Parola yöneticisi kullanmalı mısınız? Avantajları ve riskleri tartın

Birçok siber güvenlik uzmanı, bir parola yöneticisi kullanmanın, güvenliğinizi sağlamanın en iyi yolu olduğuna inanıyor. Güçlü ve benzersiz parola Çevrimiçi hesaplarınızın her biri için. Bazıları ise bu araçların değerini küçümsüyor.

Saldırganlar için parola yöneticileri, merkezi bir güvenlik açığını temsil eder; bunlar, kaybolabilen, çalınabilen veya hacklenebilen tek bir ana parola ile korunan, son derece hassas bilgilerin saklandığı bir hazine deposudur.

• En iyi şifre yöneticisi yazılımı Çevrimiçi hesaplarınızı güvende tutmak için.
• LastPass, 1Password ve Diğer Şifre Yöneticileri Hacklenebilir: Ne Yapmalı?

Peki kim haklı? Tom's Guide ekibi, bir dizi dijital güvenlik uzmanıyla görüşerek onlara mevcut parola yönetimi çözümlerinin artılarını ve eksilerini sordu.

İşte bu tartışmalı teknoloji araçları hakkında söyledikleri ve tüm parolalarınızı tek bir yerde tutmanın beraberinde getirdiği riskleri nasıl azaltacağınıza dair bazı ipuçları.

Güvenlik uzmanları parola yönetim yazılımını övüyor

Tüm güvenlik uzmanları parola yöneticilerini tercih etmese de, tercih edenler bile parolasız bir dünyayı hayal edemiyor. Bunun en iyi örneklerinden biri, Boston merkezli bir güvenlik analisti ve Safr.me CEO'su olan Robert Siciliano. 650'den fazla parolanın aktif olarak kullanıldığını ve bir parola yöneticisi olmadan çalışamayacağını belirtti.

Siciliano bir e-postada, "Şifre yöneticisi olmadan kullanıcılar, hiçbir yönetim olmadan zayıf şifrelere yöneliyor," dedi. "Tüm önemli hesapları için aynı şifreyi kullanacaklar ve kaçınılmaz olarak saldırıya uğrayacaklar." Bu, hassas verileri korumak için güçlü şifre yöneticileri kullanmanın önemini vurguluyor.

Ancak, parola yöneticisi kullanmanın mantıklı bir gerekçesi olmadığını vurgulayan Siciliano bile, tüm parolalarının tek bir yerde toplanması riskini azaltmak için adımlar atıyor. Bu önlemler, bilgi güvenliğini artırmak için olmazsa olmazdır.

En önemli hesaplarının (örneğin internet bankacılığı hesapları) oturum açma bilgilerini ezberlediğini, ancak diğer parolalarını web tabanlı bir parola yöneticisinde sakladığını açıkladı. Ezberleme ve depolama arasındaki bu denge, dengeli bir güvenlik stratejisini temsil ediyor.

"Hiç kimse her şifreyi hatırlayamaz."

New York'ta kendi BT danışmanlık firması Tabush Group'u işleten Morris Tabush, yalnızca parolalara güvenerek güvenliği sağlamanın risklerine dikkat çekiyor. Dijital kimliğinizKullanıcıların bu zorlu gerçeklikte şifrelerini korumak için ellerinden geleni yapmaları gerektiğine inanıyor.

Taboush için en iyi çözüm bir parola yöneticisi kullanmaktır.

Tabosh, e-posta yoluyla yaptığı açıklamada, "Her site veya hizmetin kendine özgü parola gereksinimleri olduğundan, tüm siteler ve hizmetler için tek bir kullanıcı adı ve parola kullanmak imkansızdır," diyor. "Kimse farklı kullanıcı adı ve parolaların tüm kombinasyonlarını hatırlayamaz."

Tabosh, kendisi ve genellikle düzinelerce çevrimiçi hesabı olan küçük ve orta ölçekli işletme sahipleri olan müşterileri için parola yöneticilerinin önemini vurguluyor. Windows ve Mac'in yanı sıra iOS ve Android işletim sistemli mobil cihazlarda kullanılabilen bir parola yönetim uygulaması olan Siber Systems'ın RoboForm'unu tercih ediyor.

