Một trong những độc giả của tôi đã hỏi tôi, này, Dedoimedo, bạn quản lý mật khẩu của mình như thế nào? Câu hỏi này đã trở thành ý tưởng đằng sau bài viết này, trong đó tôi muốn cung cấp cho bạn quan điểm của tôi về việc quản lý mật khẩu. Tương tự như hướng dẫn sao lưu của tôi, mục đích của phần này không phải là để cho bạn biết phải làm gì, mà là giúp bạn đưa ra giải pháp tốt nhất phù hợp với nhu cầu của mình. Gần giống như đi đến một nhà tâm lý học. Chỉ có tốt hơn.
Và vì vậy, tôi sẽ không thực sự nói cho bạn biết tôi đang làm gì với mật khẩu của mình. Điều đó không liên quan. Bởi vì người duy nhất cần biết mật khẩu của bạn là bạn nên các phương pháp và cách thức của tôi sẽ không giúp ích gì cho bạn về vấn đề đó. Đó là lý do tại sao tôi sẽ chủ yếu đặt câu hỏi. Được chứ? Sau tôi.
Lưu ý:Tony Werman, flickr.com, được cấp phép theo CC BY-SA 2.0.
Ba nguyên tắc quản lý mật khẩu
Bạn có thể đã đọc một tỷ hướng dẫn trực tuyến. Mật khẩu dài, ngắn, phức tạp, kho tiền trực tuyến, mã hóa, xác thực hai yếu tố, v.v. Có quá nhiều thứ ngoài kia khiến nó thực sự có thể trở nên khó hiểu. Tuy nhiên, về bản chất, việc quản lý mật khẩu của bạn bao gồm ba điều:
Bạn đang cố gắng bảo vệ điều gì?
Bạn có phải là người am hiểu về công nghệ?
Bạn có quan tâm điều gì sẽ xảy ra với tài khoản trực tuyến của mình nếu bạn chết không?
Rủi ro
Hóa ra, mọi người có thể không cần thiết phải hiểu rủi ro hoặc thiệt hại hoặc rủi ro thiệt hại nếu ai đó đánh cắp những mật khẩu đó. Nó không phải là một điều đơn giản, hoặc đơn giản. Bạn có thể nghĩ rằng email cá nhân của bạn chứa đầy những email và ảnh ngu ngốc không thực sự thú vị với bất kỳ ai. Và sự thật là vậy, không phải vậy. Nhưng sau đó, email đó có thể được sử dụng để khôi phục mật khẩu cho các dịch vụ khác, đó là điều mà mọi người thường làm và khi đó, nó trở nên thú vị. Cách thông tin di chuyển và cuối cùng là kênh có tầm quan trọng lớn.
Lưu ý:Hình ảnh được lấy từ Wikimedia, được cấp phép theo CC BY-SA 3.0.
Hơn nữa, mọi người có thể cho rằng ai đó ngoài kia đang tích cực tìm cách đột nhập vào hệ thống của họ và lấy cắp nội dung của họ. Đây là một trường hợp cực kỳ kinh điển của hội chứng Tầm quan trọng không chính đáng của con người (USI), trong đó mọi người gán quá nhiều tầm quan trọng cho hành động của họ và môi trường xung quanh ngay lập tức. Hóa ra, Internet là một hệ thống cơ giới hóa, được bôi trơn kỹ lưỡng, với quá nhiều tự động hóa và hỗn loạn, đến mức bạn có khả năng trở thành nạn nhân ngẫu nhiên của sự điên rồ, tai nạn hoặc sự cẩu thả của chính mình cũng như bạn bị xâm phạm bởi một người lạ ẩn danh phục vụ cho kỳ thị xã hội của bạn và kỳ vọng của Hollywood. Bạn sẽ hiếm khi phải lo lắng về việc cá nhân hax0rz sẽ cố gắng hết sức để lừa bạn. Nhắm mục tiêu cá nhân thuộc về những người quan trọng và bạn không quan trọng.
