آیا استفاده از مدیریت رمز عبور بهترین راه برای ایمن سازی حساب های شماست؟ یا این یک نقطه شکست پرخطری است؟ در اینجا جوانب مثبت و منفی مدیریت رمز عبور را بررسی می کنیم .
بسیاری از کارشناسان امنیت سایبری اصرار دارند که استفاده از مدیر رمز عبور بهترین راه برای اطمینان از داشتن رمز عبور قوی و منحصر به فرد برای هر حساب آنلاین است. اما دیگران در مورد ارزش این ابزارها کمتر مطمئن هستند.
مدیریت رمز عبور
برای مخالفان، مدیران رمز عبور نشان دهنده یک نقطه شکست هستند – گنجینه ای از اطلاعات بسیار حساس که توسط یک رمز عبور اصلی محافظت می شود که ممکن است گم شود، یا هک شود.
پس حق با کیست؟ Tom’s Guide با تعدادی از کارشناسان امنیت دیجیتال صحبت کرد و نظرات آنها را در مورد مزایا و معایب راه حل های مدیریت رمز عبور شنید.
در این مقاله صحبت هایی است که آنها در مورد این ابزارهای فنی بحث برانگیز می گویند، همراه با نکاتی در مورد چگونگی کاهش خطرات مربوط به نگه داشتن همه رمزهای عبور خود در یک جا است.
تمجید از مدیران رمز عبور
همه کارشناسان امنیتی دوست ندارند از مدیریت رمز عبور استفاده کنند، اما به نظر می رسد کسانی که این کار را انجام می دهند نمی توانند دنیایی را بدون آنها تصور کنند. مورد مثال: رابرت سیسیلیو، تحلیلگر امنیتی مستقر در بوستون و مدیر عامل Safr.me، که گفت با بیش از 650 رمز عبور در حال استفاده فعال، او به سادگی نمی تواند بدون مدیر رمز عبور کار کند.
سیسیلیو در پیامی ایمیلی گفت: «بدون مدیر رمز عبور،کاربران به رمزهای عبور ضعیف و بدون مدیریت باز میگردند. آنها از رمز عبور یکسانی برای تمام حساب های حیاتی خود استفاده می کنند و به ناچار هک می شوند.
اما حتی سیسیلینو که میگفت هیچ استدلال مشروعی علیه استفاده از مدیر رمز عبور وجود ندارد اقداماتی را برای کاهش خطر داشتن همه رمزهای عبور خود در یک جا انجام میدهد.
او گفت که اطلاعات ورود به حساب های حیاتی خود (مانند حساب های بانکی آنلاین) را حفظ می کند، اما بقیه رمزهای عبور خود را در یک مدیر رمز عبور مبتنی بر وب ذخیره می کند.
هیچ کس نمی تواند همه رمز عبورها را به خاطر بسپارد
موریس تابوش، که مشاور IT ، گروه Tabush را در نیویورک اداره میکند، همچنین به آسیب پذیریهای ذاتی در داشتن هویت آنلاین که فقط با رمز عبور محافظت میشود اشاره کرد. اما به نظر او، مردم باید از این واقعیت ناقص با محافظت از رمزهای عبور به بهترین شکل ممکن استفاده کنند.
برای Tabush، این به معنای استفاده از مدیر رمز عبور است.
تابوش از طریق ایمیل گفت: «داشتن یک نام کاربری و رمز عبور جهانی غیرممکن است، زیرا هر سایت یا سرویسی شرایط رمز عبور خاص خود را دارد. “هیچ کس نمی تواند هر ترکیب نام کاربری و رمز عبور را به خاطر بسپارد.”
تابوش گفت که برای خود و مشتریانش که همگی صاحبان مشاغل کوچک و متوسط با ده ها حساب آنلاین هستند،ابزار منتخب او RoboForm توسط Siber Systems است، یک برنامه مدیریت رمز عبور برای ویندوز و مک که برای دستگاه های موبایل iOS و Android نیز در دسترس است.
او برنامه مدیریت رمز RoboForm را دوست دارد زیرا در همه دستگاههای او از جمله دسکتاپ، لپ تاپ، آیفون و آی پد کار میکند. از آنجا که این مدیر رمز عبور مبتنی بر وب رمزهای عبور را به عنوان فایل های رمزگذاری شده ذخیره می کند، حتی اگر یکی از دستگاه های Tabush به سرقت برود، دزد به اطلاعات ورود به سیستم دسترسی نخواهد داشت.
نقطه ضعف دیجیتال
البته، برای هر متخصصی که می گوید نمیتواند بدون مدیر رمز عبور زندگی کند، شخص دیگری وجود دارد که میگوید با کمال میل میتواند بقیه عمر خود را بدون استفاده از رمزعبور بگذراند.
این مورد در مورد تری کاتلر، یکی از بنیانگذاران و مدیر ارشد فناوری شرکت مشاوره امنیت سایبری دیجیتال Locksmiths مستقر در مونترال است.
کاتلر در یک مصاحبه ایمیلی گفت: «من اصلاً طرفدار ابزارهای مدیریت رمز عبور نیستم. “اگر ابزار هک شود، تمام رمزهای شما دزدیده می شود.”
تایلر رگولی، مدیر تحقیق و توسعه امنیتی در پورتلند، شرکت امنیت سایبری Tripwire در اورگان، با کاتلر موافقت کرد. او استدلال کرد که مدیریت رمز عبور ممکن است بیشتر از اینکه مفید باشد، به خصوص برای کاربران خانگی آسیب برساند.
رگلی گفت: “مدیریت رمز عبور روش جامعه برای انتقال عادات بد به رایانه هستند.”
