Czy zabezpieczenia hasłem są bezpieczne? Lista każdego poważnego naruszenia

Jeśli spędzasz jakiś czas w Internecie (a kto tego nie robi?), Prawdopodobnie masz dużo haseł.


Potrzebujesz hasła za każdym razem, gdy logujesz się na swoje konta w mediach społecznościowych, sprawdzasz saldo konta bankowego lub zamawiasz coś w Amazon. Jeśli należysz do jakiegokolwiek forum, prowadzisz stronę internetową, a nawet piszesz blog, masz jeszcze więcej haseł.

konieczność hasłaKuszące jest użycie tego samego hasła do każdej z tych witryn. W końcu prawdopodobnie musisz zalogować się do kilkudziesięciu, jeśli nie setek stron internetowych w ciągu normalnego roku. Jeśli masz silne, unikalne hasło do każdej z tych stron, jak mogłeś je wszystkie zapamiętać?

Niestety zbyt wiele osób wybiera łatwą drogę wyjścia. Używają dość oczywistego hasła, powiedz „Hasło123,”, A następnie wykorzystaj go do wszystkich swoich działań online. Dlaczego to taki okropny pomysł? Bo jeśli hakerowi uda się uzyskać hasło do jednego konta, oznacza to, że ma ono hasło do wszystkich kont.

Może nie uważasz, że jest to szczególnie ważna sprawa, jeśli jakaś nikczemna impreza jest w stanie zalogować się do twojego profilu na Facebooku, choć może to spowodować spustoszenie, jeśli to nastąpi. Jeśli jednak hasło to zapewni im dostęp do informacji bankowych, numerów kart kredytowych, numeru ubezpieczenia społecznego lub czegokolwiek innego, na pewno będzie to dla ciebie ważne.

Dlaczego silne hasła są krytyczne

W ostatnich latach wiele witryn zaczęło wprowadzać wymagania dotyczące coraz dłuższych i bardziej skomplikowanych haseł. Wymyślenie i zapamiętanie tych haseł nie jest łatwe, ale jest ku temu dobry powód.

silne hasłoIm bardziej złożone i losowe są twoje hasła, tym trudniej je rozpoznać. Teraz wyobraź sobie, że masz dziesiątki tych haseł, po jednym dla każdej witryny, którą często odwiedzasz. Ci hakerzy nie dojdą tak daleko, gdy będą musieli wymyślić całkowicie losowy ciąg 12 lub więcej liter, cyfr i znaków specjalnych. Problemy mnoży się tylko przy użyciu unikalnych haseł na każdym koncie online.

Ten typ hasła ma kluczowe znaczenie dla bezpieczeństwa online. Gdy jeden haker odkryje twoje zbyt proste hasło, może użyć go samodzielnie lub sprzedać za duże pieniądze na czarnym rynku. Niektórzy z tych kupujących są niezwykle wyrafinowani. W ciągu kilku minut twoja tożsamość zostaje skradziona, twoja zdolność kredytowa jest zniszczona i spędzisz lata i mnóstwo pieniędzy, próbując odzyskać swoją reputację.

Według MIT Technology Review, stworzenie naprawdę silnego hasła to więcej niż jedna litera, jedna cyfra i jeden znak specjalny. Im dłużej tworzysz hasło i im więcej znaków specjalnych używa, tym bardziej prawdopodobne jest, że utkniesz hakerów.

Hakerzy mają oprogramowanie, które nieustannie i niestrudzenie przepuszcza „domysły” haseł. Wcześniej czy później mogą zaczepić się o twoje. Jeśli jednak twoje hasło jest długie, złożone i całkowicie losowe, to są duże szanse, że haker będzie szukał łatwiejszej ofiary, który jest dostępny w obfitości.

Co to jest Menedżer haseł?

Problem polega na tym, że zapamiętanie tych niezwykle długich, skomplikowanych i unikalnych haseł to zadanie herkulesowe. Kto może je wszystkie zachować prosto? Tam właśnie wchodzą menedżerowie haseł.

jak działa menedżer hasełWiększość menedżerów haseł zaprojektowano tak, aby generowały niezliczone silne, losowe hasła dla poszczególnych użytkowników. Przechowują te hasła, a następnie odzyskują je podczas odwiedzania każdej witryny.

