วิธีจัดการรหัสผ่านอย่างชาญฉลาด

ผู้อ่านของฉันคนหนึ่งถามฉันว่า เฮ้ เดโดอิเมโด คุณจัดการรหัสผ่านของคุณอย่างไร คำถามนี้กลายเป็นแนวคิดเบื้องหลังบทความนี้ ซึ่งฉันอยากจะให้มุมมองของฉันเกี่ยวกับการจัดการรหัสผ่านแก่คุณ คล้ายกับคู่มือการสำรองข้อมูลของฉัน จุดประสงค์ของงานชิ้นนี้ไม่ใช่เพื่อบอกคุณว่าต้องทำอะไร แต่เป็นการช่วยให้คุณคิดวิธีแก้ปัญหาที่ดีที่สุดที่ตรงกับความต้องการของคุณมากขึ้น เกือบจะเหมือนไปหานักจิตวิทยา ดีขึ้นเท่านั้น

ดังนั้นฉันจะไม่บอกคุณจริงๆ ว่าฉันกำลังทำอะไรกับรหัสผ่านของฉัน ที่ไม่เกี่ยวข้อง เนื่องจากคนเดียวที่จำเป็นต้องรู้รหัสผ่านของคุณคือคุณ ดังนั้นวิธีการและวิธีการของฉันจะไม่ช่วยคุณในเรื่องนั้น นี่คือเหตุผลที่ฉันจะถามคำถามเป็นส่วนใหญ่ ตกลง? หลังจากฉัน.

หมายเหตุ:Tony Werman, flickr.com ได้รับอนุญาตภายใต้ CC BY-SA 2.0

หลักการสามประการของการจัดการรหัสผ่าน

คุณคงได้อ่านคู่มือออนไลน์มาแล้วหลายพันล้านเล่ม รหัสผ่านยาว สั้น ซับซ้อน ห้องนิรภัยออนไลน์ การเข้ารหัส การตรวจสอบสิทธิ์แบบสองปัจจัย และอื่นๆ มีอะไรมากมายที่อาจทำให้สับสนได้ โดยพื้นฐานแล้ว การจัดการรหัสผ่านของคุณมาจากสามสิ่งต่อไปนี้:

คุณกำลังพยายามปกป้องอะไร

คุณเป็นคนที่เข้าใจเทคโนโลยีหรือไม่?

คุณสนใจไหมว่าจะเกิดอะไรขึ้นกับบัญชีออนไลน์ของคุณหากคุณเสียชีวิต?

ความเสี่ยง

ปรากฎว่า ผู้คนอาจไม่จำเป็นต้องเข้าใจความเสี่ยงหรือความเสียหาย หรือความเสี่ยงของความเสียหาย หากมีคนขโมยรหัสผ่านเหล่านั้น ไม่ใช่เรื่องธรรมดาหรือตรงไปตรงมา คุณอาจคิดว่าอีเมลส่วนตัวที่เต็มไปด้วยอีเมลโง่ๆ และรูปภาพไม่น่าสนใจสำหรับใครเลย และความจริงก็คือมันไม่ใช่ แต่จากนั้น อีเมลนั้นอาจถูกใช้เพื่อกู้คืนรหัสผ่านสำหรับบริการอื่นๆ ซึ่งเป็นสิ่งที่ผู้คนมักจะทำ และจากนั้นมันก็กลายเป็นเรื่องที่น่าสนใจ วิธีการเดินทางของข้อมูลและในที่สุดช่องทางมีความสำคัญอย่างยิ่ง

