۶ ابزار برتر برای مدیریت پسورد

passwords management

با بررسی ابزارهای مدیریت گذرواژه برای ویندوز، مک او اس،‌ای او اس و اندروید، برای همیشه دنیای آنلاین خود را ساده‌تر و ایمن‌تر کنید.

یکی از هوشمندانه‌ترین کارهایی که می‌توانید جهت ایمن‌سازی کارکنان؛ به‌خصوص آن‌هایی که در خانه کار می‌کنند (دورکار)، انجام دهید، این است که آن‌ها را تشویق کنید تا از یک ابزار مدیریت گذرواژه استفاده کنند. انجام این کار یکی از ساده‌ترین روش‌های ایمن‌سازی کارکنان‌تان به‌شمار می‌رود.

بهترین روش‌های انتخاب یک کلمه‌ی کلیدی برای گذرواژه، با پیچیدگی آن کلمه و نیز تغییر مداوم آن و البته منحصربه‌فرد بودنش رابطه‌ای مستقیم دارد. هریک از این روش‌ها برای کاهش راه‌های شناخته شده‌ی حمله و همچنین محکم‌تر کردن هویت آنلاین‌ شما است که برای جلوگیری از افشای رمز و نیز محدود کردن آسیب‌های وارده در صورت رخ دادن افشای رمز نیز مفید خواهد بود.

مزایای استفاده از ابزار مدیریت پسورد

یک ابزار مدیریت گذرواژه‌ی مناسب، قدمی بسیار عالی در مسیر ایمن‌سازی هویت آنلاین به‌شمار می‌رود. این ابزار می‌تواند گذرواژه‌هایی منحصربه‌فرد و سخت را برای حساب کاربری یا نرم‌افزاری به‌وجود آورد (بدون اینکه حتی لازم باشد یکی از کارکنان آن رمز عبور را به‌خاطر بسپارند و یا برای حفظ آن، دسته‌ای از کلمات و حروف مختلف را جایی بنویسند). این گذرواژه‌های قوی (سخت) به شما کمک می‌کنند تا جلوی حملاتی از قبیل”Dictionary” “Rainbow Tables” یا “بروت فورس” را بگیرید؛ همچنین استفاده از چنین گذرواژه‌های سختی را نیز آسان می‌سازد.

برخی از برترین ابزارهای مدیریت گذرواژه، اطلاعات کاربری را به‌صورت محلی (در حافظه دستگاه مورد استفاده‌تان) ذخیره می‌کنند. این درحالی‌ست که برخی دیگر از این ابزارها جهت ذخیره‌سازی این دست از اطلاعات به همگام‌سازی و سرویس‌های ابری متکی می‌شوند؛ برخی دیگر نیز، رویکردی ترکیبی دارند. بعضی از این ابزارها که از حافظه‌های محلی استفاده می‌کنند (از قبیل “Kee Pass”) از همگام‌سازی ازطریق “Dropbox” یا دیگر خدمات حافظه‌ای نیز استفاده می‌کنند. تصمیم‌گیری در رابطه با انتخاب بهترین ابزار مدیریت رمزعبور برای سازمان شما به ویژگی‌های آن ابزار، سادگی استفاده از آن و همچنین راحتی شما در استفاده از یک ابزار مدیریت گذرواژه مبتنی‌بر فضای ابری در ابنترنت بستگی دارد. راه‌حل‌های مبتنی‌بر فضای ابری، ویژگی‌های قابل توجهی را ارائه می‌کنند که آن‌ها را کاملاً متمایز می‌کند. این راه‌حل‌ها عبارتند از:

ویژگی اول: احراز هویت (تایید اعتبار) دو عاملی

*یکی از ویژگی‌هایی است که برای ابزارهای آنلاین مدیریت رمز عبور ضروری است.

ویژگی دوم: قابلیت اشتراک‌گذاری رمزهای عبور از روش‌های کاملاً ایمن

دوره زیر به شما کمک می‌کند تا نکات امنیتی لازمی را که هر کاربر اینترنت باید بداند، یاد بگیرید:

درحالی که اکثر گزینه‌هایی که در اینجا ذکر شد، رمز عبور شما را در فضایی ابری ذخیره می‌کنند؛ هیچ یک از آن‌ها بدون استفاده از روش‌های رمزنگاری پیشرفته و گذرواژه‌ی اصلی که شما تعریف کرده‌اید، این اطلاعات را ذخیره و یا حتی منتقل هم نمی‌کنند.

این بدان معناست که ابزار مدیریت گذرواژه، اگر هم بخواهد نمی‌تواند اطلاعات شما را به سادگی رمزگشایی کند. این فرایند به‌خصوص برای اکثر ارائه‌دهندگان آنلاین خدمات صدق می‌کند؛ درواقع هنگامی که یک رمز عبور را فراموش می‌کنید، در اکثر موارد با وارد کردن ایمیل خود و سپس با کلیک‌کردن روی لینکی که دریافت می‌کنید (و نیز احتمالا پاسخ به یک سوال امنیتی یا اعتبار سنجی “CAPTCHA”) می‌توانید گذرواژه‌ی حساب کاربری‌تان را بازیابی کنید.