Usługi te mogą również przechowywać numery kart kredytowych, w tym trzycyfrowy kod CVV z tyłu, wraz z kodami PIN i odpowiedziami na różne pytania zabezpieczające. Wszystkie te dane są szyfrowane w celu udaremnienia hakerów. Wiele z tych usług korzysta z funkcji skrótu, co w zasadzie jest odpowiedzialny za konwersję zwykłych danych na ciągi liczb lub znaków o określonej długości.

Za każdym razem, gdy chcesz odwiedzić stronę internetową, w której będziesz musiał użyć jednego ze swoich haseł, logujesz się do „przechowalni” danych, które wcześniej zapisałeś w menedżerze haseł. Dostęp jest przyznawany za pomocą jednego hasła do usługi menedżera.

Brzmi to całkiem wygodnie, ale bardzo ważne jest, aby nie ufać menedżerom haseł zbyt mocno. Usługi te nie są magiczną kulą, która ochroni cię przed wszelką krzywdą. Nadal mądrze jest korzystać z VPN-a NordVPN dla wszystkich przeglądania, uwierzytelnianie dwuskładnikowe dla niektórych niezwykle cennych kont i używanie tylko zaufanych urządzeń.

W rzeczywistości możesz rozsądnie zrezygnować z używania menedżera haseł.

Dlaczego menedżerowie haseł mogą być ryzykowni

Menedżerowie haseł przechowują wszystkie poufne dane lokalnie lub w chmurze. W związku z tym hasła znajdują się w przechowalni na dysku lub komputerze w domu lub są przechowywane zdalnie na serwerach menedżera haseł.

Znani gracze w branży lubić Dashlane1 Hasło LastPass domyślnie używają swoich serwerów do przechowywania twoich prywatnych informacji. Ułatwia to synchronizację przechowywanych danych ze wszystkimi urządzeniami.

hakowanie hasłaTeraz firmy te składają wiele obietnic dotyczących środków bezpieczeństwa, ale nie zapewnia to wszystkim konsumentom wygody. Wyobraź sobie, że włamanie naraziło wszystkie te niezwykle cenne dane na tym jednym serwerze. Ponieważ umieściłeś wszystkie jajka w jednym koszyku, właśnie straciłeś kontrolę nad swoim życiem online.

W rzeczywistości niewielu hakerów jest w stanie oprzeć się pokusie ominięcia zaawansowanych systemów bezpieczeństwa. Pomyśl o wszystkich bezcennych danych, które mogliby zebrać jednym hakiem. Czasami konsolidacja nie jest mądrym manewrem.

Jeśli naprawdę nie podoba ci się myśl o przechowywaniu w chmurze dla wszystkich swoich haseł, być może możesz zamiast tego wybrać pamięć lokalną. Dashlane umożliwia to, gdy klienci zdecydują się wyłączyć funkcję „Synchronizuj”.

1Password pozwala klientom kupić licencję na oprogramowanie, która daje im kontrolę nad tym, gdzie przechowywana jest przechowalnia. KeePass umożliwia przechowywanie danych w przechowalni zaszyfrowanej na Twoim urządzeniu.

Zanim jednak wskoczysz obiema stopami na te opcje, zadaj sobie pytanie, jak bezpieczne są twoje własne elektroniczne środki bezpieczeństwa? Czy to możliwe, że haker przejdzie przez nie, aby pobrać wszystkie hasła z własnego urządzenia?

Naruszenia bezpieczeństwa, o których musisz wiedzieć

Wymienione naruszenia bezpieczeństwa nie są teoretyczne. Wiele się wydarzyło. Zanim zdecydujesz, czy użycie menedżera haseł ma dla Ciebie sens, weź pod uwagę te naruszenia.

Naruszenie w OneLogin

Menedżer haseł OneLogin ujawnił w czerwcu 2017 r., Że ucierpiał. Powszechnie zgłaszany incydent wpłynęło na wszystkich klientów firmy, których dane były przechowywane w centrum danych w USA.

W komunikacie prasowym OneLogin napisał: „Od tego czasu zablokowaliśmy ten nieautoryzowany dostęp, zgłosiliśmy sprawę organom ścigania i współpracujemy z niezależną firmą ochroniarską, aby ustalić, w jaki sposób doszło do nieuprawnionego dostępu”.

