Jsou chrániče hesel bezpečné? Seznam všech závažných porušení

Pokud trávíte nějaký čas na internetu (a kdo dnes není?), Máte pravděpodobně mnoho hesel.


Heslo potřebujete vždy, když se přihlásíte na své účty sociálních médií, zkontrolujete zůstatek na bankovním účtu nebo objednáte něco od Amazonu. Pokud patříte do jakéhokoli fóra, provozujete web nebo dokonce jen psáte blog, máte ještě více hesel.

nutnost heslaJe lákavé použít stejné heslo pro každý z těchto webů. Koneckonců, pravděpodobně se budete muset přihlásit k desítkám, ne-li stovkám webových stránek v průběhu běžného roku. Pokud jste měli silné a jedinečné heslo pro každý z těchto webů, jak byste si je mohli všechny pamatovat?

Bohužel, příliš mnoho lidí se snadnou cestou ven. Používají heslo, které je zcela zřejmé, řeknou „Heslo123,“A poté je použít pro všechny své online aktivity. Proč je to hrozný nápad? Protože Pokud se hackerovi podaří získat vaše heslo na jednom účtu, bude mít heslo pro všechny vaše účty.

Možná si nemyslíte, že je to obzvláště velký problém, pokud se některá nešťastná strana dokáže přihlásit do vašeho profilu na Facebooku, i když může dojít ke zmatku, pokud k tomu dojde. Pokud jim však toto heslo umožní přístup k vašim bankovním informacím, číslům vaší kreditní karty, číslu SocialSecurity nebo čemukoli jinému, určitě vám bude záležet.

Proč jsou silná hesla kritická

V posledních letech začalo mnoho webových stránek zavádět požadavky na stále delší a složitější hesla. Je to bolest pro uživatele, aby si přišel s těmito hesly a pamatoval si je, ale existuje pro to dobrý důvod.

silné hesloČím složitější a náhodnější jsou vaše hesla, tím těžší jsou pro hackery k rozpoznání. Nyní si představte, že jste měli desítky těchto hesel, jedno pro každý z webů, které často navštěvujete. Tito hackeři se nedostanou tak daleko, když musí přijít na úplně náhodný řetězec 12 nebo více písmen, čísel a speciálních znaků. Problémy se znásobí pouze použitím jedinečných hesel na každém z vašich online účtů.

Tento typ hesla je rozhodující pro zabezpečení online. Jakmile jeden hacker zjistí vaše příliš jednoduché heslo, může je použít sám nebo ho prodat za velké peníze na černém trhu. Někteří z těchto kupujících jsou neuvěřitelně sofistikovaní. Během několika minut je vaše identita odcizena, váš kreditní rating je ztracen a strávíte roky a spoustu peněz pokusem získat zpět svou pověst.

Podle MIT Technology Review je vytvoření skutečně silného hesla více než použití jednoho velkého písmene, jednoho čísla a jednoho zvláštního znaku. Čím déle si heslo zadáváte a čím více speciálních znaků používá, tím je pravděpodobnější, že hackerům pahýlíte.

Hackeři mají software, který nepřetržitě a neúnavně prochází heslovými „odhady“. Dříve nebo později se mohou na vás připojit. Pokud je však vaše heslo dlouhé, složité a zcela náhodné, pak je pravděpodobné, že hacker půjde hledat mnohem jednodušší kořist, který je hojně k dispozici.

Co je správce hesel?

Problém je v tom, že zapamatování všech těchto neuvěřitelně dlouhých, komplikovaných a jedinečných hesel je herkulovským úkolem. Kdo je může udržovat všechny rovné? Zde přicházejí manažeři hesel.

jak funguje správce heselVětšina správců hesel je navržena tak, aby generovala nespočet silných náhodných hesel pro jednotlivé uživatele. Tato hesla ukládají a poté je obnovují, když navštívíte každý web.

