Οδηγός για αρχάριους: Τα πάντα για τον password manager

Ο password manager ή στα Ελληνικά, διαχειριστής κωδικών, αποθηκεύει όλους τους κωδικούς πρόσβασης επάνω του και τους συμπληρώνει αυτόματα όταν αυτοί απαιτηθούν από κάποιο πρόγραμμα ή υπηρεσία.

Σε αυτό το άρθρο θα αναλύσουμε τι είναι ο password manager, πόσα είδη υπάρχουν, αν μπορείτε να τους εμπιστευτείτε, τι δυνατότητες πρέπει να έχουν, τι άλλες εναλλακτικές λύσεις έχετε, τι ταιριάζει προσωπικά σε εσάς. Πρώτα από όλα όμως, ας δούμε τι δυνατότητες έχετε στην διαχείριση των κωδικών σας.

Η απομνημόνευση των κωδικών είναι πονοκέφαλος. Επειδή πλέον η χρήση των ηλεκτρονικών συσκευών είναι ευρεία διαδεδομένη, ο αρχάριος χρήστης έχει να διαχειριστεί τουλάχιστον 20 κωδικούς. Για παράδειγμα, πρέπει να θυμάται κωδικούς για 2 email, 2 για τράπεζες, 3 για το facebook – twitter – instagram, 1 για τα Windows, 1 για το router, 3-4 για WiFi, 2 για το κινητό του κλπ.

Ο πιο προχωρημένος ίσως να φτάνει τους 50, το πολύ 100. Ένας power user παλεύει με 100-300 κωδικούς και ένας ΙΤ μπορεί άνετα να πιάσει τους 1000. Το σημερινό μας άρθρο αναφέρεται στους αρχάριους χρήστες, και ίσως και στους προχωρημένους. Όλοι οι υπόλοιποι ξέρετε τι πρέπει να κάνετε και οι αναλύσεις που θα γίνουν δεν έχουν να κάνουν με εσάς.

Για όλους αυτούς τους κωδικούς, θα πρέπει ο χρήστης να είναι σε θέση να τους ανακτήσει εύκολα, γρήγορα και με ασφάλεια (θυμηθείτε αυτό το τρίπτυχο). Με ποιο τρόπο? Πάμε να δούμε

Τρόποι αποθήκευσης κωδικών – Εναλλακτικές λύσεις
Α. Χρήση απλών κωδικών
Η λύση είναι ιδιαίτερα απλή. Μπορείτε να χρησιμοποιήσετε τον κωδικό 123456 παντού. Εντάξει, το ξέρουμε ότι κρυφογελάτε. Όμως μην νομίζετε ότι ο κωδικός “p@ssw0rd” ή ο “panatha13” είναι καλύτερος από τον “123456”. Ακόμα και οι παραλλαγές ενός λίγο πιο δυνατού κωδικού, όπως το “d1m1tris1970” ή το  “diMitRiSI97O” πιστεύετε ότι είναι καλύτεροι από το 123456?

Με τα σύγχρονα μηχανήματα και τις τεράστιες databases με κωδικούς όλων των λογιών, οι παραπάνω κωδικοί είναι το λιγότερο γελοίοι. Είναι σαν να μην υπάρχουν. Έχουν όμως ένα καλό. Αν σας χαλάσει το μέσο που τους αποθηκεύετε, θα μπορείτε να τους μαντέψετε !!!.

Ας βαθμολογήσουμε την Α λύση από το 0 έως το 10 (με άριστα το 10). Ευκολία = 10, Ταχύτητα = 10, Ασφάλεια = 0.

Β. Τοπική αποθήκευση σε αρχείο
Το παλιό κλασσικό τεφτέρι!!!. Εντάξει μπορεί να μην είναι ένα τετράδιο, αλλά αντίστοιχα είναι ένα txt αρχείο φτιαγμένο με το Σημειωματάριο των windows. Δε το αποκλείουμε όμως, οι 60+ ετών χρήστες να έχουν μία κόλλα Α4 δίπλα στον υπολογιστή τους με σημειωμένους όλους τους κωδικούς τους.