หมายเหตุ:ภาพที่ถ่ายจาก Wikimedia ได้รับอนุญาตภายใต้ CC BY-SA 3.0

นอกจากนี้ ผู้คนอาจคิดว่ามีใครบางคนกำลังพยายามเจาะระบบของตนและขโมยข้อมูลของตน นี่เป็นกรณีสุดคลาสสิกของกลุ่มอาการที่ไม่สำคัญของมนุษย์ (USI) ซึ่งผู้คนให้ความสำคัญมากเกินไปกับการกระทำและสภาพแวดล้อมรอบตัว อินเทอร์เน็ตเป็นระบบกลไกที่ได้รับการหล่อเลี้ยงอย่างดี มีระบบอัตโนมัติและความโกลาหลมากมาย จนคุณมีโอกาสสุ่มตกเป็นเหยื่อของความโง่เขลา อุบัติเหตุ หรือการละเลยของคุณเองได้พอๆ กับที่คุณจะถูกล่วงละเมิดโดย คนแปลกหน้านิรนามที่ตอบสนองความอัปยศทางสังคมและความคาดหวังจากฮอลลีวูดของคุณ คุณแทบไม่ต้องกังวลว่า hax0rz แต่ละคนพยายามอย่างเต็มที่เพื่อทำให้คุณเสียหาย การกำหนดเป้าหมายส่วนบุคคลเป็นของบุคคลสำคัญ และคุณไม่ได้มีความสำคัญ

ความเชี่ยวชาญด้านเทคนิค

สำหรับคนส่วนใหญ่ วิธีแก้ปัญหาง่ายๆ สำหรับการจัดการรหัสผ่านคือปากกาและกระดาษ และถ้าคุณลองคิดดูจริงๆ มันก็สมเหตุสมผลกว่าการมีบัญชีออนไลน์ด้วยรหัสผ่านหลักและการยืนยันตัวตนแบบสองปัจจัย เนื่องจากผู้ที่ไม่ใช้เทคโนโลยีจะไม่ต้องการรบกวนระเบียบวินัยที่จำเป็นในการใช้เครื่องมือเหล่านี้ ดังนั้นพวกเขาจะใช้มันในลักษณะที่ต่ำ ซึ่งทำให้ชุดของเทคโนโลยีที่มีประโยชน์กลายเป็นชุดของช่องโหว่และเวกเตอร์ที่เปิดรับซึ่งไม่ได้มีส่วนช่วยในการรักษาความปลอดภัย

เครื่องมือต้องตรงกับผู้ใช้ KeePass และ LastPass ฟังดูเหมือนเป็นโปรแกรมอรรถประโยชน์ที่ยอดเยี่ยม แต่ไม่ใช่สำหรับคนที่แทบจะไม่สามารถใช้ Google ได้ มีวิธีการที่เหนือกว่าในการช่วยให้ประชาชนทั่วไปรักษารหัสผ่านของตนให้ปลอดภัย โดยไม่ต้องบังคับให้พวกเขาใช้ศัพท์แสงเทคโน

ความตาย

สุดท้าย หากคุณหมดอายุก่อนกำหนด จะเกิดอะไรขึ้นกับบัญชีอีเมล พื้นที่เก็บข้อมูลออนไลน์ คลาวด์ และข้อมูลอื่นๆ ของคุณ สมาชิกในครอบครัวและเพื่อนของคุณจะสามารถเรียกคืนข้อมูลส่วนบุคคลได้หรือไม่ หรืออย่างน้อยก็อ้างสิทธิ์ในชื่อของคุณ

นี่เป็นอีกหนึ่งข้อควรพิจารณาสำหรับการจัดการรหัสผ่านของคุณ แน่นอน คุณสามารถมีการรับรองความถูกต้องแบบสองรูปแบบสำหรับจดหมายของคุณด้วยรหัสผ่าน 63 ตัวอักษรและการสแกนลายนิ้วมือ เป็นต้น แต่ในทางใดทางหนึ่ง เครื่องมือที่ออกแบบมาเพื่อป้องกันการเข้าถึงที่เป็นอันตรายจะป้องกันไม่ให้ครอบครัวและเพื่อนของคุณเรียกค้นข้อมูลหลังจากที่คุณเสียชีวิต หากโทรศัพท์ของคุณใช้เครื่องสแกนลายนิ้วมือ ผู้อื่นจะไม่สามารถปลดล็อกได้ ดังนั้นพวกเขาจะไม่สามารถรับรหัสการเข้าถึงสำหรับบัญชีออนไลน์ของคุณ และพวกเขาจะไม่สามารถเข้าสู่ระบบได้ แม้ว่า พวกเขารู้รหัสผ่าน ซึ่งพวกเขาจะไม่รู้ เพราะคุณจะบันทึกรหัสผ่านด้วยวิธีที่บ้าคลั่งและปลอดภัยที่จะล็อกทุกคนไม่ให้เข้า