Je také možné, aby tyto služby ukládaly čísla vaší kreditní karty, včetně trojmístného kódu CVV na zadní straně, spolu s PINy a odpověďmi na různé bezpečnostní otázky. Všechna tato data jsou šifrována ve snaze o hackerům z fólie. Mnoho z těchto služeb používá hashování, což v podstatě je zodpovědný za převod obyčejných dat na řetězce čísel nebo znaků předem stanovené délky.

Kdykoli budete chtít navštívit web, kde budete muset použít jedno ze svých hesel, přihlásíte se do „trezoru“ dat, která jste dříve uložili u správce hesel. Přístup je poskytován prostřednictvím jediného hesla pro službu správce.

Zní to docela pohodlně, ale je důležité, abyste nevěnovali příliš velkou důvěru správcům hesel. Tyto služby nejsou kouzelnou kulkou, která vás ochrání před jakýmkoli poškozením. Je stále rozumné používat VPN jako NordVPN pro všechny prohlížení, dvoufaktorové ověřování pro některé velmi cenné účty a pro používání pouze zařízení, kterým důvěřujete.

Ve skutečnosti by bylo moudré se vůbec vzdát používání správce hesel.

Proč mohou správci hesel být riskantní

Správci hesel ukládají všechna vaše citlivá data lokálně nebo v cloudu. Proto jsou vaše hesla uložena v úložišti na úložné jednotce nebo počítači u vás doma nebo jsou uložena na dálku na serverech správce hesel..

Velcí hráči v oboru jako Dashlane1Password LastPass pomocí jejich serverů ve výchozím nastavení ukládají vaše soukromé informace. Díky tomu je pro vás pohodlnější synchronizovat všechna uložená data, která máte, se všemi svými zařízeními.

hackování heslemNyní tyto společnosti dělají mnoho příslibů o svých bezpečnostních opatřeních, ale to neuspokojuje všechny spotřebitele. Jen si představte, jestli všechna ta neuvěřitelně cenná data na tomto jediném serveru byla napadena hackerem. Protože jste vložili všechna vejce do jednoho košíku, ztratili jste kontrolu nad online životem.

Skutečností je, že jen málo hackerů dokáže odolat pokušení překonat pokročilé bezpečnostní systémy. Přemýšlejte o všech neocenitelných datech, která mohli sbírat jediným hackem. Konsolidace někdy není moudrým manévrem.

Pokud se vám opravdu nelíbí myšlenka cloudového úložiště pro všechna vaše hesla, možná byste se místo toho mohli rozhodnout pro místní úložiště. Dashlane umožňuje to, když se zákazníci rozhodnou zakázat funkci „Sync“.

1Password umožňuje zákazníkům zakoupit si softwarovou licenci, která jim dává kontrolu nad tím, kde je jejich úschovna uložena. KeePass umožňuje ukládat vaše data do úschovny šifrované na vašem vlastním zařízení.

Než však na tyto možnosti skočíte oběma nohama, zeptejte se sami sebe, jak jsou vaše vlastní elektronická bezpečnostní opatření bezpečná? Je možné, že by se jim mohl hacker dostat, aby z vašeho zařízení odebral všechna vaše hesla?

Bezpečnostní porušení, o kterých potřebujete vědět

Uvedená porušení zabezpečení nejsou teoretická. Mnoho z nich se stalo. Než se rozhodnete, zda použití správce hesel pro vás má smysl, vezměte tato porušení v úvahu.

Porušení v OneLoginu

Správce hesel OneLogin v červnu 2017 odhalil, že utrpěl hack. Široce hlášená událost ovlivnili všechny zákazníky společnosti, jejichž data byla uložena v americkém datovém centru.