اگر رمز عبور اصلی‌تان را فراموش کرده‌اید، استفاده از فرایند بازیابی حساب کاربری به کمک خدمات آنلاینی که در اینجا لیست کرده‌ایم، کمی پیچیده است. در برخی موارد، بازیابی حساب کاربری فقط از طریق دستگاهی که قبلاً حاوی کپی رمز عبور شما در حافظه خود باشد، انجام می‌شود. این امر به دلیل معماری مربوط به رمزگذاری و رمزگشایی داده‌های شما طراحی شده است و فقط از طریق رمزعبور اصلی شما انجام می‌شود. بنابراین، در صورت تغییر رمز عبور اصلی، تمامی آن داده‌ها باید با استفاده از رمز ورود قبلی‌تان رمزگشایی شده و با استفاده از رمز جدید، مجدداً رمزنگاری شوند. برخی از “solution”ها، با استفاده از کلیدهای رمزگشایی پیچیده، نوعی از ریکاوری را به شما پیشنهاد می‌دهند که شامل متن‌های طولانی با 24 حرف یا بیشتر است. با استفاده از این حالت، می‌توانید درموارد اضطراری برای بازیابی حساب خود از آن‌ها استفاده کنید.

به نظر کارشناسان این حوزه، “KeePass” بهترین نمونه در استفاده از حافظه‌ی محلی است. “KeePass” یک ابزار “Open Source” رایگان است و با ترکیب صحیح با پلاگین‌ها، می‌تواند تقریباً هر کاری که از یک ابزار مدیریت گذرواژه می‌خواهید را انجام دهد. در بین نمونه‌های ابری، کمی تردید بین کارشناسان وجود دارد: “LastPass” به دلیل کم هزینه بودن و پیاده‌سازی مداوم ویژگی‌هایش در میان همه مشتری‌ها بیشتر محبوب است، اما “Dashlane” نیز کمی رویکرد تهاجمی‌تری نسبت به موضوع امنیت و ایمن‌سازی دارد.

در آزمایش هر یک از سرویس گیرنده‌های “LastPass” ، آسان بودن رابط کاربری، پایداری و یکدست بودن از منظر قابلیت استفاده، کاملاً مشاهده می‌شود. به علاوه، یک حساب رایگان”LastPass”  شامل ویژگی‌هایی مانند همگام‌سازی، به اشتراک‌گذاری و احراز هویت چند عاملی است که رقبای آن اغلب از طریق پلن (برنامه)‌های پولی آن‌ها را ارائه می‌دهند، و این امر یک گزینه و مزیت ویژه‌ای برای کارمندان دورکار که از دستگاه‌های شخصی استفاده می‌کنند به‌شمار می‌رود.

بسیاری از کسانی که دورکاری می‌کنند؛ همسر، فرزندان یا اعضای مسنی در خانواده خود دارند که می‌توانند با آن‌ها به‌طور ایمن، اطلاعات حساب خود را به اشتراک بگذارند یا حتی در برخی موارد حساب کاربری‌شان را مدیریت کنند. “Dash lane” و “LastPass” آپشن‌های بسیار خوبی برای خانواده‌ها درنظر گرفته‌اند: “LastPass” برای خانواده‌ها با پرداخت 4 دلار در ماه (پرداخت صورتحساب به‌صورت سالیانه) برای حداکثر شش کاربر، و نسخه‌ی اختصاصی “Dash lane” با 7.49 دلار در هر ماه (به ازای هر کاربر و پرداخت صورتحساب به‌صورت سالیانه). این تفاوت واقعاً به هزینه و اولویت‌های شخصی برمی‌گردد، چرا که هر دو پلن، پلن‌های خوبی هستند.

یکی از این محصولات مسیر میانه‌ای ارائه می‌دهد که ممکن است مورد توجه برخی از کاربران قرار گیرد. “1Password” مزایای امنیتی ذخیره‌سازی آفلاین در مخزن پسورد را به‌همراه راحتی همگام‌سازی کامل از طریق یک سرویس آنلاین در اختیار شما قرار می‌دهد. با استفاده از “1Password” می‌توانید بیشترین اطلاعات محرمانه‌ خود را با استفاده از سرویس “cloud” همگام سازی کنید؛ درست در حالی که تلاش می‌کنید که برخی اطلاعات را به‌صورت آفلاین ذخیره کرده و یا از طریق گزینه‌های دیگری مانند “Dropbox” همگام‌سازی کنید.