หมายเหตุ:ภาพที่ถ่ายจาก Wikimedia ได้รับอนุญาตภายใต้ CC BY-SA 3.0

ดังนั้น การพิจารณาของคุณจึงควรรวมถึงสถานการณ์ที่คนส่วนใหญ่ไม่ต้องการไตร่ตรอง ซึ่งก็คือความตาย คุณจะสามารถถ่ายโอนข้อมูลส่วนตัวของคุณไปยังคนที่คุณรักได้อย่างน่าเชื่อถือหรือไม่ แม้ว่าคุณจะไม่ได้อยู่ใกล้ ๆ เพื่อสอนพวกเขาถึงวิธีการใช้การเข้ารหัสสองและสาม วิธีติดตั้งไดรฟ์ข้อมูลภายนอก ลงชื่อเข้าใช้ที่นี่ ลงชื่อเข้าใช้ที่นั่น และอื่นๆ

ส่วนขยายของสถานการณ์ความตายคือความสามารถในการจดจำรหัสผ่าน คุณสามารถจำรหัสผ่านที่แตกต่างกัน 29 รหัสสำหรับเว็บไซต์ต่างๆ 29 แห่งได้อย่างน่าเชื่อถือ เพื่อให้คุณสามารถใช้งานได้จริงโดยไม่ประนีประนอมกับแนวทางปฏิบัติที่ดีที่สุดที่คุณอ่านทางออนไลน์หรือไม่

คนส่วนใหญ่ทำไม่ได้ ซึ่งเป็นเหตุผลว่าทำไมพวกเขาจึงมักจะใช้รหัสผ่านเดียว และเราจะกลับไปที่คำถามเกี่ยวกับความเสี่ยงและการเปิดเผย และจะเกิดอะไรขึ้นหากความปลอดภัยหรือความเป็นส่วนตัวของคุณถูกบุกรุก นี่คือเหตุผลที่เราต้องหารือเกี่ยวกับวิธีจัดการอย่างถูกต้อง

คำแนะนำที่ถูกต้องบางประการ

ตอนนี้เราได้พิจารณาทุกสิ่งและทุกสิ่งที่มีแล้ว เรามาดูกันว่าอินเทอร์เน็ตมีข้อเสนออะไรบ้าง เคล็ดลับและคำแนะนำในการจัดการรหัสผ่านส่วนใหญ่จะเกี่ยวกับสิ่งต่อไปนี้:

ใช้รหัสผ่านที่ซับซ้อน เดายาก หรือรหัสผ่านที่ยาวและน่าจดจำ

ใช้การรับรองความถูกต้องด้วยสองปัจจัย

อย่าใช้รหัสผ่านซ้ำ

รีเฟรชรหัสผ่านของคุณบ่อยๆ

ใช้การเชื่อมต่อที่ปลอดภัยเมื่อเข้าสู่ระบบ

นั่นคือพื้นฐาน ตอนนี้ สิ่งเหล่านี้จะไม่มีความหมายหากคุณไม่นำไปใช้กับกรณีการใช้งานเฉพาะของคุณ จำไว้ว่าคุณไม่สามารถควบคุมสิ่งที่คนอื่นทำ คุณไม่สามารถตัดสินใจได้ว่ามีคนต้องการแฮ็คคุณหรือไม่ คุณไม่สามารถรับประกันได้ 100% ว่าระบบของคุณจะไม่ถูกบุกรุก อย่างไรก็ตาม คุณสามารถประเมินความเสี่ยงและความต้องการของคุณและทำงานตามนั้น