V tiskové zprávě OneLogin napsal, že: „Od té doby jsme zablokovali tento neoprávněný přístup, nahlásili záležitost donucovacím orgánům a spolupracujeme s nezávislou bezpečnostní společností, abychom určili, jak k neoprávněnému přístupu došlo.“

LastPass hlásí porušení

Na LastPassu se objevil další poněkud neslavný hacker hesel. Toto bylo hlášeno v dubnu 2017 a společnost jej popsala jako „jedinečný a sofistikovaný“ problém. Důsledkem je, že LastPass používá takové pokročilé šifrovací techniky a bezpečnostní opatření, že situace je vše - ale nemyslitelná a nemohla by se znovu objevit..

Tento problém zjistil Tavis Ormandy, výzkumný pracovník v oblasti bezpečnosti pro projekt Google Zero. Ormandy popsal tento problém jako „architektonický“ v přírodě a řekl, že to bude vyžadovat značný čas na vyřešení.

Zatímco LastPass pracoval na opravě této chyby zabezpečení, radí klientům, aby je používali dvoufaktorové ověřování a vyhnout se všem podezřelým odkazům.

Toto však není jediný výskyt, který LastPass utrpěl. V červnu 2015 společnost oznámila, že jejich servery zažily narušení. LastPass oznámil, že žádná ukrytá hesla nebyla odcizena a že hackeři nevzali e-mailové adresy, připomenutí hesla nebo ověřovací hash.

KeePass dostane hacknut - druh

Dostupnost nástroje přezdívaného „KeeFarce“ v roce 2015 způsobila, že by pro KeePass vypadaly hloupě. Přestože byl tento hackerský nástroj zaměřen na KeePass, je možné, že nástroj lze upravit tak, aby zacílil na libovolného správce hesel.

Tento nástroj byl v podstatě navržen tak, aby zacílil na počítače uživatelů, kteří obvykle nemají robustní funkce zabezpečení, které používají správci hesel. Tento nástroj byl schopen dešifrovat všechna uživatelská jména a hesla, která uživatel uložil pomocí KeePass. Všechna data byla poté zapsána do souboru, ke kterému měl hacker přístup.

Tento nástroj byl navržen tak, aby upozorňoval na problém, který mají všichni správci hesel. Napadený počítač je zranitelný počítač. Bez ohledu na to, jak dobrý je správce hesel, když je počítač uživatele infikován virem nebo jiným problémem, ochrana nabízená správcem musí být ohrožena. Pokud máte naději, že budete mít prospěch ze správce hesel, musíte posílit vlastní zabezpečení.

Strážce chytí chybu

detekce chybV květnu 2018 Keeper oznámil, že opravil chybu, kterou identifikoval výzkumný pracovník v oblasti bezpečnosti. Vědecký pracovník to řekl Tato chyba mohla umožnit neoprávněným osobám přístup k soukromým datům jiného uživatele.

Chyba byla odhalena prostřednictvím seznamu informací pro veřejnou bezpečnost. Seznam v podstatě řekl, že každý jednotlivec, který ovládal firemní API server, by mohl teoreticky přistupovat k dešifrovacímu klíči do úschovny hesel patřících každému uživateli. Zdroj problému byl obsažen v Keeper Commander, skriptu využívaném Pythonem, který umožňuje uživatelům střídat hesla.

Keeperova chyba byla od té doby odstraněna.

Zjištění TeamSIK

V únoru 2017 vědci pracující ve Fraunhoferově institutu pro zabezpečené informační technologie zveřejnili svá zjištění po přezkoumání devíti nejčastěji používaných správců hesel. Výsledky byly něco jiného než uklidňující.

logo týmu sikVědci, známí jako TeamSIK, označili svá zjištění za „velmi znepokojující“. Dokonce tvrdili, že tyto společnosti „zneužívají důvěru uživatelů a vystavují je vysokým rizikům“.

Správci hesel, kteří byli zahrnuti do recenze, byli 1 hesel, Avast Hesla, Skrýt obrázky Uchovávejte v bezpečném úložišti, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager a My Passwords.

