Videó: Mentett jelszavak firefoxban (November 2024)
A múlt hónapban John Dvorak, a PCMag régóta közreműködője és az önirányító "hülye geek" beszámolót írt a jelszó-visszaállítási folyamatról. Komolyan foglalkoztam a San Francisco-i RSA konferencia lebonyolításával, így nem fordítottam erre nagy figyelmet. Most, hogy megnéztem, kijelentem, hogy John álláspontja teljesen és teljesen rossz. Ha kölcsön akarsz venni egy kifejezést a „ Trónok játékából ”, akkor semmit sem tudsz, John Dvorak!
Dvorak azt mondta: "Mi történt azzal az elképzeléssel, hogy valakihez jelszót küldenek, nem pedig visszaállítási linket? Tetszett a régi jelszó." Emellett gúnyolódott egy visszaállítási hivatkozás használatáról, mondván: "Mindegyik sem véd nekem sem senkit semmitől. Ez egy charade. Hogyan véd meg semmit?" Nos, John, elmondom neked.
Nekik nincs
A legnagyobb oka annak, hogy egy biztonságos webhely nem küld elfelejtett jelszót, nagyon egyszerű: nincsenek. Semmit sem tárolják. És ez jó dolog. Ha nem tárolják az Ön jelszavát, akkor a hackerek nem lophatják el a jelszót, vagy egy elégedetlen alkalmazott elküldheti a Pastebin-nek. Való igaz, egy olyan webhely, amely ténylegesen tárolja a jelszavát, veszélyezteti az Ön személyes adatait.
Tehát, ha nem tárolják a jelszavad, akkor honnan tudhatják, hogy helyesen írta-e be? A válasz abban rejlik, hogy az úgynevezett hashing. A hashizálás nagyon hasonló a titkosításhoz, de ez egyirányú folyamat. Ugyanaz a bevitel egy kivonatoló algoritmushoz mindig ugyanazt a kimenetet hozza létre, de nincs mód arra, hogy ezt a kimenetet felvegye és az eredeti újra felfedezze.
Tegyük fel, hogy feliratkozik egy új online fiókra kedvenc jelszavával, amely véletlenül "jelszó". A webhely egy kivonatoló algoritmussal elhelyezi, amit beírt, és visszadobja az átmeneti tartalmat, például a 991CEFz & Nw36, amelyet tárol. Bejelentkezéskor a webhely futtatja az azonos algoritmussal megadott jelszót. Ha az eredmény megegyezik, akkor be vagy.
Nem kellett küldeniük
Még akkor is, ha egy biztonságos webhelyen tárolták az Ön tényleges jelszavát, akkor nem küldhetik el neked e-mailben. Az e-mail jellegzetesen bizonytalan. Az üzenetei a szerverről a szerverre ugrálnak a beérkező levelek felé. Hacsak nem használt valamilyen e-mail titkosítást, jelszava egyszerűen nem biztonságos az utazása során.
Dvorak szerint a jelszó-visszaállítási kapcsolat ugyanolyan sebezhetõ. Téved. Egyrészről a visszaállítási hivatkozások általában rövid élettartamúak. Egy rövid idő után a link kérése után érvénytelenné válik. Miután felhasználta a linket, ismét érvénytelenné válik. Ezenkívül a link használatával biztonságos SSL kapcsolatot létesíthet a böngésző és a webhely szerverei között. Írja be az új jelszavát, a webhely kivágja és tárolja az eredményt, és máris folytatja az üzletet.
De nem emlékszem!
Dvorak felveti Dropbox-fiókjának problémáját, amelyet évente csak néhányszor használ. Természetesen, amikor kénytelen volt használni, nem emlékszik a jelszóra. Valójában egy olyan jelszó, amelyet könnyen megjegyez, nagyon valószínű, hogy valaki más kitalálhatta volna. Igaz, hogy el kell kezdenie a jelszókezelőt, és minden meglévő jelszavát új, erős, egyedi jelszóra kell cserélnie.
- Hogyan készítsünk őrülten biztonságos jelszavakat Hogyan készítsünk őrülten biztonságos jelszavakat
- A legjobb jelszókezelők 2019-ig A legjobb jelszókezelők 2019-ig
- A jelszó-visszaállítási dilemma A jelszó-visszaállítási dilemma
Igen, bizonyos erőfeszítéseket igényel az erős jelszavakra való váltás, de az erőfeszítés megéri. Saját Jill Duffy elmagyarázza, hogyan csinálta öt héten keresztül. És nem kell, hogy drága legyen. A rendelkezésre álló ingyenes jelszókezelők egy része kiváló munkát végez.
"De még mindig meg kell emlékezni erre az erős jelszóra" - szinte hallom John mondását. Valóban te. De ez csak egy jelszó, és vannak módjai annak, hogy emlékezetessé tegye. Ezenkívül minden évben használja, évente egyszer nem. Tehát, John, fontolja meg ezt az ébresztési hívását; itt az ideje, hogy csatlakozzon a modern világhoz, és szerezzen egy jelszókezelőt.