Tapush RoboForm, masaüstü, dizüstü bilgisayar, iPhone ve iPad dahil tüm cihazlarda çalıştığı için ideal bir seçimdir. Bu web tabanlı parola yöneticisi, parolaları şifrelenmiş dosyalarda sakladığı için, Tapush cihazlarınızdan biri çalınsa bile hırsız oturum açma bilgilerinize erişemez. Bu, hesap korsanlığına ve veri hırsızlığına karşı ek bir koruma katmanı sağlar.

Dijital Teknolojinin Karanlık Yüzü

Elbette, şifre yöneticisi olmadan yaşayamayacağını iddia eden her uzmana karşılık, hayatının geri kalanını hiç şifre yöneticisi olmadan geçirmeyi tercih eden bir uzman daha var. Bu görüş ayrılığı, veri güvenliğiyle ilgili haklı endişeleri yansıtıyor.

Bu, Montreal merkezli siber güvenlik danışmanlık firması Digital Locksmiths'in kurucu ortağı ve CTO'su Terry Cutler'ın görüşü.

Cutler, bir e-posta röportajında, "Şifre yöneticilerinin hiç hayranı değilim. Bir tanesi tehlikeye girerse, tüm kodunuz çalınır." dedi. Cutler, özellikle siber saldırılar giderek daha karmaşık hale geldikçe, potansiyel risklerin faydalarından daha ağır bastığına inanıyor.

Portland, Oregon merkezli bir siber güvenlik firması olan Tripwire'ın güvenlik araştırma ve geliştirme direktörü Tyler Regoli de Cutler'a katılıyor. Regoli, parola yöneticilerinin, özellikle de parolaları güvenli bir şekilde yapılandırma konusunda uzmanlığı olmayan ev kullanıcıları için yarardan çok zarar getirebileceğini savunuyor.

Regoli, "Parola yöneticileri, toplumun kötü alışkanlıkları bilgisayara aktarmasının bir yoludur," diye ekliyor. "Parolaları 'yazmak' kabul edilemez, bu yüzden onları bilgisayarlarımızda 'depolarız'. 'Depolama', 'yazmanın' dijital karşılığıdır." Regoli, tek bir parola yöneticisine güvenmenin merkezi bir güvenlik açığı oluşturduğunu ve bu nedenle saldırganlar için cazip bir hedef haline geldiğini açıklıyor. Bunun yerine, her hesap için güçlü ve benzersiz parolalar kullanmak ve mümkün olduğunda iki faktörlü kimlik doğrulamayı etkinleştirmek gibi daha iyi güvenlik uygulamalarının benimsenmesini tavsiye ediyor.

"Çevrimiçi şifre yöneticilerine güvenmiyorum."

Hangi araçların güvenli, hangilerinin güvenli olmadığını belirlemek her zaman kolay bir iş değildir. ReliaQuest Güvenlik Stratejisi Direktörü Ken Westin'in de belirttiği gibi, parola yöneticilerinin ne kadar güvenli olduğunu bilmek zordur.

Westin bir e-postada, "Şahsen çevrimiçi şifre yöneticilerine güvenmiyorum," dedi. "Güvensiz olduklarını düşündüğüm için değil; ne kadar güvenli olduklarını, bilgilerimi nasıl sakladıklarını ve verilerimin düzgün bir şekilde şifrelenip şifrelenmediğini bilmediğim için."

Westin, bu şüphe nedeniyle en hassas bilgilerini web tabanlı parola yöneticilerinde saklamayacağını söyledi. Finansal ve e-posta hesaplarının parolalarını yönetmek için, hassas parolaların güvenliğinin potansiyel risklerden izole edilmesi gerektiğine inanan Westin, çevrimdışı bir araç kullanılmasını önerdi.

