי סיסמאות מקוונים) ישרים מאוד לגבי בעיות אבטחה והסיכון מצטמצם מכיוון שאתה מחזיק במפתח ההצפנה, אתה עדיין צריך לקפוץ באמונה כאשר הנתונים שלך (אפילו מוצפנים) מאוחסנים על מישהו השרתים של אחר.

האפשרות הבטוחה ביותר: LastPass היא המובילה של מנהלי הסיסמאות המקוונים מכיוון שהיא גם קלה לשימוש וגם יכולה להיות נעולה די בחוזקה. אפשרויות האבטחה של LastPass מאפשרות לךהוסף אימות דו-גורמי חזק יותר,הגבלת כניסות לפי מדינהואפשר תכונות אחרות, כגון כתובת דואר אלקטרוני ייעודית לאבטחה וגישה מוגבלת לנייד.

עוֹלֶה חָדָשׁדשלאןעם זאת, הוא מתמודד אפשרי. למרות שאין לו את כל שיפורי האבטחה והאפשרויות של LastPass, עם Dashlane אתה יכול לבחור לשמור את נתוני הסיסמה שלך מאוחסנים רק באופן מקומי או לסנכרן תכונות בודדות באופן סלקטיבי. זה הופך אותו גם למנהל מבוסס אינטרנט וגם למנהל שולחני.

מנהלים מקומיים (דסקטופ).

לא נוח עם הסיסמאות שלך המאוחסנות באינטרנט? המנהלים המאובטחים ביותר אינם מאחסנים נתונים באינטרנט אלא בורחים מהמחשב שלך. עם זאת, אתה מקריב קצת נוחות ושימושיות.

איך הם עובדים: מנהלי סיסמאות מקומיים פועלים באופן דומה לאלו המקוונים. יש להם תכונות דומות לייצור סיסמאות, מילוי טפסים אוטומטי והערות מאובטחות. הם פשוט שומרים את מסד הנתונים של הסיסמאות המוצפנות במחשב שלך, ולא באינטרנט. הפופולריים כולליםKeePass,1 סיסמה,SplashID, וגרסת שולחן העבודה שלרובופורם.

חולשות אבטחה: החולשה הגדולה ביותר של מנהלי סיסמאות בשולחן העבודה היא חוסר נגישות. ללא כמה דרכים לעקיפת הבעיה, אינך מקבל את הסנכרון הנוח והגישה המיידית לכניסות שלך מכל מכשיר, מה שעלול להוות מכשול לאנשים שמשתמשים במנהלי הסיסמאות הללו כל הזמן. זה יכול אפילו אומר שלא תוכל להתחבר במכשירים אחרים (מאזהסיסמה המאובטחת ביותר היא הסיסמה שאתה לא זוכר).

עבור רבים מהם, אתה יכול לסנכרן את מסד הנתונים בין מחשבים באמצעות Dropbox, אבל זה מחזיר את הסיכון של אחסון ענן. מצד שני, עדיין יש לך שכבות מרובות של אבטחה: האקר יצטרך לפרוץ תחילה לחשבון Dropbox שלך (קשה אם הגדרת אימות דו-שלבי) ולאחר מכן גם לפרוץ למסד הנתונים המוצפנים שלך. הסיכוי שזה יקרה הוא כנראה פחות מאשר לאבד את המחשב הנייד שלך.

האפשרות הבטוחה ביותר: KeyPass מנצח על היותו לא רק הקוד הפתוח היחיד, אלא גם על כך שיש לו מגוון גדול של תכונות אבטחה והכי הרבהמידע מעמיק על האבטחה שלו. התוכנית מגנה מפני התקפות מילון נגד סיסמת האב שלך, שומרת על מוצפן סיסמאות בזמן שהתוכנית פועלת, ויש לה בקרות עריכת סיסמאות משופרות באבטחה. אתה יכול להשתמש בקובץ מפתח במקום בסיסמת אב להגברת האבטחה או לשלב את שיטות קובץ המפתח והסיסמה כדי לנעול את הנתונים שלך באמת. KeePass הוא גם נייד ותומך בהמון תוספים.

שאר התוכניות נמנות ביןמנהלי הסיסמאות הטובים ביותרוגם יש אבטחה חזקה. אולי תעדיף אחד מהם בגלל התכונות שלו. SplashID הוא הנמוך ביותר מבין החבורה ויכול לסנכרן באמצעות Wi-Fi בין מהדורות שולחן העבודה והנייד. (SplashID אומר שהם עובדים על גרסת סנכרון ענן שאינה תלויה בשירותי ענן של צד שלישי כמו Dropbox או iCloud.) 1Password קצת יקר, אבל יש לו ממשק מעולה ושילוב דפדפן מעולה. זה הרבה פחות מגושם וקל יותר לשימוש מחוץ למשחק מאשר KeePass. אפליקציית שולחן העבודה של Roboform היא ל-Windows בלבד, אבל יש לה את כל הפעמונים והשריקות של מנהל סיסמאות מוצק, כולל מילוי אוטומטי של דפדפן, שילוב דפדפן ויצירת סיסמאות אקראית.

אז במה כדאי להשתמש?

בקיצור, מנהל סיסמאות שולחני כמו KeePass הוא האפשרות המאובטחת ביותר אך הפחות נוחה. אפשרויות מבוססות ענן (למשל, LastPass) בהחלט נוחות ומאובטחות יותר מפני גניבת סיסמאות מקומית מאשר אלה המבוססות על הדפדפן, אך אין לך שליטה על היכן מאוחסנים הנתונים.

להלן השוואה של תמחור ותכונות לנוחיותך (לחץ כדי לראות את כל התרשים):

עם איזה מהם תבחר ללכת, הדבר החשוב ביותר הוא שיהיה לךסיסמת אב מאובטחת באמתוגם סיסמה חזקה המגנה על חשבון המחשב שלך.

אַהֲבָה,
Lifehacker

יש לך שאלה או הצעה עבור Ask Lifehacker? שלח את זה ל[מוגן באימייל].