L'utente medio ha davvero bisogno di un gestore di password?

Sì.

L'utente medio dovrebbe usare password lunghe casuali per ogni sito. Le password non dovrebbero essere ripetute, le password non dovrebbero seguire uno schema riconoscibile. Il compromesso di una qualsiasi password (ad es. Il tuo login Adobe o LinkedIn) non deve consentire a chi attacca di indovinare le tue altre password. Questi requisiti rendono quasi impossibile la memorizzazione delle password. Ma non è questo il motivo principale per cui dovresti utilizzare un gestore di password.

La ragione principale è che protegge in modo affidabile dagli attacchi di phishing. Un gestore di password integrato nel browser solo inserirà una password specifica del sito se stai effettivamente visitando il sito corretto. Quindi non digiterà accidentalmente la password di Paypal.com in www.paypal.com.us.cgi-bin.webscr.xzy.ru. Questo è doppiamente vero per gli utenti medi , che in media si affidano alla familiarità generale di un sito per determinare se è legittimo (un euristico terribilmente inefficace). Dal momento che non conosci la tua password, non puoi inserirla. Invece, si riempirà automaticamente solo se sei nel sito autentico.

Utilizza un gestore di password integrato nel browser, non ottenere phishing. È letteralmente così semplice. Il phishing è una minaccia molto più diffusa e seria della divulgazione di password, comunque.

Nei laboratori di Microosft Research è in atto un pensiero interessante che supporta il tuo approccio. link per esempio.

Fanno notare che non tutti gli account protetti da password sono uguali. Li classificano come:

• non curare gli account (porte sbloccate).
• conti a basso impatto (porte da giardino chiuse).
• account di media conseguenza (porta principale chiusa a chiave).
• conti ad alto rischio (porte del caveau di una banca).
• account ultra-sensibili (quelle fantastiche porte blindate che ci piace immaginare sono al NORAD).

e sottolinea che è uno spreco di sforzi fare in modo che le password su conti non siano efficaci come quelle degli account ad alto rischio. Se non ti interessa un account, perché non dovresti usare "password" come password?

Sono d'accordo con loro, ma utilizzo ancora un gestore di password e ho password uniche e uniche per tutto, per il semplice motivo che non voglio passare il tempo a capire quale valore ho messo su ciascun account. Con il mio gestore di password, faccio solo il massimo e dimentico.

Quindi consiglierei un gestore di password all'utente medio, perché è il modo più semplice per indurli a utilizzare password complesse.

Altri hanno sottolineato i vantaggi per la sicurezza, mi concentrerò solo sulla convenienza e l'inconveniente.

Se utilizzi il tuo gestore di password per tutto ciò che faccio, salva i luoghi in cui il gestore è inaccessibile, diventi condizionato a usare la sua convenienza.

Diversi siti hanno politiche diverse e quindi non è nemmeno possibile lasciare la porta sbloccata a volte, devi capitalizzare la prima lettera, o qualunque derivazione rapida della tua password di uso-ovunque.

Ci sono molte volte in cui non riuscivo a ricordare se avessi usato la password sbagliata o se avessi avuto bisogno di capitalizzare qualcosa o se stavo usando il nome utente o l'email sbagliati.

I migliori gestori di password ricordano questa roba anche se svuota la cache del browser. Questo ha l'ulteriore vantaggio di sicurezza di sconfiggere i tentativi di phishing quando usi i plug-in che registrano le tue credenziali su un dominio, come LastPass.

Tuttavia, non è sempre comodo come quando si utilizza un browser desktop, LastPass per iPhone non si integra con Safari, ma è esso stesso un browser e può essere utilizzato per copiare la password negli appunti.

Per essere onesti, il rovescio della medaglia, se non sai quali sono le tue password e non hai accesso al tuo manager, non stai loggando nulla.

Sì la maggior parte dei gestori di password ti impedisce di fare cose come mettere la tua password nel sito sbagliato.

Il tradizionale pensiero di cambiare le password su base regolare applica davvero i siti in cui l'attore malintenzionato vorrebbe fare il drop o fare cose in silenzio con il tuo account. Cose come siti di social media o e-mail. In quei momenti è bene cambiare regolarmente la password. Ciò rende più difficile ricordare le password e quindi un altro vantaggio di un gestore di password.

Da Schneier: "La ragione principale per fornire una credenziale di autenticazione - non solo una password, ma qualsiasi credenziale di autenticazione - una data di scadenza è quella di limitare la quantità di tempo in cui una credenziale persa, rubata o falsificata può essere utilizzata da qualcun altro: se una tessera scade dopo un anno, se qualcuno ruba quella carta, al massimo può ottenere un anno di beneficio da questo, dopodiché è inutile. "

I siti che le persone sembrano preoccuparsi maggiormente delle password, come i siti bancari o altri siti finanziari, sono in realtà meno importanti da cambiare frequentemente con la frequenza. Un attore malintenzionato che ottiene questa password lo userà e noterai (se non te ne accorgi, hai problemi molto più grandi delle password).

Detto questo, sì, i gestori di password sono ottimi per gli utenti medi, ma ancora più importante è ricordare che le password sono una forma molto insicura di protezione dei dati. monitorare i tuoi account, limitare l'accesso ai tuoi account da località sconosciute e monitorare i tuoi account (sì, lo ripeterò ancora e ancora).

Posso darti un esempio di come posso sfruttarti?

Uno dei forum (i frutti più bassi in sospeso) fa trapelare i suoi dettagli utente, ora ho il tuo nome, indirizzo email, password e possibilmente elaborare alcune delle tue abitudini di navigazione.

Supponiamo che non abbiate la vostra password in testo normale, quindi vi mando una email che vi dice che il vostro account è stato compromesso, per favore andate su ALFAR0ME0F0RUM.COM che serve la pagina "cambia la vostra password" come vi aspettate. Hai inserito una password diversa, ora ho una variante della tua password normale in testo normale. Ora posso facilmente crackare la tua password originale, ora ho 2 delle tue password riciclate.

Ora assumiamo che tu abbia usato un account e-mail non principale per AlfaRomeoForum.com che utilizza le password riciclate. Ora posso vedere tutti i servizi a cui ti sei iscritto con quell'indirizzo email e posso indovinare le password.

Hai comprato qualcosa usando questo indirizzo email, ora so cosa hai comprato e quando.

Ooh guarda, qui c'è un servizio con il tuo indirizzo email principale (ho effettuato il login ed è username / password e ad un certo punto hai cambiato l'indirizzo email)

Ora posso telefonarti e farti alcune domande di sicurezza a causa di un problema con il tuo ordine. Hai impostato l'account abbastanza a lungo da non ricordare che non sono state poste domande sulla sicurezza durante la configurazione dell'account di quel negozio.

Supponiamo che tu abbia un iphone, ora posso telefonargli per una password icloud temp, posso rispondere alle domande di sicurezza perché me l'hai detto. ora ho accesso al tuo iMessage, che è anche il tuo messaggio di testo.

Chiedo la reimpostazione della password dal tuo principale provider di posta elettronica che necessita di un pin che viene inviato al tuo telefono tramite sms. Ora ho accesso alla tua email e posso attraversarla come ho fatto con l'altra.

Attualmente non riesco a pensare a come compromettere il tuo conto bancario, ma ora puoi vedere come un singolo buco nella sicurezza può aprire tutto? anche se tu avessi usato la tua email principale per l'account originale che era stato compromesso, avrei potuto comunque andare a cercare i tuoi account, solo che sarebbe stato più difficile da trovare.

se pensi che le persone non lo farebbero vedere qui