Westin, "Maksimum güvenlik için, bu hizmetlerin (finansal ve e-posta hesapları) parolaları, KeePass gibi şifreli, çevrimdışı bir parola yöneticisinde saklanmalı. Bu yönetici, açmak için kimlik doğrulaması gerektirir ve düzenli ve güvenli bir şekilde yedeklenir," dedi. Bu, bu hayati bilgilere erişimin yeterli düzeyde korunmasını sağlar.

Seattle merkezli bir güvenlik ve gizlilik şirketi olan Prevendra'nın CEO'su Christopher Burgess, şifre yöneticilerine güvenmeyenlerin şifrelerini manuel olarak takip edebileceğini öne sürdü. Bu yöntem, hassas veriler üzerinde tam kontrol sağlıyor.

Burgess, "Manuel sistem iki not defteri kullanılarak kolayca uygulanabilir," dedi. "İlk not defterine hesap bilgilerinizi (hizmet adı, URL, kullanıcı kimliği ve seri numarası) yazın. İkinci not defterine, seri numarasının yanına parolanızı ve varsa kimlik doğrulama notlarını yazın. İkinci not defterini güvenli bir yere koyun ve parolanızı hatırlayamadığınızda ona başvurun." Bu yaklaşım basit olsa da, parolalarının güvenliği üzerinde doğrudan kontrol sahibi olmayı tercih edenler için uygun bir alternatif sunuyor.

Alınması gereken güvenlik önlemleri

Konuştuğumuz uzmanların çoğu parola yöneticileri konusunda güçlü görüşlere sahip olsa da, birçok güvenlik uzmanı orta yolu tercih ediyor gibi görünüyor. Bu programları kullanışlı araçlar olarak görüyorlar, ancak mükemmel veya hacklenemez değiller.

Çokuluslu antivirüs şirketi Sophos'un kıdemli araştırma bilimcisi Chester Wisniewski'nin bir e-postada belirttiği gibi, şifre yöneticilerini akıllıca seçmeyen kişiler "hepsini yönetecek tek yüzüğü" teslim etmiş olabilir.

Wisniewski, "tanınmış ve güvenilir uygulamalara yönelmenizi" öneriyor. "Bu uygulamalar verileri yerel olarak şifrelemeli ve şifreleme için üçüncü taraflara güvenmemelidir. Ben şahsen LastPass ve KeePass'ı tercih ediyorum."

Ontario, Waterloo'da bulunan siber güvenlik şirketi APrivacy'nin kurucusu ve CEO'su Cedric Geno da hangi parola yöneticisinin kullanılacağına karar verirken güvenilir veri şifrelemesinin önemini vurguladı.

Gino, seçtiğiniz parola yöneticisinin verileri bilgisayarınızda yerel olarak saklamak yerine bulutta saklaması durumunda, bilgilerinizin saklandığı ülkeye, kimlerin erişebileceğine ve parola yöneticisi hizmetine dikkat etmeniz gerektiğini açıkladı.

Tripwire'ın kıdemli güvenlik yöneticisi Lamar Bailey, bireylerin şifrelemenin ötesinde güvenlik özelliklerine sahip parola yöneticileri aramaları gerektiğine inanıyor; bu özellikler kullanıcıların çevrimiçi kimliklerini güvence altına almaya yardımcı olabilir.

Bailey, bir e-postada, "Birçok şifre yöneticisi, kullanıcıları tehlikeye atılmış veya Heartbleed gibi ciddi güvenlik açıklarından etkilenen web siteleri konusunda uyarıyor" diye ekledi.

Bailey, şifre yöneticileri söz konusu olduğunda hatırlanması gereken en önemli şeyin, aracı güvence altına almak için kullandığınız ana şifre olduğunu söyleyerek devam etti.

Bailey, "Herhangi bir parola yöneticisi, ana parolanız kadar güvenlidir. Bu nedenle, kullanıcılar parola yöneticilerinin parolasının her zaman çok güçlü olduğundan emin olmalı ve sık sık değiştirmelidir." diye vurguladı.