Σαν λύση είναι καλή, αρκεί να έχετε φροντίσει οι κωδικοί σας να είναι δύσκολο να ανιχνευτούν, όπως για παράδειγμα “@D1mi7r15!!Ol@_Ta_l3ftA”, και να έχετε φροντίσει να κάνετε backup αυτών σε κάποιο ξεχωριστό δίσκο. Μάλιστα αν δώσετε ένα άσχετο όνομα στο txt αρχείο, πχ “Mauro-provato.txt” και το βάλετε κάτω από ένα άσχετο φάκελο, πχ “c:\dimitris\logotexnia”, είναι πολύ δύσκολο, όποιος καταφέρει να αποκτήσει πρόσβαση στον υπολογιστή σας, να μαντέψει τι μπορεί να κρύβει αυτό το αρχείο.

Ακόμα και αν σας κάνουν hack με κάποιο κακόβουλο πρόγραμμα, αυτό θα ψάξει σε συγκεκριμένα μέρη για κωδικούς και για συγκεκριμένα προγράμματα, όπως για παράδειγμα θα κοιτάξει αν έχετε εγκαταστημένο κάποιο password manager κλπ.

Μπορείτε μάλιστα να το κρυπτογραφήσετε. Και το ίδιο αλλά και το backup αυτού. Κάθε φορά που θα θέλετε ένα κωδικό θα πρέπει να το ανοίγετε και να κάνετε copy-paste τον κωδικό που θέλετε.

Αν προσπαθούσαμε να βαθμολογήσουμε την Β λύση τότε αυτή θα έπαιρνε : Ευκολία = 4, Ταχύτητα = 8, Ασφάλεια = 10.

Γ. Τοπικός password manager
Κατεβάζετε και εγκαταστείτε ένα πρόγραμμα password manager,κατά προτίμηση ανοικτού κώδικα και βάζετε εκεί όλους τους κωδικούς σας. Αυτό κάθε φορά που θα θέλετε να χρησιμοποιήσετε ένα κωδικό για να συνδεθείτε ο password manager θα αναλαμβάνει να τον παραδίδει χωρίς καμία καθυστέρηση.

Οι κωδικοί γίνονται ιδιαίτερα δύσκολοι, επιπέδου “3#@fd454)23dADFF%^&TRfgh!g2” και μπορούν να πάρουν όσο μήκος θέλετε. Για μεγαλύτερη ευκολία τα προγράμματα αυτά σας προσφέρουν και μία γεννήτρια κωδικών, για να μην κάθεστε και πληκτρολογείτε.

Θα έχετε όμως ένα “μικρό” προβληματάκι αν θελήσετε να χρησιμοποιήσετε αυτούς τους κωδικούς στο smartphone σας ή στον δεύτερο υπολογιστή σας ή γενικά σε ένα άλλο ξεχωριστό υπολογιστή. Απλά δεν θα θυμάστε τους κωδικούς.

Επίσης, στον κύριο υπολογιστή σας, όλοι οι κωδικοί είναι κρυπτογραφημένοι. Πλην όμως, έχετε εμπιστευτεί τους κωδικούς σας σε ένα πρόγραμμα τρίτου κατασκευαστή, το οποίο μεταξύ άλλων είναι στόχος των hackers.

Ειδικά αν σας αρέσει να τριγυρνάτε σε πορνοσελίδες, να κάνετε κλικ στα email που σας υπόσχονται δωρεάν κουπόνια στο τάδε super market ή να κατεβάζετε ταινίες από το dark web, τότε πάτε φιρί φιρί να σας τους κλέψουν.

Βαθμολογία: Ευκολία = 7, Ταχύτητα = 10, Ασφάλεια = 8

Δ. Password manager σε cloud
Η ίδια λύση με την Γ μόνο που οι κωδικοί είναι αποθηκευμένοι στο σύννεφο (cloud). Αν δε καταλαβαίνετε τον όρο cloud σας λέμε ότι βρίσκονται αποθηκευμένοι σε ένα server, μακρυά από εσάς, πιθανά και εκτός χώρα σας.

