آیا باید از مدیر رمز عبور استفاده کنیم؟(نظرات کارشناسان امنیت سایبری)

آیا استفاده از مدیریت رمز عبور بهترین راه برای ایمن سازی حساب های شماست؟ یا این یک نقطه شکست پرخطری است؟ در اینجا جوانب مثبت و منفی مدیریت رمز عبور را بررسی می کنیم .

بسیاری از کارشناسان امنیت سایبری اصرار دارند که استفاده از مدیر رمز عبور بهترین راه برای اطمینان از داشتن رمز عبور قوی و منحصر به فرد برای هر حساب آنلاین است. اما دیگران در مورد ارزش این ابزارها کمتر مطمئن هستند.

مدیریت رمز عبور

برای مخالفان، مدیران رمز عبور نشان دهنده یک نقطه شکست هستند – گنجینه ای از اطلاعات بسیار حساس که توسط یک رمز عبور اصلی محافظت می شود که ممکن است گم شود، یا هک شود.

پس حق با کیست؟ Tom’s Guide با تعدادی از کارشناسان امنیت دیجیتال صحبت کرد و نظرات  آنها را در مورد مزایا و معایب راه حل های مدیریت رمز عبور شنید.

در این مقاله صحبت هایی است که آنها در مورد این ابزارهای فنی بحث برانگیز می گویند، همراه با نکاتی در مورد چگونگی کاهش خطرات مربوط به نگه داشتن همه رمزهای عبور خود در یک جا است.

تمجید از مدیران رمز عبور

همه کارشناسان امنیتی دوست ندارند از مدیریت رمز عبور استفاده کنند، اما به نظر می رسد کسانی که این کار را انجام می دهند نمی توانند دنیایی را بدون آنها تصور کنند. مورد مثال: رابرت سیسیلیو، تحلیلگر امنیتی مستقر در بوستون و مدیر عامل Safr.me، که گفت با بیش از 650 رمز عبور در حال استفاده فعال، او به سادگی نمی تواند بدون مدیر رمز عبور کار کند.

سیسیلیو در پیامی ایمیلی گفت: «بدون مدیر رمز عبور،کاربران به رمزهای عبور ضعیف و بدون مدیریت باز می‌گردند. آنها از رمز عبور یکسانی برای تمام حساب های حیاتی خود استفاده می کنند و به ناچار هک می شوند.

اما حتی سیسیلینو  که می‌گفت هیچ استدلال مشروعی علیه استفاده از مدیر رمز عبور وجود ندارد  اقداماتی را برای کاهش خطر داشتن همه رمزهای عبور خود در یک جا انجام می‌دهد.

او گفت که اطلاعات ورود به حساب های حیاتی خود (مانند حساب های بانکی آنلاین) را حفظ می کند، اما بقیه رمزهای عبور خود را در یک مدیر رمز عبور مبتنی بر وب ذخیره می کند.

هیچ کس نمی تواند همه رمز عبورها را به خاطر بسپارد

موریس تابوش، که مشاور IT ، گروه Tabush را در نیویورک اداره می‌کند، همچنین به آسیب‌ پذیری‌های ذاتی در داشتن هویت آنلاین که فقط با رمز عبور محافظت می‌شود اشاره کرد. اما به نظر او، مردم باید از این واقعیت ناقص با محافظت از رمزهای عبور به بهترین شکل ممکن استفاده کنند.

برای Tabush، این به معنای استفاده از مدیر رمز عبور است.

تابوش از طریق ایمیل گفت: «داشتن یک نام کاربری و رمز عبور جهانی غیرممکن است، زیرا هر سایت یا سرویسی شرایط رمز عبور خاص خود را دارد. “هیچ کس نمی تواند هر ترکیب نام کاربری و رمز عبور را به خاطر بسپارد.”

تابوش گفت که برای خود و مشتریانش که همگی صاحبان مشاغل کوچک و متوسط ​​با ده ها حساب آنلاین هستند،ابزار منتخب او  RoboForm توسط Siber Systems است، یک برنامه مدیریت رمز عبور برای ویندوز و مک که برای دستگاه های موبایل iOS و Android نیز در دسترس است.

او برنامه مدیریت رمز RoboForm را دوست دارد زیرا در همه دستگاه‌های او از جمله دسکتاپ، لپ ‌تاپ، آیفون و آی ‌پد کار می‌کند. از آنجا که این مدیر رمز عبور مبتنی بر وب رمزهای عبور را به عنوان فایل های رمزگذاری شده ذخیره می کند، حتی اگر یکی از دستگاه های Tabush به سرقت برود، دزد به اطلاعات ورود به سیستم دسترسی نخواهد داشت.

نقطه ضعف دیجیتال

البته، برای هر متخصصی که می ‌گوید نمی‌تواند بدون مدیر رمز عبور زندگی کند، شخص دیگری وجود دارد که می‌گوید با کمال میل می‌تواند بقیه عمر خود را بدون استفاده از رمزعبور بگذراند.

این مورد در مورد تری کاتلر، یکی از بنیانگذاران و مدیر ارشد فناوری شرکت مشاوره امنیت سایبری دیجیتال Locksmiths مستقر در مونترال است.

کاتلر در یک مصاحبه ایمیلی گفت: «من اصلاً طرفدار ابزارهای مدیریت رمز عبور نیستم. “اگر ابزار هک شود، تمام رمزهای شما دزدیده می شود.”

تایلر رگولی، مدیر تحقیق و توسعه امنیتی در پورتلند، شرکت امنیت سایبری Tripwire در اورگان، با کاتلر موافقت کرد. او استدلال کرد که مدیریت رمز عبور ممکن است بیشتر از اینکه مفید باشد، به خصوص برای کاربران خانگی آسیب برساند.

