Jelszóeszköz Vissza a generátorhoz

Biztonsági útmutató

Jelszókezelő vs Jelszógenerátor

Értsd meg a különbséget a jelszó generálása és a jelszókezelőben való biztonságos tárolása között.

Összefoglaló

A jelszógenerátor létrehoz egy titkot. A jelszókezelő tárolja, rendszerezi, kitölti és védi a titkokat. Általában mindkét képességre szükséged van, függetlenül attól, hogy egy termékből vagy különálló eszközökből származnak.

Mit csinál egy generátor

A PwdGen véletlenszerű jelszavakat hoz létre helyben, a Web Crypto segítségével. Beállítható a hossz, a szimbólumok, a félreérthető karakterek szűrése, a jelszavak (passphrase) és a használati esetek előbeállításai. Nem tart fenn fiókot vagy jelszótárolót.

Mit csinál egy jelszókezelő

A jelszókezelő segít az egyedi hitelesítő adatok gyakorlati kezelésében. Tárolja a hosszú, véletlenszerű jelszavakat, kitölti azokat a legitim webhelyeken, és csökkentheti a nem biztonságos másolás-beillesztés szokásait. Védd a kezelőt egy erős mester hitelesítő adattal, helyreállítási tervvel és ahol támogatott, MFA-val.

Gyakorlati ajánlások

Részletes útmutató

Ez az útmutató a jelszavak generálása és tárolása közötti különbség megértésére összpontosít. Azoknak az olvasóknak készült, akik eldöntik, hogyan illeszkedik a PwdGen a jelszókezelőhöz, így a gyakorlati cél nem egy drámai biztonsági állítás megfogalmazása. A cél egy olyan jelszó-szokás kialakítása, amely túléli a mindennapi használatot: bejelentkezési űrlapok, jelszókezelők, mobil billentyűzetek, fiók-helyreállítás, megosztott eszközök és az alkalmankénti szolgáltatás furcsa érvényesítési szabályokkal. Egy biztonságos ajánlás csak akkor hasznos, ha egy valós személy következetesen követni tudja.

A legbiztonságosabb kiindulópont a véletlenszerűség plusz egyediség. A véletlenszerűség azt jelenti, hogy az értéket egy nagy térből választja ki egy kriptográfiailag megfelelő véletlen forrás, nem pedig születésnapból, háziállat névből, billentyűzet mintából vagy kedvenc idézetből. Az egyediség azt jelenti, hogy ugyanazt a jelszót sehol máshol nem használják. Egy hosszú, de újrahasznált jelszó gyorsan megsérülhet egyetlen független adatszivárgás után, míg egy egyedi véletlen jelszó korlátozza a kárt arra az egy fiókra, ahol használták.

Ehhez a témához egy gyakorlati előbeállítás: generálj helyben, majd mentsd el az értéket egy megbízható jelszókezelőben. Ezt az előbeállítást alkalmazhatod a 20 karakteres jelszógenerátorral, majd tárold el a végső értéket egy megbízható jelszókezelőben. A PwdGen helyben generálja az értékeket a böngészőben a Web Crypto segítségével; a generált jelszó nem kerül elküldésre egy PwdGen szerverre. Ez a helyi kialakítás csökkenti a szerveroldali kitettséget, de nem véd minden fenyegetés ellen. Egy rosszindulatú böngészőbővítmény, egy feltört eszköz, egy adathalász oldal vagy a nem biztonságos vágólapkezelés továbbra is felfedheti a titkot a generálás után.

A leggyakoribb elkerülendő problémák a jelszavak mentése egyszerű jegyzetekben, böngésző piszkozatokban, chat üzenetekben, képernyőképekben és jegyekben. Ezek a problémák azért számítanak, mert a támadók ritkán kényszerülnek minden lehetséges jelszó brute-force kipróbálására, amikor az emberi szokások egy gyors utat kínálnak. A hitelesítő adatokkal való visszaélés (credential stuffing), adathalászat, kiszivárgott jelszólisták és a fiók-helyreállítás visszaélése gyakran reálisabb, mint egy tiszta matematikai keresés. Ezért a legjobb tanács a jelszó minőségét a fiókszintű vezérlőkkel kombinálja, mint az MFA, passkey-k, helyreállítási kódok tárolása és a helyreállítási e-mail vagy telefonszám rendszeres felülvizsgálata.

Használd ezt az ellenőrzőlistát az ajánlás alkalmazásakor:

Ha egy webhely elutasítja az ideális beállítást, ne erőltesd a jelszót kézzel egy gyengébb mintába. Egyszerre csak egy változót állíts be. Ha a szimbólumokat elutasítják, tartsd engedélyezve a nagybetűket, kisbetűket és számokat, és növeld a hosszt. Ha a maximális hossz alacsony, használd a legnagyobb elfogadott hosszt, és győződj meg arról, hogy az érték egyedi. Ha a jelszót fel kell olvasni, ki kell nyomtatni vagy be kell gépelni egy TV vagy router képernyőjén, fontold meg a zavaró karakterek kizárását és a hossz növelését a kisebb ábécé kompenzálására.

Végül ne feledd a jelszótanács határait. Egy erős jelszó egy védelmi réteg, nem garancia. Nem teheti biztonságossá az adathalász oldalt, nem javítja ki a kártevőt, és nem kompenzálja a hitelesítő adatokat rosszul tároló szolgáltatást. A hasznos szokás unalmas, de tartós: generálj egyedi értéket, tárold biztonságosan, védd a helyreállítási utat, és cseréld ki gyorsan, ha gyanítod a kitettséget.

Egy biztonságos következő lépés

Miután elolvastad ezt az útmutatót, végezz el egy kis fiók auditot ahelyett, hogy egyszerre mindent megpróbálnál javítani. Válaszd ki azt a fiókot, amely a legnagyobb gondot okozná, ha átvennék, erősítsd meg, hogy a jelszava egyedi, és ellenőrizd a helyreállítási e-mailt, helyreállítási telefonszámot, MFA módszert és a biztonsági kódok tárolását. Ha a lánc bármely része gyenge, javítsd azt a részt, mielőtt az alacsonyabb kockázatú fiókokra térnél. Ez a sorrend kezelhetővé teszi a munkát, és védi azokat a fiókokat, amelyeket a támadók valószínűleg ugródeszkaként használnak. A jelszókezelő vs jelszógenerátor esetében a legjobb eredmény egy ismételhető szokás: generálj helyben, tárolj gondosan, és kerüld az újrahasználatot.

Gyakran ismételt kérdések

Szükségem van jelszókezelőre, ha PwdGen-t használok?

Általában igen. A PwdGen jelszavakat hoz létre; a jelszókezelő biztonságosan tárolja és kitölti az egyedi értékeket.

Egy jelszókezelő is tud jelszavakat generálni?

Sokan tudnak. A PwdGen akkor hasznos, ha átlátható helyi generátorra, speciális előbeállításokra vagy második véleményre van szükséged.

El kell mentenem a generált jelszavakat egy dokumentumba?

Nem. Használj megbízható jelszókezelőt vagy titkok kezelőt jegyzetek, táblázatok, chat vagy e-mail piszkozatok helyett.

Források