Chuyên môn kỹ thuật
Đối với hầu hết mọi người, giải pháp đơn giản để quản lý mật khẩu là bút và giấy. Và thực sự, nếu bạn nghĩ về nó, sẽ có ý nghĩa hơn là có một tài khoản trực tuyến với mật khẩu chính và xác thực hai yếu tố. Bởi vì những người không chuyên về công nghệ sẽ không muốn bận tâm đến kỷ luật cần thiết để sử dụng các công cụ này, vì vậy họ sẽ sử dụng chúng theo cách kém chất lượng, điều này khiến một tập hợp các công nghệ hữu ích trở thành một tập hợp các lỗ hổng và vectơ tiếp xúc không góp phần bảo mật.
Các công cụ cần phải phù hợp với người dùng của họ. KeePass và LastPass nghe có vẻ giống như những tiện ích tuyệt vời, và đúng là như vậy, nhưng không dành cho những người hầu như không sử dụng được Google. Có những phương pháp ưu việt để giúp những công dân bình thường giữ an toàn cho mật khẩu của họ mà không buộc họ phải sử dụng thuật ngữ kỹ thuật.
Cái chết
Cuối cùng, nếu bạn hết hạn sớm, điều gì sẽ xảy ra với tài khoản email, bộ nhớ trực tuyến, đám mây và những thứ khác của bạn? Các thành viên gia đình và bạn bè của bạn có thể truy xuất thông tin cá nhân hay ít nhất là yêu cầu thông tin đó dưới tên của bạn không?
Đây là một cân nhắc khác cho việc quản lý mật khẩu của bạn. Chắc chắn, bạn có thể xác thực hai mẫu cho thư của mình bằng mật khẩu 63 ký tự và quét dấu vân tay, v.v., nhưng theo một cách nào đó, các công cụ được thiết kế để ngăn truy cập độc hại cũng sẽ ngăn gia đình và bạn bè của bạn truy xuất thông tin sau khi bạn qua đời. Nếu điện thoại của bạn sử dụng máy quét dấu vân tay, thì những người khác sẽ không thể mở khóa điện thoại đó và do đó, họ sẽ không thể lấy mã truy cập cho các tài khoản trực tuyến của bạn và họ sẽ không thể đăng nhập, ngay cả khi họ biết mật khẩu, điều mà họ sẽ không biết, bởi vì bạn sẽ lưu chúng theo cách an toàn, điên rồ để khóa mọi người.
Lưu ý:Hình ảnh được lấy từ Wikimedia, được cấp phép theo CC BY-SA 3.0.
Và do đó, những cân nhắc của bạn cũng nên bao gồm một kịch bản mà hầu hết mọi người không muốn suy ngẫm, đó là cái chết. Liệu bạn có thể chuyển dữ liệu cá nhân của mình một cách đáng tin cậy cho những người thân yêu của mình không, ngay cả khi bạn không có mặt để hướng dẫn họ cách sử dụng mã hóa kép và mã hóa ba, cách gắn các ổ đĩa bên ngoài, đăng nhập tại đây, đăng nhập tại đó, v.v.
Phần mở rộng của kịch bản cái chết là khả năng ghi nhớ mật khẩu. Bạn có thể nhớ một cách đáng tin cậy 29 mật khẩu khác nhau cho 29 trang web khác nhau để bạn thực sự có thể sử dụng chúng mà không ảnh hưởng đến một số phương pháp hay nhất mà bạn đã đọc trực tuyến không?
Hầu hết mọi người không thể, đó là lý do tại sao họ thường sử dụng một mật khẩu duy nhất và chúng tôi quay lại câu hỏi về rủi ro và khả năng bị lộ cũng như điều gì sẽ xảy ra nếu bảo mật hoặc quyền riêng tư của bạn bị xâm phạm. Đó là lý do tại sao chúng ta cần thảo luận về cách xử lý việc này đúng cách.