“1password” زاییده ایده یک توسعه‌دهنده بسیار قدیمی در مک او اس به نام “Agile Bits” است. با این وجود “1Password” روی چندین سیستم عامل از جمله “Mac” ، “Windows” ، “iOS” و “Android” نیز اجرا می‌شود. مدت‌هاست که “1Password” از استفاده از یک فایل محلی جهت ذخیره‌سازی رمزهای عبور رمزنگاری شده پشتیبانی می‌کند اما اکنون از طریق سرویس‌های ابری خود، همگام سازی، نظارت و سایر مزایا را نیز ارائه می‌دهد. همچنین “1Password” از همگام سازی گاوصندوق‌های رمز عبور با استفاده از “Dropbox” (در همه‌ی پلتفرم‌ها) یا “iCloud” (فقط “MacOS” و “iOS”) نیز پشتیبانی می‌کند. اگر ترجیح می‌دهید از “Cloud” برای همگام سازی رمز عبور استفاده نکنید و مشکلی با طی‌کردن مراحل نصب ندارید، “1Password” می‌تواند مخازن پسورد رمز عبور را از طریق رایانه “MacOS” به کلاینت‌های “iOS” و “Android” از طریق “Wi-Fi” همگام سازی کند.

داشبورد مربوط به پلتفرم “1Password”

از آنجا که مخزن ذخیره رمزعبور “1 Password” در یک فایل قرار دارد، می‌توانید شیوه‌ مدیریت مخازن فردی و در نتیجه رمزهای عبور را کنترل کنید. یک نقطه ضعف در مورد مدیریت مخزن پسورد با حساب کاربری “1Password” این است که مخازن “Vault” جدیدی که در سرویس “1Password” وجود دارند فقط از طریق برنامه تحت‌وب ایجاد می‌شوند که در هنگام استفاده ممکن است باعث سردرگمی شود. مخازن محلی که به صورت آفلاین نگه داشته می‌شوند یا با استفاده از روش‌های دیگر همگام سازی می‌شوند، می‌توانند در برنامه‌های کلاینت (دریافت کننده خدمات) ایجاد شوند.

“1Password” برای کسانی که می‌خواهند گذرواژه‌ها را به طور ایمن به اشتراک بگذارند، یک حساب خانوادگی ارائه می‌دهد که به شما این امکان را می‌دهد تا مخازن رمز عبور موردنظر را به طور دلخواه با اعضای دیگر به اشتراک بگذارید و یا حتی کنترل کنید که چه اعضایی می‌توانند در گذرواژه‌ها تغییراتی ایجاد کنند یا نکنند. “1Password” همچنین به شما این امکان را می‌دهد تا از فضای ذخیره‌سازی امنِ حساب خانواده برای اشتراک اسناد حساس بین اعضا استفاده کنید. هر یک از اعضا می‌توانند علاوه بر دسترسی به مخازن مشترک، مخازن و حساب‌های رمز ورود خود را ایجاد و مدیریت کند. متأسفانه، اشتراک این مخازن فقط به حساب‌های خانوادگی یا تیمی محدود می‌شود. نمی‌توانید به سادگی یک حساب کاربری “1Password” را با شخص دیگری به اشتراک بگذارید، و یا اطلاعات فردی ورود به حساب را اشتراک گذاری کنید؛ چرا که هردوی این کارها قابلیت‌های اشتراک گذاری “1Password” را از بین می‌برند.

“1Password” ابزارهایی را برای تجزیه و تحلیل رمزهای ورود و خدماتی که این ابزارها برای شناسایی آسیب پذیری‌های احتمالی فراهم می‌کنند را در اختیارتان می‌گذارد. سرویس برج مراقبت “1Password” وب‌سایت‌ها و سرویس‌هایی را که می‌توانند بر امنیت شخصی شما تأثیر بگذارند ردیابی می‌کند و به شما هشدار می‌دهد تا گذرواژه‌های خود را تغییر دهید یا مراقب مشکلات احتمالی باشید. برج مراقبت این بستر می‌تواند گذرواژه‌های ضعیف یا مجدداً استفاده شده را در مخازن شما و همچنین رمزهای عبور مورد استفاده در سایت‌هایی که افشای رمزها در آن امری محرض است، را شناسایی کند. همچنین می‌توانید حساب خود را در حالت مسافرت قرار دهید، که با استفاده از این اهرم می‌توانید هنگام سفر، مخازن حساس را از دستگاه خود حذف کنید.

یکی از ویژگی‌های‌ امنیتی پشت “1Password”  استفاده از یک کلید مخفی است، که یک رشته تصادفی از کاراکترهای ایجاد شده هنگام ایجاد حساب “1Password” است. این کلید امنیتی که توسط “1Password” قابل بازیابی نیست، برای امنیت حساب کاربری شما و هر یک از دیگر مشتریان استفاده می‌شود. “1Password” توانایی احراز هویت کلاینت جدید با استفاده از کد “QR” را به راحتی ارائه می‌دهد. احراز هویت دو عاملی “2FA” در دسترس است اما به گذرواژه‌های یکبار مصرف محدود می‌شود. هر دو سرویس‌گیرنده “iOS” و “Android” از تأیید اعتبار به‌وسیله‌ حسگر اثر انگشت در دستگاه‌های شما پشتیبانی می‌کنند و سرویس گیرنده “Windows” نیز با استفاده از “Windows Hello” تأیید اعتبار را ارائه می‌دهد.