رگلی گفت: “مدیریت رمز عبور روش جامعه برای انتقال عادات بد به رایانه هستند.”

“نوشتن رمزهای عبور” شکل بدی است، بنابراین ما آنها را در رایانه خود “ذخیره” می کنیم.

“من به مدیران رمز عبور آنلاین اعتماد ندارم”

تشخیص اینکه کدام ابزار ایمن هستند و کدام یک از آنها امن نیستند، لزوما کار آسانی نیست. همانطور که کن وستین، مدیر استراتژی امنیتی ReliaQuest اشاره کرد، دشوار است که بدانید مدیران رمز عبور واقعا تا چه اندازه ایمن هستند.

وستین در یک پیام ایمیلی گفت: “شخصاً به مدیران رمز عبور آنلاین اعتماد ندارم.”

“این به این دلیل نیست که فکر می کنم آنها ناامن هستند، به این دلیل است که نمی دانم آنها چقدر امن هستند، چگونه اطلاعات من را ذخیره می کنند و آیا داده های من به درستی رمزگذاری شده اند.”

به دلیل این عدم اطمینان، وستین گفت که حساس ترین اطلاعات خود را در مدیران رمزهای عبور مبتنی بر وب ذخیره نمی کند. برای مدیریت رمز عبور حساب‌های مالی و حساب‌های ایمیل، وستین استفاده از ابزاری را توصیه کرد که به اینترنت متصل نیست.

وستین گفت: «برای حداکثر ایمنی، گذرواژه‌های این سرویس‌ها [حساب‌های مالی و ایمیل] باید در یک برنامه مدیریت رمز عبور آفلاین و رمزگذاری‌شده مانند KeePass نگهداری شوند، که برای باز کردن نیاز به احراز هویت دارد و به طور منظم و ایمن از آن نسخه پشتیبان تهیه می‌شود.

مدیریت رمز عبور بصورت دستی

کریستوفر برگس، مدیر عامل و رئیس شرکت پروندرا، یک شرکت امنیت و حریم خصوصی در منطقه سیاتل، پیشنهاد کرد که هرکسی که به مدیران رمز عبور اعتماد ندارد، می‌تواند رمز عبور را به صورت دستی پیگیری کند.

برگس گفت: “یک سیستم دستی دو دفتر یادداشت ساده است.” “در اولی، داده های حساب خود را قرار دهید: نام سرویس، URL، شناسه کاربری و شماره سریال. در دفتر یادداشت دومی، در کنار شماره سریال، رمز عبور و هرگونه یادداشت احراز هویت را یادداشت کنید. دفتر یادداشت دو را در مکانی امن قرار دهید، و هنگامی که نمی توانید رمز عبور خود را به خاطر بسپارید به آن مراجعه کنید.”

امن بودن مدیریت پسوردها

در حالی که چندین نفر از کارشناسانی که با آنها صحبت کردیم نظرات قوی در مورد مدیریت رمز عبور داشتند، به نظر می رسد بسیاری از کارشناسان امنیتی در میانه این بحث قرار می گیرند. برای آنها، مدیریت رمز عبور ابزارهای مفیدی هستند، اما به دور از خطا هستند.

همانطور که چستر ویسنیفسکی، دانشمند تحقیقاتی اصلی شرکت آنتی ویروس چند ملیتی Sophos، در ایمیلی گفت، افرادی که ابزارهای مدیریت رمز عبور خود را عاقلانه انتخاب نمی‌کنند، می‌توانند «حلقه‌ای را که بر همه آنها حکومت می‌کند» تحویل دهند.

Wisniewski گفت: “به دنبال برنامه های کاربردی شناخته شده و بررسی شده باشید.” “آنها باید چیزها را به صورت محلی رمزگذاری کنند و برای انجام رمزگذاری به اشخاص ثالث اعتماد نکنند. من شخصاً به LastPass و KeePass علاقه دارم.”

سدریک ژانوت، موسس و مدیر عامل شرکت امنیت سایبری APrivacy در واترلو، انتاریو، همچنین بر اهمیت رمزگذاری داده های قابل اعتماد هنگام تعیین اینکه از کدام مدیر رمز عبور استفاده شود، تاکید کرد.

Jeannot گفت که اگر مدیر رمز عبور انتخابی شما داده‌ها را در فضای ابری ذخیره می‌کند  بجای محلی در رایانه شما، باید به این نکته توجه داشته باشید که اطلاعات شما در کدام کشور ذخیره می‌شود و علاوه بر سرویس مدیریت رمز عبور، چه کسی ممکن است به آن دسترسی داشته باشد.

لامار بیلی، مدیر ارشد امنیت Tripwire، گفت: افراد باید به دنبال مدیریت رمز عبوری باشند که دارای ویژگی‌های امنیتی فراتر از رمزگذاری هستند، ویژگی‌هایی که ممکن است به امنیت هویت آنلاین کاربران کمک کند.

بیلی در ایمیلی گفت: «بسیاری از مدیران رمز عبور به وب ‌سایت‌هایی که نقض شده‌اند یا آن‌هایی که تحت تأثیر آسیب‌ پذیری‌های امنیتی جدی مانند Heartbleed هستند، به کاربران هشدار می ‌دهند.

بیلی ادامه داد که مهمترین چیزی که در مورد مدیریت رمز عبور باید در نظر داشت رمز عبور اصلی است که برای ایمن سازی این ابزار استفاده می کنید.

بیلی گفت: “هر مدیر رمز عبور فقط به عنوان رمز عبور اصلی شما امن است.” بنابراین کاربران همیشه باید مطمئن شوند که رمز عبور مدیریت رمز عبور آنها بسیار قوی است و اغلب آن را تغییر دهند.