Video: Come Creare una Password Sicura ma Facile da Ricordare (Settembre 2024)
"Non condividere mai le tue password!" è un consiglio obsoleto che semplicemente non tiene conto delle esigenze del giorno. Molti di noi devono condividere combinazioni di nome utente e password con la nostra famiglia, i colleghi e altri.
Ci sono modi sicuri per condividere le password, e finché lo fai correttamente, è una pratica perfettamente accettabile.
Scenari di condivisione password
Esistono un paio di scenari comuni in cui potresti voler condividere le password.
In secondo luogo, i dipendenti in varie situazioni aziendali a volte utilizzano un account di accesso per molte persone. Prendi l'esempio di un account di social media. In una piccola impresa che non utilizza alcuni complessi strumenti di gestione dei social media (come Hootsuite), potresti voler concedere l'accesso a Twitter, Facebook e account a più persone.
Il terzo esempio è il caso di emergenza. Nel caso succeda qualcosa che non ti consente di accedere a un account (coma, morte, incarcerazione, quarantena, chi lo sa che potrebbe accadere!), Saresti in grado di passare le tue password a qualcun altro?
Per ognuna di queste situazioni o eventi, esistono modi per condividere in modo sicuro e protetto password con persone di cui ti fidi.
Condivisione password con gestori password
Il modo migliore per gestire le password - e che include la gestione della condivisione delle password - è con un gestore di password. Non è solo la cosa più ovvia che tu abbia mai sentito?
Può sembrare abbastanza semplice, ma così tante persone non usano i gestori di password. La mia ipotesi è che le persone non usano i gestori di password perché non capiscono come funzionano, quindi lasciatemi dare un rapido primer.
I gestori password sono piccoli programmi, alcuni gratuiti, che installi sul tuo computer. Hai impostato un nome utente e una password per accedere a questo programma e presto diventa l'unica password che devi ricordare. Nota che una password dovrebbe essere molto forte! Il programma di gestione password richiede in genere un plug-in per il browser (anche in genere gratuito).
Una volta installato quel plug-in, il gestore delle password osserva mentre accedi ai siti e acquisisce le credenziali di accesso. E una volta acquisiti nomi utente e password, li utilizza per accedere automaticamente a tali siti. Molti gestori di password analizzano anche tutti gli accessi che devi dire se hai troppe password riutilizzate o quali sono deboli. La maggior parte di essi genera anche password complesse e non importa se le password sono incomprensibili per te perché ricorda, il gestore delle password le digiterà per te.
Ora, riguardo a quella condivisione di cui ho parlato…
Un gruppo di gestori di password include una funzione che ti consente di condividere un nome utente e una password con qualcun altro, a volte senza che quell'altra persona sia in grado di vedere le informazioni. In altre parole, se condivido un accesso con Lulu tramite il mio gestore password, potrebbe essere necessario installare lo stesso gestore password, ma le concederà l'accesso per accedere automaticamente al sito, senza che lei veda o debba digitare la password se Voglio tenerlo nascosto. E sono anche in grado di revocare i suoi diritti di password.
Ecco alcuni gestori di password con funzionalità di condivisione:
- Last Pass
- Dashlane
- Password intuitiva
- Custode
- PasswordBox.
Per le aziende in particolare, non riesco davvero a immaginare un modo migliore per gestire le password condivise rispetto all'utilizzo di un gestore di password.
L'opzione Dropbox
Ho sentito parlare di team aziendali che condividono le password conservandole in un file condiviso su Dropbox, Google Drive o altri servizi di archiviazione basati su cloud. Non è un sistema fluido come usare un gestore di password, ma forse potrebbe funzionare. Tuttavia, qualcosa al riguardo mi ha reso preoccupato, quindi ho semplicemente chiesto al rappresentante Dropbox se sarebbe stata una buona idea. La risposta:
"Un buon modo per proteggere dati sensibili come le password è utilizzare un gestore password che si integri con l'API Dropbox. Ad esempio, 1Password si integra con Dropbox in modo che se il file 1Password si trova in Dropbox, le password vengono sincronizzate automaticamente e puoi decrittografare e usali da qualsiasi dispositivo con una connessione Internet."