شما چندین گزینه برای شروع استفاده از “1Password” در اختیار دارید. همه‌ سرویس‌گیرنده‌های “1Password” برای ویندوز، “MacOS” ، “iOS” و “Android” رایگان هستند. اما اگر بخواهید از سرویس “1Password” برای همگام‌سازی استفاده کنید، یک حساب کاربری لازم است. هزینه یک حساب اصلی شخصی “1Password” به‌همراه یک تعهد سالانه 2.99 دلار در ماه است. این در حالیست که هزینه‌ “Password Families”  (وان پسورد برای خانواده‌ها) 4.99 دلار در ماه (پرداخت صورتحساب به‌صورت سالیانه) برای حداکثر پنج کاربر است. حساب کاربری و تجاری  “1Password” به ازای هر کاربر ماهانه 7.99 دلار است.

“Bitwarden” یکی از ابزارهای بسیار جالب است که استراتژی مشابه تعداد زیادی از برنامه‌های سازمانی را دنبال می‌کند. این ابزار، هم یک نرم‌افزار منبع باز است و هم تبلیغات تجاری را در خود جای داده است. “Bitwarden” تحت “GPLv3” مجوز دارد، که کد منبع آن در “GitHub” موجود است. با این وجود در این ابزار، خدمات رایگان و ویژه برای افراد، خانواده‌ها یا حتی مشاغل در دسترس است. در دسترس قرار دادن کد منبع آن، هم برای حسابرسی مستقل و هم برای بازبینی عمومی، میزان اعتماد به سیستم عامل “Bitwarden” را به همراه دارد که دستیابی به آن از هر راهی غیر از این، دشوار است.

مدیر گذرواژه‌ “Bitwarden”

دوره‌ رایگان “Bitwarden” در مقایسه با سایر راه حل‌های (ابزارها) رایگان، عملکرد کاملی دارد. از جمله تعداد نامحدودی مخزن پسورد، همگام‌سازی دستگاه، احراز هویت دو عاملی و حتی گزینه‌ای جهت میزبانی سرویس “Bitwarden” خود با استفاده از “Docker”. کاربران ویژه “Premium” می‌توانند به فاکتورهای احراز هویت بیشتری مانند “YubiKey”، “U2F و “Duo” و همچنین “Bitwarden Authenticator” (که پشتیبانی داخلی برای احراز هویت “TOTP” را ارائه می‌دهد) با پرداخت 10 دلار در سال دسترسی پیدا کنند.

جالب اینجاست که کاربران ویژه‌ “Bitwarden”  بدون طی کردن مراحل بیشتر، نمی‌توانند به اشتراک دسترسی پیدا کنند. کاربران رایگان یا “Premium” می‌توانند با ایجاد یک حساب “Free Organization”، که از اشتراک گذاری در یک سازمان دو نفره پشتیبانی می‌کند، با یک صفحه کاربری واحد اشتراک گذاری کنند. با استفاده از قابلیت “Family Sharing” قابلیت‌های اشتراکی اضافی باز می‌شود که حداکثر برای شش کاربر با هزینه‌ای بالغ بر 40 دلار در سال در دسترس است. “Bitwarden” همچنین حساب‌های مربوط به تیم‌ها و شرکت‌ها (به ترتیب با هزینه 3 یا 5 دلار در هر ماه برای هر کاربر) را ارائه می‌دهد که هر دو به کسب و کارها اختصاص داده شده‌اند.

“Dashlane” یکی دیگر از ابزارهای مدیریت گذرواژه است که در راه تلاش برای پاسخگویی به هر نگرانی امنیتی، یا سرویس مبتنی‌بر فضای ابری را در اختیار شما می‌گذارد و یا مدیریت گذرواژه به‌صورت محلی را ارائه خواهد داد. شما می‌توانید پایگاه داده‌ رمزعبور خود را بر روی سرورهای “Dashlane” ذخیره کنید و از همگام سازی بین دستگاه‌ها بهره ببرید، یا اینکه می‌توانید مخزن رمزعبور خود را به صورت محلی ذخیره کرده و از همگام سازی چشم‌پوشی کنید. انتخاب هرکدام از آن‌ها با شماست.

محیط عمومی ابزار “Dashlane”

احراز هویت در قبال دستگاه‌هایی انجام می‌شود که با “Dashlane” از طریق یک فرآیند دو مرحله‌ای مرتبط شده‌اند و رمز عبور اصلی شما را دربر می‌گیرند که در این فرایند، یک کد ورود به دستگاه از طریق ایمیل برایتان ارسال می‌شود.