นอกจากนี้ยังมีมิติอื่นที่ต้องพิจารณา - การควบคุมความเสียหาย หากหนึ่งในสามองค์ประกอบหลักของคุณถูกโจมตีด้วยวิธีใดวิธีหนึ่ง คุณจะจัดการกับปัญหาหรือขจัดปัญหาได้เร็วเพียงใด อีกครั้ง การพิจารณาจะวนเวียนอยู่กับสิ่งที่เกิดขึ้นก่อน ระหว่าง และหลังเหตุการณ์ และโปรดจำไว้ว่า เหตุการณ์หนึ่งอาจทำให้กาแฟหกใส่แล็ปท็อปที่คุณบันทึกรหัสผ่านไว้ และตอนนี้คุณไม่สามารถกู้คืนได้

การควบคุมความเสียหาย

ไม่เป็นไร. คุณต้องการใช้รหัสผ่านของคุณในลักษณะที่เชื่อถือได้ และคุณต้องการให้คนอื่นไม่สามารถเข้าถึงได้โดยไม่ได้รับอนุญาตจากคุณ เข้าท่าใช่มั้ย สิ่งนี้เป็นจริงสำหรับผู้ใช้ทุกประเภทและความไวของข้อมูลทุกประเภท

เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต คุณต้องรักษารหัสผ่านของคุณให้ปลอดภัย ขณะนี้ มีสองตำแหน่งหลักที่คุณสามารถเก็บรหัสผ่านของคุณ - ออฟไลน์หรือออนไลน์ ออฟไลน์หมายถึงไม่ได้อยู่บนคอมพิวเตอร์ เช่น หัวของคุณหรือใบกระดาษหรือคอมพิวเตอร์ที่ไม่ได้เชื่อมต่อ และหมายถึงออนไลน์บนคอมพิวเตอร์ที่สามารถเข้าถึงได้จากเครือข่าย ในกรณีหลัง จากมุมมองทางเทคนิคล้วนๆ รหัสผ่านของคุณสามารถเข้าถึงได้จากอินเทอร์เน็ต อาจเป็นงานที่ยากและมีความเป็นไปได้ต่ำ แต่ในทางสถิติแล้ว สามารถทำได้

หากคุณต้องการเก็บรหัสผ่านของคุณในรูปแบบดิจิทัล รหัสผ่านเหล่านั้นควรได้รับการป้องกัน ซึ่งหมายความว่าคุณต้องใช้กลไกบางอย่างที่จะซ่อนรหัสผ่านจากตาเปล่า และถ้ามีคนคว้าดิสก์ของคุณไป ข้อมูลก็จะไม่มีความหมาย นี่หมายถึงการเข้ารหัส ซึ่งหมายถึงความเชี่ยวชาญด้านเทคนิคและภาวะแทรกซ้อนหลังการเสียชีวิต

ยิ่งไปกว่านั้น แม้ว่าคุณจะรักษาข้อมูลให้ปลอดภัย แต่ช่องเสียบอินพุตของคุณ - แล็ปท็อป โทรศัพท์ หรืออุปกรณ์อื่นๆ ในทางทฤษฎีก็อาจถูกบุกรุกได้โดยไม่สูญเสียข้อมูลใดๆ ในกรณีที่เลวร้ายที่สุด จากมุมมองทางเทคนิคล้วนๆ คุณอาจติดตั้งคีย์ล็อกเกอร์ จากนั้น แม้ว่าคุณจะจัดการรหัสผ่านของคุณอย่างชาญฉลาด การกดแป้นพิมพ์อาจถูกดักจับ และคนอื่นอาจเข้าถึงบัญชีออนไลน์ของคุณได้