LastPass zgłasza naruszenie

Kolejny dość niesławny hack menedżera haseł miał miejsce w LastPass. Zgłoszono to w kwietniu 2017 r., A firma określiła to jako „wyjątkowy i bardzo wyrafinowany” problem. Oznacza to, że LastPass stosuje tak zaawansowane techniki szyfrowania i środki bezpieczeństwa, że ​​sytuacja jest prawie nie do pomyślenia i nie może się powtórzyć.

Problem został zidentyfikowany przez Tavis Ormandy, badacza bezpieczeństwa dla Google Project Zero. Ormandy opisał tę kwestię jako „architektoniczną” z natury, mówiąc dalej, że zajęłoby to sporo czasu.

Chociaż LastPass pracował nad usunięciem luki, doradził klientom, aby z niej skorzystali uwierzytelnianie dwuskładnikowe i aby uniknąć wszystkich podejrzanych linków.

Nie jest to jednak jedyne zjawisko, które ucierpiało w LastPass. W czerwcu 2015 r. Firma ogłosiła, że ​​doszło do włamania na ich serwery. LastPass poinformował, że żadne przechowywane hasła nie zostały skradzione i że hakerzy nie przyjmowali adresów e-mail, przypomnień o hasłach ani skrótów uwierzytelniających.

KeePass zostaje zhakowany - w pewnym sensie

Dostępność narzędzia o nazwie „KeeFarce” w 2015 r. Sprawiła, że ​​KeePass wyglądał groźnie. Chociaż to narzędzie hakerów było skierowane do KeePass, możliwe jest zmodyfikowanie tego narzędzia w celu kierowania do dowolnego menedżera haseł.

Zasadniczo to narzędzie zostało zaprojektowane z myślą o komputerach użytkowników, które na ogół nie mają niezawodnych funkcji bezpieczeństwa używanych przez menedżerów haseł. Narzędzie było w stanie odszyfrować wszystkie nazwy użytkowników i hasła przechowywane przez użytkownika w KeePass. Wszystkie dane zostały następnie zapisane w pliku, do którego haker mógł uzyskać dostęp.

To narzędzie zostało zaprojektowane w celu podkreślenia problemu występującego we wszystkich menedżerach haseł. Zainfekowany komputer jest podatny na ataki. Bez względu na to, jak dobry jest menedżer haseł, gdy komputer użytkownika jest zainfekowany wirusem lub innym problemem, ochrona oferowana przez menedżera musi zostać naruszona. Musisz wzmocnić własne bezpieczeństwo, jeśli chcesz mieć nadzieję na skorzystanie z menedżera haseł.

Keeper łapie błąd

wykrywanie błędówW maju 2018 roku Keeper ogłosił, że naprawił błąd, który został zidentyfikowany przez badacza bezpieczeństwa. Badacz to powiedział błąd mógł umożliwić nieupoważnionym osobom dostęp do prywatnych danych należących do innego użytkownika.

Błąd został ujawniony za pośrednictwem listy ujawnień dotyczących bezpieczeństwa publicznego. Zasadniczo z wykazu wynika, że ​​każda osoba, która kontrolowała firmowy serwer API, może teoretycznie uzyskać dostęp do klucza deszyfrującego do przechowalni haseł należących do dowolnego użytkownika. Źródło problemu zostało zawarte w Keeper Commander, skrypcie obsługiwanym przez Python, który umożliwia użytkownikom obracanie haseł.

Błąd opiekuna został już wyeliminowany.

Ustalenia TeamSIK

W lutym 2017 r. Naukowcy pracujący w Fraunhofer Institute for Secure Information Technology opublikowali swoje wyniki po dokonaniu przeglądu dziewięciu najczęściej używanych menedżerów haseł. Rezultaty nie były zbyt uspokajające.

logo zespołu sikBadacze, zwani TeamSIK, nazwali swoje odkrycia „wyjątkowo niepokojącymi”. Zapewnili nawet, że firmy te „nadużywają zaufania użytkowników i narażają je na wysokie ryzyko”.

Menedżerowie haseł, którzy zostali objęci przeglądem, to 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager i My Passwords.

Każdy menedżer w recenzji miał co najmniej jedną lukę w zabezpieczeniach. Badacze poinformowali każdą z firm o swoich odkryciach i szybko rozwiązano problemy mot. Mimo to nie wydaje się, że każda firma powinna była zdawać sobie sprawę i rozwiązać te problemy bez potrzeby korzystania z zewnętrznego źródła, aby nakłonić ich do podjęcia działań?