Một số lời khuyên thực tế về âm thanh
Bây giờ chúng ta đã tính đến mọi thứ và bất cứ thứ gì có, hãy xem Internet cung cấp những gì. Hầu hết các mẹo và thủ thuật quản lý mật khẩu sẽ xoay quanh những điều sau:
Sử dụng mật khẩu phức tạp, khó đoán hoặc những mật khẩu dài, dễ nhớ.
Sử dụng xác thực hai yếu tố.
Không sử dụng lại mật khẩu.
Thường xuyên làm mới mật khẩu của bạn.
Sử dụng kết nối an toàn khi đăng nhập.
Đó là những điều cơ bản. Giờ đây, riêng chúng sẽ vô nghĩa nếu bạn không áp dụng chúng vào trường hợp sử dụng cụ thể của mình. Hãy nhớ rằng, bạn không thể kiểm soát những gì người khác làm. Bạn không thể quyết định xem ai đó có muốn hack bạn hay không. Bạn cũng không thể đảm bảo 100% hệ thống của mình sẽ không bị xâm phạm. Tuy nhiên, bạn có thể đánh giá rủi ro và nhu cầu của mình và làm việc phù hợp.
Hơn nữa, có một khía cạnh khác để xem xét - kiểm soát thiệt hại. Nếu một trong ba khối xây dựng của bạn bị tổn hại theo một cách nào đó, bạn có thể ngăn chặn hoặc loại bỏ vấn đề nhanh như thế nào? Một lần nữa, việc xem xét xoay quanh những gì xảy ra trước, trong và sau một sự cố. Và hãy nhớ rằng, một sự cố có thể làm đổ cà phê lên máy tính xách tay mà bạn đã lưu mật khẩu của mình và bây giờ bạn không thể lấy lại chúng.
Kiểm soát thiệt hại
Được rồi. Bạn muốn có thể sử dụng mật khẩu của mình một cách đáng tin cậy và bạn muốn người khác không thể truy cập chúng nếu không có sự cho phép của bạn. Có ý nghĩa, phải không? Điều này đúng với tất cả các loại người dùng và tất cả các loại dữ liệu nhạy cảm.
Để ngăn chặn truy cập trái phép, bạn cần bảo mật mật khẩu của mình. Giờ đây, có hai vị trí chính mà bạn có thể lưu mật khẩu của mình - ngoại tuyến hoặc trực tuyến. Ngoại tuyến có nghĩa là không phải trên máy tính, tức là đầu của bạn hoặc tờ giấy hoặc máy tính bị ngắt kết nối và trực tuyến có nghĩa là trên máy tính có thể được truy cập từ mạng. Trong trường hợp thứ hai, từ góc độ kỹ thuật thuần túy, mật khẩu của bạn có thể được truy cập từ Internet. Đó có thể là một nhiệm vụ khó khăn và khả năng xảy ra điều đó có thể thấp, nhưng theo thống kê, nó có thể thực hiện được.
Nếu bạn muốn giữ mật khẩu của mình ở định dạng kỹ thuật số, chúng phải được bảo vệ. Điều này có nghĩa là bạn cần sử dụng một số loại cơ chế sẽ ẩn mật khẩu khỏi mắt thường và nếu ai đó lấy đĩa của bạn, dữ liệu sẽ trở nên vô nghĩa. Điều này có nghĩa là mã hóa. Điều này có nghĩa là chuyên môn kỹ thuật và các biến chứng sau khi chết.
Hơn nữa, ngay cả khi bạn bảo mật dữ liệu, thiết bị đầu cuối đầu vào của bạn - máy tính xách tay, điện thoại của bạn hoặc bất kỳ thiết bị nào khác, về lý thuyết có thể bị xâm phạm mà không bị mất dữ liệu. Trong trường hợp xấu nhất, từ góc độ kỹ thuật thuần túy, bạn có thể đã cài đặt một keylogger, và sau đó, ngay cả khi bạn quản lý mật khẩu của mình một cách thông minh, các thao tác gõ phím có thể bị chặn và người khác có thể có quyền truy cập vào tài khoản trực tuyến của bạn.