“نوشتن رمزهای عبور” شکل بدی است، بنابراین ما آنها را در رایانه خود “ذخیره” می کنیم.
“من به مدیران رمز عبور آنلاین اعتماد ندارم”
تشخیص اینکه کدام ابزار ایمن هستند و کدام یک از آنها امن نیستند، لزوما کار آسانی نیست. همانطور که کن وستین، مدیر استراتژی امنیتی ReliaQuest اشاره کرد، دشوار است که بدانید مدیران رمز عبور واقعا تا چه اندازه ایمن هستند.
وستین در یک پیام ایمیلی گفت: “شخصاً به مدیران رمز عبور آنلاین اعتماد ندارم.”
“این به این دلیل نیست که فکر می کنم آنها ناامن هستند، به این دلیل است که نمی دانم آنها چقدر امن هستند، چگونه اطلاعات من را ذخیره می کنند و آیا داده های من به درستی رمزگذاری شده اند.”
به دلیل این عدم اطمینان، وستین گفت که حساس ترین اطلاعات خود را در مدیران رمزهای عبور مبتنی بر وب ذخیره نمی کند. برای مدیریت رمز عبور حسابهای مالی و حسابهای ایمیل، وستین استفاده از ابزاری را توصیه کرد که به اینترنت متصل نیست.
وستین گفت: «برای حداکثر ایمنی، گذرواژههای این سرویسها [حسابهای مالی و ایمیل] باید در یک برنامه مدیریت رمز عبور آفلاین و رمزگذاریشده مانند KeePass نگهداری شوند، که برای باز کردن نیاز به احراز هویت دارد و به طور منظم و ایمن از آن نسخه پشتیبان تهیه میشود.
مدیریت رمز عبور بصورت دستی
کریستوفر برگس، مدیر عامل و رئیس شرکت پروندرا، یک شرکت امنیت و حریم خصوصی در منطقه سیاتل، پیشنهاد کرد که هرکسی که به مدیران رمز عبور اعتماد ندارد، میتواند رمز عبور را به صورت دستی پیگیری کند.
برگس گفت: “یک سیستم دستی دو دفتر یادداشت ساده است.” “در اولی، داده های حساب خود را قرار دهید: نام سرویس، URL، شناسه کاربری و شماره سریال. در دفتر یادداشت دومی، در کنار شماره سریال، رمز عبور و هرگونه یادداشت احراز هویت را یادداشت کنید. دفتر یادداشت دو را در مکانی امن قرار دهید، و هنگامی که نمی توانید رمز عبور خود را به خاطر بسپارید به آن مراجعه کنید.”
امن بودن مدیریت پسوردها
در حالی که چندین نفر از کارشناسانی که با آنها صحبت کردیم نظرات قوی در مورد مدیریت رمز عبور داشتند، به نظر می رسد بسیاری از کارشناسان امنیتی در میانه این بحث قرار می گیرند. برای آنها، مدیریت رمز عبور ابزارهای مفیدی هستند، اما به دور از خطا هستند.
همانطور که چستر ویسنیفسکی، دانشمند تحقیقاتی اصلی شرکت آنتی ویروس چند ملیتی Sophos، در ایمیلی گفت، افرادی که ابزارهای مدیریت رمز عبور خود را عاقلانه انتخاب نمیکنند، میتوانند «حلقهای را که بر همه آنها حکومت میکند» تحویل دهند.
Wisniewski گفت: “به دنبال برنامه های کاربردی شناخته شده و بررسی شده باشید.” “آنها باید چیزها را به صورت محلی رمزگذاری کنند و برای انجام رمزگذاری به اشخاص ثالث اعتماد نکنند. من شخصاً به LastPass و KeePass علاقه دارم.”
سدریک ژانوت، موسس و مدیر عامل شرکت امنیت سایبری APrivacy در واترلو، انتاریو، همچنین بر اهمیت رمزگذاری داده های قابل اعتماد هنگام تعیین اینکه از کدام مدیر رمز عبور استفاده شود، تاکید کرد.
Jeannot گفت که اگر مدیر رمز عبور انتخابی شما دادهها را در فضای ابری ذخیره میکند بجای محلی در رایانه شما، باید به این نکته توجه داشته باشید که اطلاعات شما در کدام کشور ذخیره میشود و علاوه بر سرویس مدیریت رمز عبور، چه کسی ممکن است به آن دسترسی داشته باشد.
لامار بیلی، مدیر ارشد امنیت Tripwire، گفت: افراد باید به دنبال مدیریت رمز عبوری باشند که دارای ویژگیهای امنیتی فراتر از رمزگذاری هستند، ویژگیهایی که ممکن است به امنیت هویت آنلاین کاربران کمک کند.
بیلی در ایمیلی گفت: «بسیاری از مدیران رمز عبور به وب سایتهایی که نقض شدهاند یا آنهایی که تحت تأثیر آسیب پذیریهای امنیتی جدی مانند Heartbleed هستند، به کاربران هشدار می دهند.
بیلی ادامه داد که مهمترین چیزی که در مورد مدیریت رمز عبور باید در نظر داشت رمز عبور اصلی است که برای ایمن سازی این ابزار استفاده می کنید.
بیلی گفت: “هر مدیر رمز عبور فقط به عنوان رمز عبور اصلی شما امن است.” بنابراین کاربران همیشه باید مطمئن شوند که رمز عبور مدیریت رمز عبور آنها بسیار قوی است و اغلب آن را تغییر دهند.
نظرات در مورد : آیا باید از مدیر رمز عبور استفاده کنیم؟(نظرات کارشناسان امنیت سایبری)