W następstwie, zachęcano użytkowników do upewnienia się, że zostały załatane i korzystają z najnowszych wersji oprogramowania do zarządzania hasłami dzięki czemu mogli w pełni korzystać z ulepszonych środków bezpieczeństwa.

Poniżej znajdują się niektóre szczegółowe informacje / raporty. Aby uzyskać szczegółowe informacje, otwórz każdy raport.

MyPasswords 

  • Przeczytaj Prywatne dane aplikacji My Passwords
  • Odszyfrowanie hasła głównego aplikacji My Passwords
  • Darmowe funkcje premium Unlock dla moich haseł

Menedżer haseł Informaticore 

  • Niebezpieczne przechowywanie poświadczeń w Mirsoft Password Manager

Menedżer haseł LastPass 

  • Zaszyfrowany klucz główny w LastPass Password Manager
  • Prywatność, wyciek danych w wyszukiwarce LastPass
  • Odczytaj datę prywatną (zapisane hasło główne) z LastPass Password Manager

Keeper Passwort-Manager 

  • Keeper Password Manager Obejście pytania zabezpieczającego
  • Keeper Password Manager Wstrzyknięcie danych bez hasła głównego

Menedżer haseł F-Secure KEY Password 

  • F-Secure KEY Password Manager Niebezpieczne przechowywanie poświadczeń

Dashlane Password Manager 

  • Czytaj prywatne dane z folderu aplikacji w Dashlane Password Manager
  • Wyciek informacji z wyszukiwarki Google w przeglądarce Dashlane Password Manager
  • Wyodrębnianie ataku Wyodrębnianie hasła głównego z Dashlane Password Manager
  • Wyciek hasła do subdomeny w wewnętrznej przeglądarce Dashlane Password Manager

Ukryj zdjęcia Zachowaj bezpieczny sejf 

  • SKeepsafe Przechowywanie hasła w postaci zwykłego tekstu

Hasła Avast 

  • Kradzież haseł do aplikacji z Avast Password Manager
  • Kradzież hasła przez sfałszowaną stronę internetową z Avast Password Manager
  • Niebezpieczne domyślne adresy URL popularnych witryn w programie Avast Password Manager
  • Wyciek hasła do subdomeny w programie Avast Password Manager
  • Uszkodzona implementacja bezpiecznej komunikacji w Avast Password Manager
  • Testowanie adresów URL w Avast Password Manager

1Password - Menedżer haseł 

  • Wyciek hasła do subdomeny w wewnętrznej przeglądarce 1Password
  • Https downgrade do http URL domyślnie w 1Password Internal Browser
  • Tytuły i adresy URL niezaszyfrowane w bazie danych 1Password
  • Czytaj prywatne dane z folderu aplikacji w 1Password Manager
  • Kwestia prywatności, informacje wyciekły do ​​dostawcy 1Password Manager

Rodzaje naruszeń bezpieczeństwa

W rzeczywistości wszyscy główni menedżerowie haseł mieli kiedyś poważne naruszenia bezpieczeństwa. Nawet jeśli naprawią problemy, gdy zostaną odkryte, wydaje się, że nowe programy są zawsze w fazie wdrażania. Oto niektóre z naruszeń bezpieczeństwa, na które narażeni są menedżerowie haseł.

Wyłudzanie informacji - Większość ludzi słyszała o programach phishingowych. Dotyczą one wiadomości e-mail lub SMS-a, które rzekomo są wysyłane przez renomowany podmiot lub osobę. Celem jest skłonienie niczego niepodejrzewającej ofiary do ujawnienia poufnych danych, takich jak numery kont bankowych, numery kart kredytowych i numery ubezpieczenia społecznego w celu oszukania odbiorcy.

przepływ ataków phishingowych

Phishing został wykorzystany do oszukania klientów zarządzających hasłami. W tym schemacie klienci są proszeni o zalogowanie się do witryny z powodu wygasłej sesji. Kiedy to robią, myląco podobna strona phishingowa jest tam, gdzie wprowadzają swoje prywatne dane. Użytkownik właśnie dobrowolnie podał swoje hakerów swoje tajne hasło.