Έτσι κερδίζετε ότι μπορείτε να συνδεθείτε από οποιαδήποτε συσκευή, να ανακτήσετε και να χρησιμοποιήσετε τους κωδικούς σας ακόμα και αν είστε στην Γαύδο διακοπές. Η επικοινωνία με το cloud είναι συνήθως καλά κρυπτογραφημένη από άκρη σε άκρη και δεν έχετε να φοβάστε τίποτα πάνω σε αυτό.

Από την άλλη όμως, μπορεί ο κατασκευαστής του password manager να παραβιαστεί (ναι, έχει γίνει) και να εκθέσει εκατομμύρια κωδικούς σε αδίστακτους κακοποιούς.

Βαθμολογία: Ευκολία = 10, Ταχύτητα = 10, Ασφάλεια = 7

 

Τι είναι ο password manager
Οι διαχειριστές κωδικών είναι εφαρμογές που αποθηκεύουν τους κωδικούς σας σε ένα ασφαλές θησαυροφυλάκιο, το οποίο μπορείτε να ξεκλειδώσετε με έναν μοναδικό κύριο κωδικό πρόσβασης και, προαιρετικά, με μια επιπλέον μέθοδο ελέγχου ταυτότητας δύο παραγόντων, για περισσότερη ασφάλεια.

Οι διαχειριστές κωδικών πρόσβασης σας επιτρέπουν να χρησιμοποιείτε ισχυρούς, μοναδικούς κωδικούς πρόσβασης παντού. Αυτό συνήθως δεν είναι δυνατό για τους περισσότερους ανθρώπους. Κανείς δεν μπορεί να θυμάται κωδικούς του τύπου E.w^ei3-uaF$7TaW.vuJ_w!!, ενώ οι διαχειριστές κωδικών πρόσβασης μπορούν να δημιουργούν και να θυμούνται τέτοιους κωδικούς.

Μπορούν να επικοινωνούν με άλλα προγράμματα, συνήθως browsers, και να ανακτούν από αυτά τους ήδη υπάρχοντες κωδικούς. Σας προειδοποιούν αν κάποιος κωδικός είναι κοινός σε δύο σημεία και σας παροτρύνουν να αλλάξετε ένα κωδικό μετά από κάποιο χρονικό διάστημα.

Έχουν δυνατότητα bαckup, μπορούν να ταξινομήσουν τους κωδικούς σας, αλληλεπιδρούν με τους browsers και έτσι φροντίζουν να συμπληρώνουν αυτόματα τα πεδία των κωδικών σε κάθε ζήτησή σας και τέλος αποθηκεύουν τους κωδικούς σας με κρυπτογράφηση.

 

Πόσα είδη password managers υπάρχουν
Κατά βάση υπάρχουν δύο είδη. Αυτοί που αποθηκεύουν τοπικά στην συσκευή σας τους κωδικούς σας και δεν απαιτούν να έχουν σύνδεση με το διαδίκτυο (offline) και αυτοί που τους αποθηκεύουν στο cloud (online).

Οι offline password managers φροντίζουν μόνο τον υπολογιστή που είναι εγκατεστημένοι. Δεν έχουν καμία επικοινωνία με τα υπόλοιπα μηχανήματά σας, δεν μπορείτε αυτόματα να έχετε τους κωδικούς σας στο κινητό σας τηλέφωνο και δεδομένου ότι αυτοί είναι εξαιρετικά ισχυροί η μορφή τους είναι δυσνόητη, και με μεγάλο μήκος.

Στους οffline θα πρέπει να φροντίζετε να έχετε πάντα ένα bαckup, γιατί αν χαλάσει ο δίσκο σας ή αν σας κλέψουνε το μηχάνημά σας (laptop), τότε δύσκολα θα μπορέσετε να τους ανακτήσετε.

Οι online είναι εύκολοι στην διαχείρισή τους, κάνουν ακριβώς τα ίδια πράγματα με τους οffline, αλλά επιπλέον μπορούν να είναι προσβάσιμοι από όλο τον κόσμο και από όποιο μηχάνημα θέλετε. Δεν χρειάζονται να έχετε ένα backup γιατί συνήθως κρατάνε αυτοί, αν και καλό θα ήταν να έχετε πάντα ένα. Κάλιο γαϊδουρόδενε παρά γαϊδουρογύρευε λένε στο χωριό μας.