دو دسته قیمت برای کاربران “Dashlane” ارائه شده است. حساب رایگان به شما این امکان را می‌دهد که حداکثر 50 رمز عبور را از طریق یک دستگاه مورد انتخاب خود، مدیریت کنید. حساب‌های ویژه که هر ماه 4.99 دلار هزینه دارند، به شما کمک می‌کنند تا رمزهای عبور خود را در چندین دستگاه همگام سازی کنید، از حساب‌های خود بک آپ “Back up” بگیرید، بیش از پنج چیز را به اشتراک بگذارید، به برنامه وب دسترسی داشته باشید، از سرویس “Dashlane VPN” برای بهبود حریم خصوصی استفاده کنید و همچنین به شما امکان دسترسی به تیم پشتیبانی “Dashlane” را نیز می‌دهد. حساب ویژه و پلاس “Dashlane Premium Plus” با قیمت 9.99 دلار در ماه، نظارت‌بر اعتبار و بیمه‌ی سرقت هویت را نیز به آپشن‌های خود اضافه می‌کند. حساب‌های مربوط به خانواده “Dashlane” درست مثل حساب‌های “Premium” و “Premium Plus” هستند اما تقریبا 5 عضو را پشتیبانی می‌کنند و قیمت آن به ترتیب 7.49 دلار و 14.99 دلار در ماه است. به‌عنوان مثال یک طرح کسب و کار می‌تواند پلنی با قیمت 8 دلار در ماه به ازای هر کاربر و نیز شامل یک ورود به سیستم مبتنی‌بر “SAML SSO” و یک طرح خانوادگی رایگان برای هر شخص باشد.

جهت استفاده از “Dashlane”، حفظ و نگهداری کلمه عبور اصلی‌تان امری کاملاً ضروری است. این شرکت اظهار داشت که قادر به انجام بازیابی رمز عبور در صورت از دست دادن آن نیست، چرا که این ابزار یک اثر جانبی ضروری در ساختار امنیتی به‌شمار می‌رود. احراز هویت دو عاملی از طریق استفاده از گذرواژه‌های یکبار مصرف مبتنی‌بر زمان “TOTP” برای حساب‌های رایگان و عامل دوم جهانی “U2F” مانند “Yubico Yubikey” برای حساب‌های ویژه پشتیبانی می‌شود. پشتیبانی از احراز هویت دو عاملی باید از طریق سرویس گیرنده “Windows” یا “Mac” فعال شود.

ویژگی‌های تیم “Dashlane” به شما این امکان را می‌دهد تا اطلاعات ورود به سیستم را با سایر کاربران “Dashlane” به طور ایمن به اشتراک بگذارید. موارد به اشتراک گذاشته شده را می‌توان با حق و حقوق محدودی ارائه کرد که این امر توانایی تغییر مجوزها یا اشتراک مجدد آن مورد و حق و حقوق کامل نسبت به داده‌ها را محدود می‌کند. “Dashlane” همچنین توانایی تعیین مخاطبین جهت تماس‌های اضطراری را نیز فراهم کرده است. به همین دلیل امکان دسترسی آسان خانواده یا همکاران به حساب‌های مهم یا اطلاعات در شرایط اضطراری را نیز آسان می‌کند. داده‌های به اشتراک گذاشته شده با یک مخاطب اضطراری را می‌توان دقیق تنظیم کرد تا فقط اطلاعات خاصی را برای آن دسته از مخاطبین خاص فراهم کند.

یک پروژه منبع باز کامل “GPLv2”

“KeePass” یک راه حل رایگان برای مدیریت رمز عبور برای ویندوز است که دارای درگاه‌هایی برای سیستم عامل‌های دیگر است. بسیاری از مزایای نرم افزار منبع باز در “KeePass” رایج است، از جمله پشتیبانی جامع زبان و اکوسیستم پلاگینی قوی. با توسعه پذیری ارائه شده توسط “plug-in‌”ها برای “KeePass”، می‌توانید الگوریتم رمزگذاری را تغییر دهید، ورود به سیستم را از طریق مرورگر خود به صورت خودکار انجام دهید، صفحه کلید روی صفحه را یکپارچه کنید، اسکریپت‌هایی ایجاد کنید که می‌توان آن‌ها را در برابر ابزار مدیریت رمز عبور اجرا کرده و حتی از یک رابط خط فرمان برای مدیریت رمز عبور در ابزارهای خودکار استفاده کنید.

مخزن رمز عبور “KeePass”

“KeePass” طراحی شده است تا یک نسخه محلی از مخزن رمز عبورتان را ذخیره کند. بک آپ گیری فضای ابری و پشتیبانی از همگام سازی در چندین دستگاه از طریق افزونه‌هایی حاصل می‌شود که با مواردی مانند “Dropbox ،”Google Docs” ،”Microsoft” “OneDrive یا حتی سرور “FTP” خودتان کار می‌کنند. یکی از مزایای جانبی پایگاه داده‌های مربوط به گذرواژه‌های محلی مانند “KeyPass” این است که چندین کاربر می‌توانند یک پایگاه داده را به اشتراک بگذارند یا یک کاربر چندین پایگاه داده را حفظ کند، برخی را به اشتراک بگذارد و دیگران را خصوصی نگه دارد.