Fałszowanie żądań w różnych witrynach - Często nazywany CSRF, ten program nakłania ludzi do podejmowania niezamierzonych działań w Internecie. Jest stosowany w przypadku użytkowników uwierzytelnionych w aplikacji internetowej. Nikczemna strona często wysyła link e-mailem, aby skłonić ofiarę do przekazania środków lub podjęcia innych potencjalnie szkodliwych działań.

Skrypty między witrynami - Atak ten, znany jako XSS, polega na wprowadzeniu złośliwego kodu do witryn internetowych znanych i zaufanych.

Ataki Brute-Force - To naruszenie bezpieczeństwa obejmuje zautomatyzowane oprogramowanie, które próbuje różnych kombinacji, aż trafi do kopalni złota, na przykład na serwer menedżera haseł.

hasło autofilmuLuka w zabezpieczeniach funkcji automatycznego wypełniania - Korzystanie z funkcji automatycznego wypełniania w przeglądarce internetowej lub menedżerze haseł jest kuszące, ponieważ sprawia, że ​​wszystko jest o wiele łatwiejsze. W rzeczywistości ułatwiasz cyberprzestępcom na całym świecie. Jest nawet używany przez reklamodawców.

Przechowywanie hasła głównego w postaci zwykłego tekstu - Udowodniając, że menedżerowie haseł niekoniecznie są najlepszymi strażnikami twoich wrażliwych danych, jeden projekt badawczy ujawnił fakt, że niektórzy menedżerowie haseł przechowują główne hasła klientów w postaci zwykłego tekstu bez żadnego szyfrowania.

Kod aplikacji zawierający klucze szyfrujące - Zasadniczo własny kod aplikacji ujawnia klucze szyfrowania w samym kodzie. Po wykryciu tej luki hakerzy są polem dnia.

Schowek wąchania lub porwania - To naruszenie umożliwia przestępcom przechwycenie danych uwierzytelniających skopiowanych do pamięci komputera, aby można je było wkleić w interfejsie do wprowadzania hasła.

Wbudowane wady przeglądarki internetowej - Niektóre menedżery haseł to także przeglądarki, których użycie ma zapewnić klientom bezpieczeństwo w Internecie. Jednak z niedoskonałym menedżerem haseł - którym są wszyscy, istnieje możliwość pomyłek.

Atak pozostałości danych - Użytkownicy, którzy usuwają aplikacje ze swoich urządzeń, niekoniecznie usuwają wszystkie ich ślady. Niektórzy hakerzy atakują „pozostałości”, które pozostają w tyle. Tylko naprawdę solidne środki bezpieczeństwa faktycznie powstrzymują przestępców.

cyberataki osób z zewnątrzHakowanie poufnych informacji - Nie zakładaj, że jesteś bezpieczny tylko dlatego, że używasz komputera firmowego. Niektóre hacki są pracą wewnętrzną wykonywaną przez kolegę. Tak samo jest w biurach menedżerów haseł. Skąd wiesz, że możesz zaufać pracownikom swojego dostawcy?

Wycieki informacji przez pamięć wymiany - Większość komputerów ma pamięć główną i pamięć dodatkową. Każdy proces wykonywany przez komputer otrzymuje tyle pamięci, ile prosi. Aktywny proces jest przechowywany w pamięci głównej. Uśpione procesy są wypychane do pamięci dodatkowej. Kiedy konkretny proces zaczyna pochłaniać mnóstwo pamięci, kolejne przedmioty są wypychane do pamięci dodatkowej. Wydajność systemu pogarsza się, a zakończenie nieszczelnego procesu może nie oznaczać, że procesy wypchnięte do pamięci dodatkowej zostaną natychmiast zamienione. Wszystko, co zostało przekazane do magazynu dodatkowego, może być narażone na atak.

Co przyniesie przyszłość?

Jak wspomniano, dziewięciu najbardziej znanych menedżerów haseł rozwiązało wszystkie te problemy. Jakie jednak inne problemy mogą się czaić? Niektóre luki wykryte przez TeamSIK powinny być dość oczywiste, ale żadna z tych firm nie była ich świadoma. Niezależna strona trzecia zajęła się odkryciem tych problemów i ujawnieniem ich. Czy naprawdę możesz zaufać menedżerowi haseł z najbardziej wrażliwymi danymi??

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me