Στην πραγματικότητα χρησιμοποιείτε ήδη ένα οnline password manager και δεν το ξέρετε. Όσοι έχετε εγκαταστήσει τον Chrome, έχετε αποθηκεύσει σε αυτόν έστω και ένα κωδικό και έχετε συνδεθεί στην Google μέσω του Chrome, τότε ο κωδικός σας αυτός έχει ανέβει στο cloud της Google και είναι προσβάσιμος από οποιοδήποτε μηχάνημα, αρκεί να πάτε εδώ: https://passwords.google.com και να συνδεθείτε στον λογαριασμό σας, για να τους δείτε.

 

Μπορείτε να τους εμπιστευτείτε?
Επειδή μοιράζετε την ζωή σας σε τρίτους, θα χρειαστεί να δείξετε κάποια εμπιστοσύνη στις εταιρείες διαχείρισης κωδικών πρόσβασης. Σίγουρα, οι εταιρείες υπόσχονται να κρατήσουν τους κωδικούς σας ασφαλείς, αλλά πάντα υπάρχει το ενδεχόμενο να παραβιαστούν από hackers και να κλέψουν τους κωδικούς πρόσβασης σας (έχει συμβεί). Παρόλα αυτά οι εταιρείες φροντίζουν επισταμένα για την ασφάλειά τους, αλλά τι γίνεται αν αποδειχθούν κακές;

Σίγουρα, υπάρχει ο κίνδυνος. Θα πρέπει να δείξετε εμπιστοσύνη στον διαχειριστή κωδικών πρόσβασης όπως και σε οποιαδήποτε άλλη εφαρμογή που χρησιμοποιείτε. Το ίδιο ισχύει για οποιαδήποτε εφαρμογή στον υπολογιστή σας ή στις περισσότερες επεκτάσεις του προγράμματος περιήγησης σας. Θα μπορούσαν να σας κατασκοπεύσουν, και να σας κλέψουν τους κωδικούς πρόσβασης, τους αριθμούς πιστωτικών καρτών και ένα σωρό άλλα πράγματα.

Με την λογική ότι χρησιμοποιείτε αξιόπιστες εφαρμογές, χρησιμοποιείστε και αξιόπιστες εταιρείες διαχείρισης κωδικών. Είναι μάλλον πιο επικίνδυνο να εγκαταστήσετε τυχαίες επεκτάσεις του προγράμματος περιήγησης σας, που πολλές από τις οποίες αποκτούν πλήρη πρόσβαση σε ό,τι συμβαίνει στο πρόγραμμα περιήγησής σας ή να μην χρησιμοποιείτε καθόλου και να δουλεύετε με το 123456.

 

Τι δυνατότητες πρέπει να έχουν;
Υπάρχουν πολλά και ενδιαφέροντα χαρακτηριστικά σε όλα αυτά τα προγράμματα, που τα κάνουν να ξεχωρίζουν μεταξύ τους και ως προς την ευκολία και ως προς την ασφάλεια. Όμως , σαφώς και μπορείτε να υποθέσετε ότι ένας password manager θα πρέπει να τρέχει κάποιες minimum δυνατότητες.

Λίγο πολύ έχουμε αναφέρει τα αναγκαία γνωρίσματα ενός διαχειριστή κωδικών, ώστε αυτός να χαρακτηριστεί καλός. Συγκεντρωτικά όμως θα πούμε:

• Να είναι γνωστός στην αγορά και συνεχή updates και με καλό ιστορικό
• Να μπορεί να λαμβάνει τους υπάρχοντες κωδικούς από τους browser σας και να έχει συμβατότητα με αυτούς που εσείς χρησιμοποιείτε
• Να έχει την δυνατότητα να κάνετε backup σε διάφορες μορφές
• Να έχει πιστοποίηση του κύριου κωδικού με δύο μεθόδους (Two factor authentication)
• Να έχει γεννήτρια κωδικών, να ελέγχει για την μοναδικότητα των αποθηκευμένων κωδικών
• Να μπορεί να σας ενημερώνει για το πόσο ισχυροί είναι οι κωδικοί σας.
• Να κρυπτογραφεί τους κωδικούς σας τουλάχιστον με AES-256
• Να μπορεί να τερματίζεται αυτόματα μετά από κάποια ώρα και να μην παραμένει ανοικτός, αν τον ξεχάσετε
• Να μπορεί να δέχεται κωδικούς από άλλους password managers