หมายเหตุ:ภาพที่ถ่ายจาก Wikimedia ได้รับอนุญาตภายใต้ CC BY-SA 2.0

ซึ่งหมายความว่าคอมพิวเตอร์ของคุณอาจเป็นจุดอ่อนที่สุด แทนที่จะเป็นวิธีการที่คุณจัดการรหัสผ่าน แต่เราจะจัดการกับส่วนนั้นในอีกสักครู่ ความปลอดภัยของคอมพิวเตอร์เป็นหัวข้อที่แตกต่างไปจากเดิมอย่างสิ้นเชิง และเราได้พูดถึงเรื่องนี้ไปแล้วในอดีต ไม่มีอะไรเฉพาะเจาะจงสำหรับรหัสผ่านในกรณีนี้ หากคุณจัดการทรัพยากรของคุณผิดพลาด คุณจะลงเอยด้วยการรั่วไหลของข้อมูล นี่อาจเป็นฟิชชิง ความโง่เขลา ความเกียจคร้าน การติดตั้งสิ่งไร้สาระแบบสุ่ม และอื่นๆ รหัสผ่านอาจเป็นหนึ่งในข้อมูลจำนวนมากที่อาจสูญหายได้ ดังนั้นสิ่งที่คุณต้องทำคือตรวจสอบให้แน่ใจว่าคุณรักษาเครื่องของคุณให้ปลอดภัย ง่ายๆอย่างนั้น ถ้าไม่มีอึ ก็ไม่มีแมลงวัน ปู่ผมเคยพูดไว้ ไม่จริง แต่มันเป็นคำพูดที่ดี

แต่ถ้าคุณทำไม่ได้จริง ๆ คำถามต่อมาก็คือ ถ้ามีคนรู้รหัสผ่านของคุณล่ะ? คำตอบคือ การรับรองความถูกต้องด้วยสองปัจจัย ซึ่งทำให้ข้อมูลครึ่งหนึ่งไร้ประโยชน์ But this method is cumbersome. You need to be an advanced user, and then, your technology becomes the limiting factor. What if you lose your phone? What if you die and your family don't understand this new authentication method? As you can see, as far as online data access goes, we have:

online --> plain|encrypted passwords --> keylogging
--> two-factor auth

We did not discuss offline just yet. Now, the old security practice of never writing your password down is true for offices and corporate environments. It is meaningless for home users. If someone breaks into your home, they will probably not care about random pieces of paper, and if they do, they probably won't be able to easily map them to your online stuff. Unless you're being targeted, but then, that's a very unlikely scenario.

So writing your stuff down is actually a good thing. You can use very long passwords, you can share them with friends and family, the technological challenge is low, and no one can steal the paper notebook from the Internet. This method does not fix the computer security piece, so we have:

offline --> keylogging --> two-factor auth

We can see that the logic points toward two-factor authentication, which really rules out a vast majority of users, because they are not savvy enough to implement it reliably. And it also complicates post-mortem use. Which is why you need to think hard. What do you fear more? Online hacking or your own death? Do you care more about malware or leaving a sane legacy behind you?

Server side games

So far, we've only discussed the home piece. But there are two sides to that coin. Your own, and the server you are logging to. And this opens a whole new range of questions and problems and possibilities. In fact, hacking servers is far more lucrative, as you can glean thousands if not millions of passwords in one fell stroke, rather than wasting effort on individual targets. This is what we've been reading in the news lately. Breaches of data with big companies that have not implemented proper security measures.

Again, you only have partial control over the whole scheme. You can make sure you login over secure (HTTPS) connections, but you may not always know this, especially on your mobile phones and such. You can make sure to follow the various best practices, but you cannot prevent companies from being hacked and such.

This is why we go back to the question of damage control. If a database is hacked and all its users are compromised, how much additional risk do you incur through your password management policies? So if you use the same user and password for all online accounts, then yes, technically, in theory, if these credentials are exposed, then someone can access all your stuff. Having different passwords - as well as users - makes sense. Non-personal aliases can also help anonymize you. And where would you store these user names? Online or offline? We go back to square one.

Note:Image taken from Wikimedia, licensed under CC BY-SA 3.0.