Lưu ý:Hình ảnh được lấy từ Wikimedia, được cấp phép theo CC BY-SA 2.0.
Điều này có nghĩa là máy tính của bạn có lẽ là liên kết yếu nhất - chứ không phải là cách bạn quản lý mật khẩu, nhưng chúng tôi sẽ giải quyết vấn đề đó trong giây lát. Bảo mật máy tính là một chủ đề hoàn toàn khác và trước đây chúng ta đã nói về nó. Thực sự không có gì cụ thể cho mật khẩu trong trường hợp này. Nếu bạn bằng cách nào đó quản lý sai tài nguyên của mình, bạn sẽ bị rò rỉ dữ liệu. Đây có thể là lừa đảo, ngu ngốc, lười biếng, cài đặt những thứ tào lao ngẫu nhiên, v.v. Mật khẩu có thể là một trong nhiều phần dữ liệu tiềm ẩn có thể bị mất. Vì vậy, những gì bạn cần làm là đảm bảo rằng bạn giữ an toàn cho máy của mình. Đơn giản vậy thôi. Nếu không có chuyện tào lao thì không có ruồi, ông tôi thường nói. Không hẳn, nhưng đó là một câu nói hay.
Nhưng nếu bạn thực sự không thể làm điều đó, thì câu hỏi tiếp theo là, nếu ai đó có mật khẩu của bạn thì sao? The answer is, two-factor authentication, which makes any one half of the data useless. But this method is cumbersome. You need to be an advanced user, and then, your technology becomes the limiting factor. What if you lose your phone? What if you die and your family don't understand this new authentication method? As you can see, as far as online data access goes, we have:
online --> plain|encrypted passwords --> keylogging
--> two-factor auth
We did not discuss offline just yet. Now, the old security practice of never writing your password down is true for offices and corporate environments. It is meaningless for home users. If someone breaks into your home, they will probably not care about random pieces of paper, and if they do, they probably won't be able to easily map them to your online stuff. Unless you're being targeted, but then, that's a very unlikely scenario.
So writing your stuff down is actually a good thing. You can use very long passwords, you can share them with friends and family, the technological challenge is low, and no one can steal the paper notebook from the Internet. This method does not fix the computer security piece, so we have:
offline --> keylogging --> two-factor auth
We can see that the logic points toward two-factor authentication, which really rules out a vast majority of users, because they are not savvy enough to implement it reliably. And it also complicates post-mortem use. Which is why you need to think hard. What do you fear more? Online hacking or your own death? Do you care more about malware or leaving a sane legacy behind you?
Server side games
So far, we've only discussed the home piece. But there are two sides to that coin. Your own, and the server you are logging to. And this opens a whole new range of questions and problems and possibilities. In fact, hacking servers is far more lucrative, as you can glean thousands if not millions of passwords in one fell stroke, rather than wasting effort on individual targets. This is what we've been reading in the news lately. Breaches of data with big companies that have not implemented proper security measures.
Again, you only have partial control over the whole scheme. You can make sure you login over secure (HTTPS) connections, but you may not always know this, especially on your mobile phones and such. You can make sure to follow the various best practices, but you cannot prevent companies from being hacked and such.
This is why we go back to the question of damage control. If a database is hacked and all its users are compromised, how much additional risk do you incur through your password management policies? So if you use the same user and password for all online accounts, then yes, technically, in theory, if these credentials are exposed, then someone can access all your stuff. Having different passwords - as well as users - makes sense. Non-personal aliases can also help anonymize you. And where would you store these user names? Online or offline? We go back to square one.
Note:Image taken from Wikimedia, licensed under CC BY-SA 3.0.
All of the above has nothing to do with how strong or memorable your passwords are. They all discuss the eventually of a data breach, and what you can do before, during, and after such an incident. Forget the reasons as to why this may happen. It WILL happen. The only thing that matters is, what have you done to minimize damage, what can you do while the problem is ongoing, and what's for you to do after the problem has been fixed.
