הסיסמאות שלך אינן מאובטחות כמו שאתה חושב; הנה איך לתקן את זה

אם תאפשר ליישומים לשמור את הסיסמאות שלך, כל מי שיש לו גישה פיזית למחשב שלך יכול לפענח אותן אלא אם כן אתה מצפין אותן כראוי - ורוב הסיכויים שאתה לא. בואו נעבור על הדרכים הנכונות והשגויות לאחסון הסיסמאות שלכם.

לצורך מאמר זה, נניח שהאנשים שאתה מאפשר להיכנס לביתך אמינים מספיק כדי לא לפרוץ את הסיסמאות שלך, ובמקום זאת גנבו את המחשב הנייד שלך - אך הטיפים כאן אמורים לחול על כל אחד מהתרחישים. ללא קשר לאופן שבו תבחר לשמור את הסיסמאות שלך, עליך לוודא זאתלהשתמש בסיסמאות מצוינותותשובות חזקות עוד יותר לשאלות אבטחה.

ברגע שאתה לוחץ על "זכור סיסמה" הכל נגמר

כמעט כל אפליקציה שדורשת ממך להתחבר למשהו יספק גם אפשרות לשמור את הסיסמה שלך, ולאחר שעשית את זה, הסיסמה שלך עשויה להיות גם טקסט רגיל. מאחורי הקלעים, גם אם האפליקציה מצפינה את פרטי החשבון, היא עושה זאת באמצעות מפתח סטטי שניתן לפענח בקלות באמצעות הנדסה לאחור כלשהי, ומישהו לא רק יכול, אלא כבר יצרכלי לשחזור סיסמאות אלה.

זה אפילו לא משנה כל כך אם יש לך סיסמת Windows קשוחה; כל מי שיש לו גישה פיזית למחשב האישי שלך יכולהשתמש בתקליטור Ubuntu Live כדי להעתיק את כל הנתונים שלך לכונן חיצונימבלי לשנות שום דבר, ולפצח את הקבצים שלך במחשב אחר מתי שבא להם (בהנחה שאין לך את כל הכונן הקשיח שלך מוצפן). אם היה להם קצת יותר זמן, הם היו יכוליםהשתמש ב-Ophcrack כדי להבין את הסיסמה שלך, או שהם יכולים להיות פשוט מרושעים והשתמש בתקליטור System Rescue כדי לשנות את סיסמת Windows שלך.

ברגע שלאדם הזה יש גישה לקבצים שלך, הוא יכולשחזר את הסיסמאות שלך עם כלים חינמייםבקלות - אתה יכול לשחזר סיסמאות בכמה קליקים מהַשׁקָפָה,מסנג'ר מיידי,Wi-Fi,אינטרנט אקספלורר,פיירפוקס,כרום, אוכל מספר יישומים אחרים. כל מה שצריך הוא חיפוש מהיר בגוגל כדי למצוא עוד יותר כלי עזר לפיצוח.

Pidgin מאחסן סיסמאות בטקסט רגיל

זה נכון, לקוח הקוד הפתוח המועדף עליך, מרובה פרוטוקולים של מסרים מידייםמאחסן את הסיסמאות שלך בטקסט רגיל. אם אתה לא מאמין לי, פשוט פתח את הקובץ %appdata%\.purple\accounts.xml שלך ב-עורך הטקסט המועדף עליך, ותראה את הסיסמאות שלך ממש שם כדי שכל אחד יוכל לקרוא.

ההחלטה לאחסן את הסיסמאות בטקסט רגיל היא החלטה מכוונת שנלקחה בחשבון, ולמרות שאתה עשוי לחשוב בתחילה שזו דרך מאוד לא בטוחה לטפל באבטחה, זכור שאתה יכול פשוט להוריד כל מספר של כלי עזר כמו זה של נירסופטMessenPassושחזר את הסיסמאות מ-AIM, Windows Live Messenger, Trillian, Miranda, Google Talk, Digsby וכו'. מפתחי Pidginציין שהאופציה שלהם היא למעשה השיטה המועדפת לאבטחה:

שהסיסמאות שלנו יהיו בטקסט רגיל

יוֹתֵר

מאובטח מאשר לטשטש אותם בדיוק משום שכאשר משתמש אינו מטעה על ידי תחושת ביטחון מזויפת, סביר להניח שהוא ישתמש בתוכנה בצורה מאובטחת יותר.

התשובה הטובה ביותר, כמובן, היא לא לאפשר ללקוח ה-IM שלך לאחסן את הסיסמאות שלך בכלל - אבל אם אתה חייב לאחסן אותן, עליך לפחות להשתמש בהצפנת Windows המובנית, אם לאהתקנה מלאה של TrueCrypt. כל אחת מהאפשרויות תהיה טובה יותר מההגנה הפסאודונית שרוב היישומים האחרים מספקים.