پشتیبانی از موبایل برای “KeePass” نسبت به سایر گزینه‌های تجاری مبهم‌تر است. پورت‌های موردنیاز برای “iOS” و “Android” در این ابزار، در دسترس هستند. اما مشکل اصلی، پشتیبانی از همگام‌سازی است. همه پورت‌های تلفن همراه از همگام‌سازی فضای ابری پشتیبانی نمی‌کنند و آن‌هایی هم که این کار را می‌کنند، تنها زیرمجموعه‌ای از گزینه‌های ابری را پشتیبانی می‌کنند. برخی از مشتریان موبایلی “KeePass” هزینه دارند، اگرچه اکثر این هزینه‌ها در محدوده 1 تا 2 دلار هستند.

چند کلاینت (سرور دریافت کننده) مبتنی‌بر وب “KeePass” به شما این امکان را می‌دهند تا با یک بانک اطلاعاتی اصلی ذخیره شده در هارد دیسک محلی خود، یا یک حساب ذخیره‌سازی ابری کار کنید. “KeeWeb” یک ابزار کاملاً منعطف است و در نسخه‌های بومی ویندوز، “MacOS” و “Linux” نیز موجود است. مانند “KeePass” ؛ “KeeWeb” نیز “Open Source” است.

اگر بیش از سرویس گیرنده‌های تلفن همراه و نیز همگام‌سازی دستگاه، نسبت به امنیت مخزن رمزعبور خود نگران هستید، پس وقتی بدانید که “KeePass” به طور پیش فرض از چندین روش احراز هویت پشتیبانی می‌کند، خوشحال خواهید شد. پرونده‌های پایگاه داده “KeePass” را می‌توان با ترکیبی از رمز عبور، فایل کلید و حساب کاربری ویندوز قفل کرد. با داشتن یک فایل اصلی که در رسانه‌های قابل جابجایی مانند درایو “USB thumb” ذخیره شده است، می‌توان از احراز هویت دو عاملی برای دسترسی امن به رمزهای عبور مهم استفاده کرد.

بزرگترین نقطه ضعف “KeePass” پیچیدگی آن است. به دست آوردن تمام قابلیت‌های پیشرفته ارائه شده توسط این ابزار، به تحقیقات، راه اندازی و نگهداری کامل نیاز دارد. شاید باورتان نشود، اما شما حتی چندین گزینه برای احراز هویت چند عاملی در اختیار دارید. اما برای کارکردن با آن فقط و فقط باید به خودتان اتّکا کنید. گرچه “KeePass” یک راه حل عالی برای علاقه مندان به منبع‌باز رایگان است و حداکثر انعطاف پذیری را داراست، اما مطمئناً کار کردن با آن به آسانی برخی از خدمات مبتنی‌بر فضای ابری و راه‌حل‌های ترکیبی ذکر شده در اینجا نیست.

حقیقت صادقانه این است که “Keeper” دراختیار همه قرار دارد و بهترین ابزار رمزهای عبور موجود به شمار می‌رود. در واقع، برنامه‌های تلفن همراه “Keeper” بیشترین بازبینی و بیشترین استفاده را دارند. (در فروشگاه “Google Play” ، “Keeper” بیش از 10 میلیون نصب دارد، در حالی که نزدیکترین رقیب بعدی تقریباً نیمی از آن را داراست. اپل تعداد نصب را به اشتراک نمی‌گذارد اما “Keeper” نزدیک به 150،000 امتیاز دارد، در حالی که مقام دوم نزدیک به 41،000 است.) آمار‌های استفاده از ابزار مورد نظر قطعا تمام ماجرا نیستند، اما این اختلاف نظر مستحق بازگو کردن است.

ابزار مدیریت رمز ورود “Keeper”

“Keeper” تمامی جنبه‌هایی را که کارشناسان از آن‌ها به عنوان پیش نیازهای اصلی خصوصیات ابزارهای مدیریت گذواژه یاد می‌کنند را بررسی می‌کند؛ جنبه‌هایی از قبیل رمزگذاری روی دستگاه، پشتیبانی جامع از “2FA” از جمله کلیدهای سخت‌افزاری “TOTP” و “U2F” و اشتراک امن. نسخه‌ رایگان “Keeper” به شما رمز عبور و فرم ذخیره نامحدود و دسترسی به یک دستگاه را می‌دهد. نسخه‌ نامحدود “Keeper”  سالانه 34.99 دلار هزینه دارد و به شما امکان دسترسی به دستگاه‌های نامحدود و همچنین اشتراکی امن، دسترسی اضطراری و احراز هویت بیومتریک را در دستگاه‌های پشتیبانی‌شده می‌دهد. پلن مدیریت گذرواژه خانوادگی رمز عبور، حداکثر 5 کاربر را به ازای هزینه‌ای 74.99 دلاری در سال پشتیبانی می‌کند.

“Keeper” همچنین چندین افزونه “Add-on” برای ابزار مدیریت رمز عبور خود ارائه می‌دهد؛ از جمله پیام‌رسان امن، سرویس نظارت بر دارک‌وب و ذخیره‌سازی امن فایل‌ها. هر افزونه با هزینه‌ای بیشتر همراه است، این هزینه می‌تواند مجموعاً؛ سالیانه 72.22 دلار برای هرشخص یا 148.72 دلار برای خانواده‌ها محاسبه شود.