If you are wise, then you will invest as much energy in the earliest links in the chain, because the sooner you act, the cheaper the cost. If you prepare well, then even if there's a problem, you may not really care.
On the client side, it means smart security so you don't need to worry about data compromise. Ironically, people less likely to be hacked are those more likely to use two-factor authentication, a method designed to minimize the chances of haxorology.
In the end, it means the choice of offline or online password storage, and minimizing damage that you will incur if there's a server-side problem. In other words, use different names and passwords for your various online accounts. It's a pain, but then, do you walk around the streets advertising your identity to everyone? No. So why would you want to do that online?
To sum it up, there's no silver bullet solution.
Remember it all
But passwords are not about security. Partly yes. But there are far more important reasons to manage them well. Your OWN brain. If you forget them, you're screwed. If you buried them somewhere so deep you can't find them, you're screwed. If you die, it's all gone.
Security is in fact highly overrated as a concept. It is a part of the online world, but just like there's no reason to contract sexually transmitted diseases in day-to-day life, there's no reason to fiddle with malware. Be sensible, and you can avoid that side of the Web. Again, the paradox of computing. Those who need this advice will not be reading this article, and it will only be nerds scrolling through, enjoying the affirmation of the things they are already doing.
So security. People invest so much in it, but there are more pressing matters. Like data backups. What's the chance of you being hacked? Low. What's the chance of you losing a hard disk? 100%. This is what people forget.
With passwords, it's the same thing. You will forget them. You will misplace them. You will die. So make them useful and practical. And this actually is the answer to the original request. How does one manage passwords sensibly?
And the answer is - I don't have one. What will drive your consideration is, how can you make sure you remember your passwords when you need them? And by remember, I mean, you can find them, whether inside the brain cells or an old, mangled paper somewhere.
The argument of complex versus long passwords comes to mind. Indeed, having hax0ry password is all l33t and cool and rad, but in reality, unless you are being target by a human, having long, memorable passwords is statistically, mathematically a more sensible approach for the vast majority of people. They can easily remember song lyrics or places or such, but they sure can't master the uppercase lowercase special character nonsense that we nerds inflict upon them.
The side benefit of it all is, if the password management process is fun, then people will be more likely to adhere to it and maintain some discipline. Just go with your favorite films, write a list, and enjoy it. Sounds simple and effective. And remember, I am not advocating this, because you need to find your own way to ensure the legacy of your passwords.
Never forget the triangle of password management. Risk. Technology. Death. Your songs might be high and mighty, but if no one can guess you saved them in a file titled pr0n.txt inside a hidden folder, then they are meaningless, right?
Kết luận
As you can see, and you might be frustrated by this, I am going to end this article without a single specific app or technology mentioned. This is because giving advice is so easy, and it means nothing when you have to be the one applying it. Like the proverbial shrink, I will leave you with some blue balls of password management, armed with a golden recipe of thinking and reasoning, which should give you the tools you need.
Evaluate your situation based on the three critical parameters. Once you know the odds, you know the weakest link. Strengthen it first, then work up the ladder. Minimize damage with the expectation it WILL happen. Use technology to aid yourself and your family, rather than creating an impressive but meaningless fortress of pointless security. You are not as important as you think you are, and there a hundred things that will happen before you get hax0rized. And you are neglecting them all, because you've been visiting security forums too much.
To wrap this up, managing passwords means a bit of work, especially if you use different account names and passwords, but it can be done in a sustainable manner. You just need to find the one that matches your life expectations, technobabble skillz and the risk of losing it all to whim, curiosity, daring, foolishness, and plain ole disk failure. We are done. Hate me if you want. If you're looking for advice like use XYZ 2.0 and MyP@ss 17.3, then look elsewhere. We are here to learn how to think! Kết thúc.
Tái bút The brain memory image is in public domain.
Chúc mừng.