Contrassegnalo come due avalli per i gestori di password. La risposta continua:
"Dropbox for Business (per i team di persone all'interno di un'organizzazione) e Dropbox Pro (il nostro prodotto a pagamento per gli individui) forniscono anche autorizzazioni e controlli aggiuntivi su collegamenti e cartelle condivisi. Gli utenti di entrambi i prodotti possono inviare contenuti tramite collegamenti condivisi in scadenza e protetti da password o imposta autorizzazioni di sola visualizzazione su cartelle condivise, per aumentare il loro controllo sul contenuto che condividono. Inoltre, Dropbox è protetto con la crittografia dei dati degli utenti sia in transito che a riposo. Supportiamo anche il trasferimento sicuro dei dati, la configurazione della rete e controlli a livello di applicazione distribuiti su un'infrastruttura scalabile e sicura. Per le aziende, raccomandiamo la crittografia completa del disco sui computer locali come best practice di sicurezza aggiuntiva."
Così il gioco è fatto. È sicuramente possibile e abbastanza sicuro, ma in nessun modo fluido e magistrale come usare un gestore di password.
Condivisione password rapida e sporca
Diciamo ora che sei davvero in difficoltà e devi dare a qualcuno il tuo nome utente e password in questo momento . Non hai mai impostato la condivisione corretta della password e sei nel panico. Riavvia la testa per un minuto e distribuisci un'oncia di buon senso prima di rovesciare i tuoi bean di password.
Nota che il metodo che sto per descrivere non è un caso ideale, ma è quello che puoi fare se sei davvero a corto di tempo e devi condividere una password.
Fornisci quel nome utente e quella password in un modo che rende difficile per gli hacker (o altre persone che potrebbero costituire una minaccia) fare qualsiasi cosa con le informazioni che condividi. In altre parole, non inviare un messaggio di posta elettronica che contenga nome account, nome utente e password tutti insieme. Rompilo. Invia il nome utente via e-mail e la password come messaggio di testo o messaggistica istantanea. O ancora meglio: dividere la password in due messaggi inviati da diversi canali di comunicazione. Farlo rimuove il contesto e rende difficile per chiunque intercetta una delle informazioni di farci qualcosa.
Ancora una volta, questo non è l'ideale, ma più di un'ultima risorsa.
Finché morte non vi separi
L'ultimo modo per condividere le password è dandole a qualcun altro se e solo se muori o diventi inabile. È sicuramente un protocollo "if-then" difficile da gestire, ma può essere fatto.
Google ha una funzione chiamata Gestione account inattivo. Quando lo abiliti, imposti una persona dedicata per ereditare il tuo account Google, tutte le app e le parti che desideri, e scegliere per quanto tempo il tuo account deve essere inattivo prima che avvenga quella delega. Ad esempio, se ho attività zero nel mio account Google per tre mesi, Google avvisa il mio altro significativo e concede le informazioni di accesso a Gmail.
A seconda di come gestisci i tuoi account, il tuo designato potrebbe teoricamente eseguire il recupero della password su tutti gli account per i quali usi il tuo indirizzo Gmail per accedere.
Google Inactive Account Manager, che si trova nelle impostazioni dell'account di Google, ha alcune impostazioni e selezioni più profonde e ti incoraggio a esplorarle.
Buono a sapersi: Google ti invia un messaggio automatico ogni pochi mesi per ricordarti che hai attivato il servizio Gestione account inattivo, quindi non preoccuparti che potresti abilitarlo e dimenticartene completamente molto tempo dopo averne un altro significativo. Google te lo ricorderà.
PasswordBox e Dashlane hanno anche un'opzione per impostare un contatto di emergenza o qualcuno per ereditare tutte o alcune delle tue password se il tuo account diventa inattivo. Con PasswordBox, la persona che eredita l'account deve letteralmente fornire un certificato di morte prima di poter attivare il "lascito digitale". Dashlane, d'altra parte, ti consente di definire un periodo di attesa (da 24 ore a 60 giorni) e, facoltativamente, puoi selezionare un sottoinsieme di password che verranno trasmesse se non vuoi condividere tutto dopo la tua morte. Quando il tuo "contatto di emergenza" richiede i tuoi dati in Dashlane, ricevi una notifica. Se si rifiuta la richiesta prima che scada il periodo di attesa, l'erede ottiene zilch. Mi piace anche che tu possa impostare più contatti di emergenza (lo stesso vale per Google Inactive Account Manager), con diversi periodi di attesa e sottoinsiemi, ad esempio "dai i miei e-mail di lavoro a Bill dopo due settimane, ma dai le mie password personali al mio moglie dopo una settimana ".
Ho scritto in precedenza su diversi altri modi per trasmettere le tue password in caso di decesso o incapacità. E nel mio libro (vedi sotto), questo è l'argomento del capitolo finale, non esattamente un lieto fine, ma un modo appropriato per chiudere.