Každý manažer v recenzi měl alespoň jednu bezpečnostní chybu. Vědci informovali každou ze svých společností o svých zjištěních a problémy s motem byly rychle vyřešeny. Přesto se nezdá, že by si každá společnost měla tyto problémy uvědomit a napravit je, aniž by potřebovala vnější zdroj, aby je přiměla k akci?

Následně, uživatelé byli vyzváni, aby zajistili, že byli opraveni a používali nejnovější verze softwaru správce hesel aby mohli plně využívat výhod upgradovaných bezpečnostních opatření.

Níže jsou uvedeny některé konkrétní podrobnosti / zprávy. Pro konkrétní podrobnosti otevřete každou zprávu.

MyPasswords 

  • Přečtěte si soukromá data aplikace Moje hesla
  • Hlavní heslo dešifrování mých hesel App
  • Zdarma prémiové funkce odemkněte pro moje hesla

Informaticore Password Manager 

  • Nezabezpečené úložiště pověření ve Správci hesel Mirsoft

LastPass Password Manager 

  • Pevně ​​zakódovaný hlavní klíč ve Správci hesel LastPass
  • Ochrana osobních údajů, únik dat ve vyhledávání prohlížeče LastPass
  • Přečtěte si soukromé datum (uložené hlavní heslo) z LastPass Password Manager

Keeper Passwort-Manager 

  • Obejít bezpečnostní otázku správce hesel
  • Vkládání dat správce správce hesel bez hlavního hesla

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Nezabezpečené úložiště pověření

Dashlane Password Manager 

  • Čtení soukromých dat ze složky aplikace ve Správci hesel Dashlane
  • Únik informací o vyhledávání Google v prohlížeči Dashlane Password Manager
  • Zbytkový útok extrahující hlavní heslo ze správce hesel Dashlane
  • Únik hesla poddomény v interním prohlížeči hesel Dashlane

Skrýt obrázky Uchovávejte trezor 

  • SKeepsafe Plaintext Password Storage

Avast Hesla 

  • Krádež hesla aplikace z aplikace Avast Password Manager
  • Krádež hesel od Spoofed webových stránek od Avast Password Manager
  • Nezabezpečené výchozí adresy URL pro oblíbené weby ve Správci hesel Avast
  • Únik hesel subdomény ve Správci hesel Avast
  • Implementace přerušené zabezpečené komunikace ve Správci hesel Avast
  • Interní testovací adresy URL ve Správci hesel Avast

1Password - Password Manager 

  • Únik hesla poddomény v interním prohlížeči 1Password
  • Https downgrade na http URL ve výchozím nastavení v interním prohlížeči 1Password
  • Názvy a adresy URL nejsou šifrovány v databázi 1 hesel
  • Čtení soukromých dat ze složky aplikací ve Správci 1 hesel
  • Problém s ochranou osobních údajů, informace unikly prodejci 1Password Manager

Typy narušení bezpečnosti

Skutečností je, že všichni hlavní správci hesel narazili na závažná porušení zabezpečení současně. I když opravují problémy, když jsou odhaleny, zdá se, že nová schémata jsou vždy na nohou. Toto jsou některá z bezpečnostních porušení, ke kterým jsou správci hesel zranitelní.

Phishing - Většina lidí slyšela o programech phishingu. Zahrnují e-mail nebo textovou zprávu, která je údajně zaslána renomovanou entitou nebo jednotlivcem. Cílem je získat nic netušícího oběti, aby odhalila citlivá data, jako jsou čísla bankovních účtů, čísla kreditních karet a čísla sociálního zabezpečení, za účelem podvádění příjemce.

tok útoku phishingu

Phishing se používá k podvádění zákazníků se správcem hesel. V tomto schématu jsou zákazníci vyzváni k přihlášení na web z důvodu vypršení relace. Když to udělají, matoucím phishingovým webem je vlastně místo, kde vkládají svá soukromá data. Uživatel právě úmyslně nabídl hackerovi své tajné heslo.