מנהלי סיסמאות הם האחסון המאובטח היחיד

הדרך המאובטחת היחידה לאחסן את הסיסמאות שלך היאהשתמש במנהל סיסמאות כדי לעקוב בצורה מאובטחת אחר הסיסמאות שלך, בשילוב עם אסיסמת מאסטר נהדרתכדי להגן על שאר הסיסמאות השמורות שלך - אם אתה משתמש בסיסמה קלה למנהל הסיסמאות שלך, קל יהיה לפצח אותה עם התקפת כוח גס. אל תפתה את עצמך לתחושת אבטחה מזויפת על ידי שימוש באחת בלבד - סיסמת מנהל הסיסמאות שלך צריכה להיות לפחות 10 תווים אלפא-נומריים אם אתה באמת רוצה להיות בטוח.

יש לך מספרמנהלי סיסמאות מעוליםלבחירה, כמו חביב הקוראיםKeepass, כלי חוצה פלטפורמות שיש לו הרבהתוספים שעוזרים לך לשלוט בסיסמאות שלךולהפוך את השימוש במנהל סיסמאות לקל יותר להתמודדות. וכמובן, בואו לא נשכח שלפיירפוקס יש מנהל סיסמאות מלא מובנה ישירות באפליקציה.

השתמש בסיסמת מאסטר של Firefox (עם יותר מ-8 תווים)

אם אתה רוצה להשתמש ב-Firefox כדי לשמור את הסיסמאות עבור כל חשבונות האינטרנט שלך, עליך לוודא זאתאפשר סיסמת מאסטר של Firefoxעל ידי כניסה אל כלים -> אפשרויות -> אבטחה וסימון התיבה השתמש בסיסמת אב.

לאחר שתעשה זאת, פיירפוקס יאחסן את כל הסיסמאות שלך עם הצפנת AES כמעט בלתי ניתנת לשבירה - בתנאי שתשתמש בסיסמה עם יותר מ-8 תווים אלפא-נומריים ולפחות אות אחת באותיות גדולות. אם השתמשת בסיסמה חלשה ופתטית כמו "סוד", זה יכול להיותנשבר תוך דקות ספורות עם כלי לפיצוח כוח גס, אבל סיסמה הגונה של 8+ תווים אקראיים ייקח לפחות 73 שנים להתקפת כוח גס.

בכל פעם שתפעיל את פיירפוקס ותעבור לאתר שדורש סיסמה שמורה, תתבקש תחילה להזין את סיסמת האב שלך. כברירת מחדל, אימות הסיסמה הראשית יהיה פעיל במשך כל הפגישה, אך אתה יכול להשתמש ב-הארכת זמן קצוב של סיסמת מאסטרלנעול שוב את סיסמת האב שלך לאחר מרווח זמן מסוים, וזה שימושי אם אתה מתרחק משולחן העבודה שלך מבלי לזכור לנעול אותה עם Win+L.

השתמש ב-TrueCrypt כדי להצפין הכל

במקום להתמודד עם מנהלי סיסמאות או אם לשמור את הסיסמאות שלך או לא, אתה יכול פשוטליצור כונן TrueCrypt נפרד ומוצפן, והשתמש בגרסאות ניידות של היישומים שלךלשמור על הכל מאובטח לחלוטין. אם אתה אפילו יותר פרנואיד, אתה יכולהשתמש ב-TrueCrypt כדי להצפין את כל הכונן הקשיח- תתבקש להזין סיסמה בכל פעם שאתה אתחול, אבל אתה יכול להירגע בידיעה שכל דבר שתעשה יוצפן, גם אם אתה משתמש בסקריפטים עם הסיסמאות שלך מאוחסנות בטקסט רגיל. אם TrueCrypt זה לא הקטע שלך, אתה יכול להשתמש בפונקציונליות ההצפנה המובנית ב-Windows - רק זכור שאם תשנה את הסיסמה שלך הנתונים שלך לא יהיו נגישים, וניתן יהיה לפצח את סיסמת Windows שלך, מה שייתן להם גישה מלאה קבצים.

האם אתה כבר משתמש במנהל סיסמאות או בהצפנה כדי לשמור על אבטחת הסיסמאות שלך? שתף את העצות הטובות ביותר שלך לאבטחת סיסמאות בתגובות.

חנון איך לעשותמשתמש ב-Keepass ובתוכנית סיסמאות קשוחה כדי לשמור על אבטחת החשבונות שלו. ניתן למצוא את המאמרים הגיקים שלו מדי יום כאן ב-Lifehacker,איך לעשות חנון, ולְצַפְצֵף.