All of the above has nothing to do with how strong or memorable your passwords are. They all discuss the eventually of a data breach, and what you can do before, during, and after such an incident. Forget the reasons as to why this may happen. It WILL happen. The only thing that matters is, what have you done to minimize damage, what can you do while the problem is ongoing, and what's for you to do after the problem has been fixed.

If you are wise, then you will invest as much energy in the earliest links in the chain, because the sooner you act, the cheaper the cost. If you prepare well, then even if there's a problem, you may not really care.

On the client side, it means smart security so you don't need to worry about data compromise. Ironically, people less likely to be hacked are those more likely to use two-factor authentication, a method designed to minimize the chances of haxorology.

In the end, it means the choice of offline or online password storage, and minimizing damage that you will incur if there's a server-side problem. In other words, use different names and passwords for your various online accounts. It's a pain, but then, do you walk around the streets advertising your identity to everyone? No. So why would you want to do that online?

To sum it up, there's no silver bullet solution.

Remember it all

But passwords are not about security. Partly yes. But there are far more important reasons to manage them well. Your OWN brain. If you forget them, you're screwed. If you buried them somewhere so deep you can't find them, you're screwed. If you die, it's all gone.

Security is in fact highly overrated as a concept. It is a part of the online world, but just like there's no reason to contract sexually transmitted diseases in day-to-day life, there's no reason to fiddle with malware. Be sensible, and you can avoid that side of the Web. Again, the paradox of computing. Those who need this advice will not be reading this article, and it will only be nerds scrolling through, enjoying the affirmation of the things they are already doing.

So security. People invest so much in it, but there are more pressing matters. Like data backups. What's the chance of you being hacked? Low. What's the chance of you losing a hard disk? 100% This is what people forget.

With passwords, it's the same thing. You will forget them. You will misplace them. You will die. So make them useful and practical. And this actually is the answer to the original request. How does one manage passwords sensibly?

And the answer is - I don't have one. What will drive your consideration is, how can you make sure you remember your passwords when you need them? And by remember, I mean, you can find them, whether inside the brain cells or an old, mangled paper somewhere.

The argument of complex versus long passwords comes to mind. Indeed, having hax0ry password is all l33t and cool and rad, but in reality, unless you are being target by a human, having long, memorable passwords is statistically, mathematically a more sensible approach for the vast majority of people. They can easily remember song lyrics or places or such, but they sure can't master the uppercase lowercase special character nonsense that we nerds inflict upon them.

The side benefit of it all is, if the password management process is fun, then people will be more likely to adhere to it and maintain some discipline. Just go with your favorite films, write a list, and enjoy it. Sounds simple and effective. And remember, I am not advocating this, because you need to find your own way to ensure the legacy of your passwords.

Never forget the triangle of password management. Risk. Technology. Death. Your songs might be high and mighty, but if no one can guess you saved them in a file titled pr0n.txt inside a hidden folder, then they are meaningless, right?

สรุป

As you can see, and you might be frustrated by this, I am going to end this article without a single specific app or technology mentioned. This is because giving advice is so easy, and it means nothing when you have to be the one applying it. Like the proverbial shrink, I will leave you with some blue balls of password management, armed with a golden recipe of thinking and reasoning, which should give you the tools you need.

Evaluate your situation based on the three critical parameters. Once you know the odds, you know the weakest link. Strengthen it first, then work up the ladder. Minimize damage with the expectation it WILL happen. Use technology to aid yourself and your family, rather than creating an impressive but meaningless fortress of pointless security. You are not as important as you think you are, and there a hundred things that will happen before you get hax0rized. And you are neglecting them all, because you've been visiting security forums too much.

To wrap this up, managing passwords means a bit of work, especially if you use different account names and passwords, but it can be done in a sustainable manner. You just need to find the one that matches your life expectations, technobabble skillz and the risk of losing it all to whim, curiosity, daring, foolishness, and plain ole disk failure. We are done. Hate me if you want. If you're looking for advice like use XYZ 2.0 and MyP@ss 17.3, then look elsewhere. We are here to learn how to think! The end.

ป.ล. The brain memory image is in public domain.

ไชโย