 

Τι ταιριάζει σε εσάς?
Και φτάσαμε στο καίριο ερώτημα. Πάρα πολλές πληροφορίες, πολύ επιστήμη, έχετε μπερδευτεί και δεν μπορείτε να αποφασίσετε τι πραγματικά χρειάζεστε.

Η απάντηση θα έρθει με την μέθοδο της εκμαίευσης, αν θέσετε σωστά το ερώτημα: Ποιες είναι οι ανάγκες σας. Αν πιάσουμε μερικές περιπτώσεις χρηστών που πιθανά είστε μέσα σε αυτές και ας δούμε τι ανάγκες έχουν και τι πρέπει να κάνουν.

Α περίπτωση: Χρήστης αρχάριος, περιστασιακός στο ιnternet, με 20 κωδικούς.

Είστε ένα χρήστης με ελάχιστους κωδικούς που συνήθως είναι στο Facebook, Twitter, τράπεζα, 1-2 forums, 2-3 οnline καταστήματα και ένα email. Στεφτείτε αν κάποιος κακοήθης αποκτήσει πρόσβαση σε ένα από αυτούς ή ακόμα και σε όλους θα υπάρξει πρόβλημα? Αν κάποιος σας παραβιάσει το Facebook και ενώ είστε Ολυμπιακός, αυτός γράψει με το όνομά σας “^%#%* ο θρύλος και ο Πειραιάς”?

Και τι έγινε? Θα ζητήσετε αλλαγή κωδικού από το Facebook, θα αποδείξετε ότι είστε εσείς ο ίδιος και όταν θα ξανά αποκτήσετε πρόσβαση στον προφίλ σας θα διαγράψετε τα μηνύματα του και θα γελάτε με τους φίλους σας για όλη αυτή την ιστορία.

Σας κλέψανε τον κωδικό της τράπεζας? Ωραία, μέχρι να το πάρετε χαμπάρι και να ειδοποιήσετε τηλεφωνικά την τράπεζα, οι κακοποιοί θα μπουν μέσα, θα δουν πόσα λεφτά έχετε, τι συναλλαγές έχετε κάνει, αλλά δεν θα μπορούν να κάνουν καμία συναλλαγή. Όλες οι τράπεζες (με εξαίρεση την paypal) έχουν ενσωματώσει για όλες τις συναλλαγές την πιστοποίηση δύο μεθόδων. Για να κάνουν μια συναλλαγή οι κλέφτες θα πρέπει να έχουν ταυτόχρονα είτε το κινητό σας τηλέφωνο ξεκλείδωτο, είτε τη συντονισμένη γεννήτρια τυχαίων κωδικών (ένα μικρό μηχάνημα, σαν κέρμα).

Μόνο συναλλαγές προς το Δημόσιο μπορούν να κάνουν χωρίς απαίτηση δεύτερου κωδικού (και όχι σε όλες τις τράπεζες) και το πολύ πολύ να σας πληρώσουν την εφορία σας.

Στην πραγματικότητα δεν χρειάζεστε την καλύτερη ασφάλεια του κόσμου. Δεδομένου ότι όσο αυξάνετε την ασφάλεια τόσο μειώνεται η ευκολία και η ταχύτητα, μάλλον θα παιδεύσετε την ηλεκτρονική ζωή σας άσκοπα. Θα είναι σαν να προσπαθήσετε να σκοτώσετε ένα κουνούπι με ένα κανόνι.

Η λύση ενός οnline password manager με τα χαρακτηριστικά που αναφέραμε παραπάνω, ταιριάζει με την περίπτωσή σας. Είναι πολύ καλύτερο να επενδύσετε στην ευκολία και στην ταχύτητα, ειδικά τώρα που όλα τα πράγματα στο διαδίκτυο είναι για εσάς πρωτόγνωρα. Και φυσικά σταματήστε να χρησιμοποιείτε τον κωδικό 123456.