شما دو گزینه برای پلن‌های تجاری در اختیار دارید. هزینه‌های “Keeper”  تجاری برای هر کاربر 45 دلار در سال است و شامل ویژگی‌هایی برای مدیریت تیم، ممیزی‌های امنیتی، اجرای سیاست‌ها و گزارش فعالیت است. هزینه “Keeper” مختص شرکت و سازمان‌ها به ازای هر کاربر 60 دلار در سال است و ویژگی‌هایی از جمله “SSO” مبتنی‌بر “SAML” ، “Active Directory” و “LDAP sync”، تأمین خودکار ایمیل و همچنین یک توسعه‌دهنده‌ “API” را به آن اضافه می‌کند.

می توان به دلیل مجموعه‌ای غنی از ویژگی‌ها، پشتیبانی از طیف گسترده‌ای از سیستم‌عامل‌های تلفن همراه و صدور مجوزهای مستقیم، “LastPass” را جزو محبوب‌ترین ابزارهای مدیریت رمز عبور در این بررسی تلقی کرد؛ بدون اینکه قصد جهت گیری خاصی داشته باشیم! “LastPass” مبتنی‌بر فضای ابری است و از سرویس ابری مخصوص خود برای ذخیره اطلاعات کاربر و همگام‌سازی داده‌ها استفاده می‌کند.

ابزار مدیریت رمز عبور “LastPass”

محبوبیت بسیار زیاد “LastPass” آن را به عنوان هدفی وسوسه‌انگیز برای افراد دارای نیت و مهارت مناسب برای مطابقت با آن تبدیل می‌کند. طی سالیان گذشته “LastPass” به تعداد انگشت‌شماری حوادث امنیتی، از جمله افشا شدن ایمیل‌های کاربر و یادآوری رمزهای عبور را تجربه کرده است. با این وجود مخازن رمزگذاری‌شده‌ کاربران آن به خطر نیفتاده است. یکی دیگر از رویدادهای امنیتی “LastPass” که به خوبی شهرت پیدا کرد، به خاطر آسیب‌پذیری در یکی از افزونه‌های مرورگر آن، رخ داد. ازجمله موارد موفقیت در حفظ حریم خصوصی مشتری می‌توان به مقابله “LastPass” با تلاش‌های دولتی برای به دست آوردن داده‌های کاربران اشاره کرد. “LastPass” اعلام کرد که: “حتی اگر هم بخواهند نمی‌توانند به داده‌های درخواستی (کاربران) دسترسی پیدا کنند”.

در نظر داشتن آسیب پذیری‌ها و سوابق بد، اهمیت بالایی دارد. همه نرم افزارها دارای اشکال هستند و نرم‌افزارهای امنیتی نیز از این قاعده مستثنی نیستند. نکته مهم هنگام انتخابِ اینکه کدام نرم‌افزار استفاده شود، این است که آیا آسیب پذیری‌ها بلافاصله پس از کشف اصلاح می‌شوند یا خیر؟ “LastPass” این آزمون را پشت سر گذاشته است.

“LastPass” یک دسته‌بندی قیمت‌گذاری رایگان و همچنین پولی را برای مصرف‌کنندگان خود ارائه می‌دهد. که هزینه خدمات پولی آن عبارت است از ماهیانه 3 دلار تا پایان سال. پلن “LastPass” برای خانواده‌ها شامل استفاده‌ی شش کاربره با هزینه‌ی 4 دلار ماهیانه است. کاربران نسخه رایگان به بسیاری از اصول و ویژگی‌های اولیه‌ای که شما از یک پلن ویژه (پولی) مبتنی‌بر خدمات ابری انتظار دارید، دسترسی دارند؛ ویژگی‌هایی از قبیل، پلاگین‌هایی برای چندین مرورگر و دسترسی از طریق هر یک از دستگاه‌های شما. نسخه رایگان حتی با استفاده از گزینه‌های مختلف از جمله “LastPass Authenticator” و “Google Authenticator” از “MFA” پشتیبانی می‌شود. “LastPass Authenticator”  نه تنها از احراز هویت استاندارد “TOTP” پشتیبانی می‌کند، بلکه اعلان‌ها را نیز برای سهولت روند احراز هویت ساده‌تر در معرض نمایش قرار می‌دهد(سرویس Push” notification”). کاربران “LastPass” نیز از “Push” بهره‌مند می‌شوند. در حالی که قبلاً پشتیبانی از دستگاه تلفن همراه فقط به مشترکان “Premium” محدود می‌شد، اکنون کاربران “LastPass” می‌توانند با استفاده از سرویس رایگان با برنامه‌های تلفن همراه خود همگام شوند.

کاربران “Premium” می‌توانند اعتبارنامه را با بیش از یک کاربر واحد به اشتراک بگذارند. ویژگی “Shared Family Folder” به یک کاربر اجازه می‌دهد تا با حداکثر پنج کاربر دیگر، از جمله کاربران دارای حساب رایگان، اطلاعات را به اشتراک بگذارد. مشترکان پلن ویژه می‌توانند چندین پوشه مشترک ایجاد کرده و مجوزهای پوشه‌ها را مدیریت کنند، و فقط سطح دسترسی مناسب کاربران مشترک را فراهم کنند.