Padělání žádosti o více stránek - Tento program se často označuje jako CSRF a podvádí lidi k tomu, aby podnikli neúmyslné akce online. Používá se u uživatelů, kteří jsou ověřeni ve webové aplikaci. Hrozivá strana často pošle e-mailem odkaz, aby oběť přiměla k převodu finančních prostředků nebo k jiným potenciálně škodlivým činnostem.

Cross-Site Scripting - Známý pod názvem XSS, tento útok zahrnuje zavedení škodlivého kódu na jinak známé a důvěryhodné weby.

Útoky hrubou silou - Toto narušení zabezpečení zahrnuje automatizovaný software, který se snaží různé kombinace, dokud nenarazí na datový zlatý důl, jako je server správce hesel.

autofil hesloZranitelnost funkce automatického vyplňování - Používání funkce automatického vyplňování ve webovém prohlížeči nebo správci hesel je lákavé, protože se zdá, že vše je mnohem snazší. Ve skutečnosti jen usnadňujete věci svým kybernetickým zločincům po celém světě. Využívají ho dokonce i inzerenti.

Ukládání hlavního hesla do prostého textu - Za předpokladu, že správci hesel nejsou nutně nejlepšími strážci vašich citlivých dat, jeden výzkumný projekt odhalil skutečnost, že někteří správci hesel ukládali hlavní hesla zákazníka v prostém textu bez jakéhokoli šifrování.

Kód aplikace obsahující šifrovací klíče - Vlastní kód aplikace v podstatě odhaluje šifrovací klíče uvnitř samotného kódu. Je-li hacker odhalen, je to polní den.

Schránka do schránky nebo únos - Toto porušení umožňuje zločincům získat pověření, která byla zkopírována do paměti počítače, takže je lze vložit do rozhraní pro zadání hesla.

Vestavěný webový prohlížeč nedostatky - Někteří manažeři hesel jsou také prohlížeče, jejichž použití má zajistit, aby zákazníci byli online bezpečnější. Avšak s nedokonalým správcem hesel - kterým jsou všichni - je možnost nedostatků znásobena.

Útok reziduí dat - Uživatelé, kteří ze svých zařízení odstraní aplikace, nemusí nutně odstranit všechny stopy. Někteří hackeři zaútočí na „zbytek“, který zůstává pozadu. Pouze opravdu spolehlivá bezpečnostní opatření skutečně zabraňují zločincům.

počítačové útoky zasvěcených osobZasvěcené hackování - Nepředpokládejte, že jste v bezpečí jen proto, že používáte firemní počítač. Některé hacky jsou vnitřní prací, kterou spáchá kolega. To platí stejně v kancelářích správce hesel. Jak víte, že můžete důvěřovat zaměstnancům vašeho poskytovatele?

Informační úniky prostřednictvím výměnné paměti - Většina počítačů má hlavní paměť a sekundární úložiště. Každý proces, který počítač provádí, získá tolik paměti, kolik vyžaduje. Aktivní proces je uložen v hlavní paměti. Dormant procesy jsou vytlačeny do sekundárního úložiště. Když určitý proces začne spotřebovávat spoustu paměti, více položek se dostane do sekundárního úložiště. Výkon systému se zhoršuje a ukončení procesu úniku nemusí znamenat, že procesy, které byly vytlačeny do sekundárního úložiště, se okamžitě vymění. Cokoliv, co bylo zadáno externě do sekundárního úložiště, může být vůči útoku náchylné.

Co drží budoucnost?

Jak bylo uvedeno, devět nejznámějších správců hesel od té doby vyřešilo všechny tyto problémy. Jaké další problémy však mohou číhat? Některé zranitelnosti, které TeamSIK odhalil, by měly být zcela zřejmé, ale žádná z těchto společností o nich nevěděla. Odhalení těchto problémů a jejich uvedení na svět trvalo nezávislou třetí stranou. Opravdu důvěřujete správci hesel svými nejcitlivějšími údaji?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me