 

Β Περίπτωση: Χρήστης προχωρημένος με 50 κωδικούς
Είστε ο χρήστης με κάποια χρόνια εμπειρίας στο διαδίκτυο. Έχετε κωδικούς για 2-3 email, για διάφορα sites, ενδεχομένως να έχετε ένα account στο Facebook με 2000 φίλους, ή ακόμα και να διαχειρίζεστε ένα blog.

Καταρχήν, σκεφτείτε αν είστε στόχος. Αν πιστεύετε ότι είστε ή ότι μπορεί να στοχοποιηθείτε, τότε επενδύστε στην ασφάλεια. Αν πιστεύετε ότι “Σιγά μην κάτσουν να ασχοληθούν μαζί μου”, τότε δείτε την ευκολία σας.

Δεν συζητάμε αν είστε ψυχαναγκαστικός και νομίζετε ότι θα έρθει το τέλος του κόσμου αν σας παραβιάσουν το λογαριασμό στο Gmail ή δούνε τις φωτογραφίες σας στο Facebook που δεν είναι δημόσιες. Εκεί, δεν γίνεται τίποτα, και για να μπορείτε τουλάχιστον να κοιμάστε ήσυχος, διαλέξτε ότι πιο ασφαλές υπάρχει.

Σε μία κανονική ψυχολογική κατάσταση χρήστη, θα πρέπει αυτός ο χρήστης να αναρωτηθεί ποιοι κωδικοί έχουν κάποια χρηματική αξία, συναισθηματική αξία ή ευθύνη σε τρίτους. Για παράδειγμα, ένας λογαριασμός 2000 φίλων στο Facebook μπορεί να γίνει επικερδής, ο φίλος σας που διαχειρίζεστε το blog του μπορεί να παρεξηγηθεί και να μην σας δικαιολογήσει μία παραβίαση από δικό σας σφάλμα, ένας cloud χώρος με αποθηκευμένες τις παιδικές σας φωτογραφίες μπορεί να μην σας παρέχει bαckup αν παραβιαστεί.

Σε αυτήν την περίπτωση χρήστη, προτιμήστε μία σύμμεικτη λύση, όπως ένα online password manager για όσους κωδικούς δεν σας ενδιαφέρουν και ένα txt αρχείο για τους 5-6 σημαντικούς κωδικούς. Σε αυτούς όμως φροντίστε να δώσετε ισχυρά και μεγάλα ονόματα που θα μπορείτε και να τα θυμάστε. Παράδειγμα τέτοιου κωδικού είναι το “ArnAki-A5pro-kAi-pAxi!!”.

Γ Περίπτωση: Power Users
Στην πραγματικότητα οι χρήστες αυτοί γνωρίζουν καλά τι χρειάζονται. Έχουν συναίσθηση τι κρατούν στα χέρια τους και πως πρέπει να το διαχειριστούν. Το άρθρο αυτό δεν απευθύνεται σε αυτούς, πλην όμως θέλουμε να μοιραστούμε μαζί σας κάποια παλιά μας άρθρα που μπορεί να τους προβληματίσουν.

Password manager τοπικά ή στο σύννεφο?
Ευπάθειες σε password managers μπορούν να χρησιμοποιηθούν από hackers
Είστε ασφαλείς με password managers σε Android;
Password Managers – Crash Test: Τα πιο δημοφιλή εργαλεία της αγοράς!

 

Προτάσεις εφαρμογών
Δεν επιθυμούμε να διαφημίσουμε κάποιο προϊόν, ιδιαίτερα αν αυτό είναι επί πληρωμή. θα μιλήσουμε μόνο για δωρεάν και ανοικτού κώδικα προγράμματα που κατά την γνώμη μας αξίζουν μία ματιά σας.

Δείτε λοιπόν προγράμματα όπως το Keepass, το KeepassX, το TeamPass.

Ειδικά για το Keepass έχουμε αναφερθεί αρκετά και σε παλαιότερα άρθρα μας.

Καλώς ήρθατε στον θαυμαστό κόσμο του internet.