دو دسته از طرح‌های تجاری در این محصول موجود است. برنامه “Teams” برای 50 کارمند یا تعداد کمتر برای هر کاربر 4 دلار در ماه است. در حالی که برنامه “Enterprise” برای تعداد نامحدودی از کاربران 6 دلار به ازای هر کاربر در هر ماه است.

“LastPass” از اشکال مختلف احراز هویت دو عاملی پشتیبانی می‌کند. قبلاً اشاره شد که هر دو “LastPass Authenticator” و “Google Authenticator” که با حساب‌های رایگان پشتیبانی می‌شوند، یکپارچه‌سازی ساده‌ای با استفاده از یک دستگاه تلفن همراه فراهم می‌کنند. در صورت تلاش برای تأیید اعتبار، می‌توانید برای دریافت اعلان‌های خبری “Push” از “LastPass Authenticator” استفاده کنید، این مورد امکان این امر را فراهم می‌کند تا درخواست احراز هویت را از دستگاه تلفن همراه خود تأیید کنید. حساب‌های “Premium” از “Yubikey”، یک دستگاه احراز هویت سخت افزار “USB” و “Sesame” ، یک ابزار احراز هویت نرم‌افزار که از دستگاه ذخیره‌سازی “USB” اجرا می‌شود و همچنین پشتیبانی از سنسورهای اثر انگشت دسکتاپ در ویندوز، پشتیبانی می‌کنند.

اگر به یک ابزار مدیریت گذرواژه‌ ساده نیاز دارید، نباید خود را با یک حساب کاربری رایگان “LastPass” گمراه کنید. برای به اشتراک‌گذاشتن اعتبار دقیق بیشتر و پشتیبانی از دستگاه تلفن همراه، هر دو پلن ویژه و خانوادگی “LastPass”  از طریق قراردادی سالانه به ازای 3 دلار و 4 دلار در ماه (حداکثر برای شش کاربر) در اختیار شما قرار می‌گیرند.

سایر مدعیان (ابزارها)

SplashID safe

مدتی است که “SplashID Safe” در لیست گزینه‌های مناسب کارشناسان این حوزه قرار دارد، اما پشتیبانی محدود آن از “2FA” ( که ایمیل و پیام کوتاه تنها گزینه‌های آن هستند) توصیه‌ آن از جانب کارشناسان را دشوار می‌کند. “SplashID” حساب‌های رایگان برای کاربرانی که نیازی به همگام سازی ندارند را ارائه می‌دهد، در حالی که “SplashID Pro” چندین دستگاه و پشتیبان‌گیری را فعال می‌کند. “SplashID Pro” می‌تواند با قیمت 1.99 دلار در ماه یا 19.99 دلار در سال باشد و چند آپشن نرم‌افزاری را ارائه می‌دهد که باعث افزایش اهمیت آن می‌شود. این آپشن‌ها عبارتنداز: همگام سازی مبتنی‌بر “WiFi” و امکان علامت‌گذاری ورود فقط به صورت محلی، جلوگیری از انتقال داده‌ها به فضای ابری.

NordPass

“NordPass” ورودی نسبتاً جدیدی در فضای مدیریت رمزهای عبور است و درست از جانب همان اشخاصی که “NordVPN” را توصیه می‌کنند، توصیه می‌شود.”Nord Pass” یک بخش استفاده رایگان ارائه می‌دهد که از ورود و همگام سازی نامحدود در چندین دستگاه پشتیبانی می‌کند. تنها ویژگی آن این است که می‌توانید همزمان فقط از یک دستگاه به طور فعال استفاده کنید. برای به اشتراک گذاری ایمن و استفاده همزمان از چندین دستگاه، به “NordPass Premium” احتیاج دارید که با پرداخت ماهانه معادل 2.49 دلار، این امکان در اختیار شما قرار می‌گیرد.

Buttercup

“Buttercup” یکی دیگر از گزینه‌های “Open Source” است. اکنون نسخه 1.20.5 ، “Buttercup” حداقل از لحاظ رابط کاربری گزینه بهتری نسبت به “KeePass” به‌شمار می‌رود. “Buttercup” به مشتریان خود برای ویندوز، “Mac”، “Linux” ، “Android” و “iOS” ارائه می‌شود که این سرویس با یک سرویس‌گیرنده وب که در حال حاضر در مرحله‌ آلفا از (“Invite-“only) استفاده می‌کند ارائه می‌شود. “Buttercup” مانند دیگر نمونه‌های منبع آزاد خود، از حافظه محلی برای ذخیره‌ی رمز ورود شما استفاده می‌کند، اما از ابزار ذخیره‌سازی فضای ابری مانند “Dropbox” برای همگام‌سازی در میان دستگاه‌ها نیز پشتیبانی می‌کند.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.