Ali so zaščitniki gesla varni? Seznam vsake večje kršitve

Če preživite čas v internetu (in kdo tega ni?), Imate verjetno veliko gesla.


Vsakokrat, ko se prijavite v svoje račune v družbenih medijih, potrebujete geslo, preverite stanje na bančnem računu ali naročite nekaj od Amazona. Če spadate v kateri koli forum, zaženete spletno mesto ali celo samo napišete blog, potem imate še več gesel.

geslo nujnostUporabiti bi bilo isto geslo za vsako od teh spletnih mest. Konec koncev se boste verjetno morali v običajnem letu prijaviti na desetine, če že ne na stotine spletnih mest. Če ste imeli močno, edinstveno geslo za vsako od teh spletnih strani, kako bi si jih sploh lahko zapomnil?

Na žalost se preveč ljudi odpravi na enostaven način. Uporabljajo geslo, ki je dokaj očitno, recimo "Geslo123,Na primer, nato pa ga uporabljajo za vse svoje spletne dejavnosti. Zakaj je to tako grozna ideja? Ker če hekerju uspe pridobiti vaše geslo celo na enem računu, ima to geslo za vse vaše račune.

Mogoče vam ni vseeno, da gre za posebno veliko stvar, če se neka zlonamerna stranka lahko prijavi v svoj Facebook profil, čeprav lahko to stori, če se to zgodi. Če pa vam geslo omogoči dostop do vaših bančnih podatkov, številk vaših kreditnih kartic, številke socialne varnosti ali česa drugega, vam bo to vsekakor vseeno.

Zakaj so močna gesla kritična

V zadnjih letih so številna spletna mesta začela postavljati zahteve za vedno daljša in zapletena gesla. Uporabnik boli, da si ustvari in zapomni ta gesla, vendar za to obstaja dober razlog.

močno gesloBolj zapletena in naključna so vaša gesla, težje jih bodo hekerji zaznali. Zdaj pa si predstavljajte, da ste imeli na desetine teh gesel, po eno za vsako od spletnih mest, ki jih pogosto obiščete. Ti hekerji ne bodo prišli daleč, ko bodo morali ugotoviti povsem naključno verigo 12 ali več črk, številk in posebnih znakov. Težave se pomnožijo le z uporabo unikatnih gesel na vsakem vašem spletnem računu.

Ta vrsta gesla je ključnega pomena za vašo spletno varnost. Ko je en heker našel preveč preprosto geslo, ga lahko sami uporabijo ali prodajo za velike dolarje na črnem trgu. Nekateri od teh kupcev so neverjetno prefinjeni. V nekaj minutah se vam identiteta ukrade, vaša bonitetna ocena se uniči in porabili boste leta in veliko denarja, da bi si povrnili ugled.

Glede na tehnološki pregled MIT je ustvarjanje resnično močnega gesla več kot uporaba ene velike črke, ene številke in enega posebnega znaka. Dlje kot si ustvarite geslo in več posebnih znakov, ki jih uporablja, večja je verjetnost, da boste hekerje spotaknili.

Hekerji imajo programsko opremo, ki nenehno in neumorno poganja "ugibanja gesla". Prej ali slej se lahko zaskočijo na vaše. Če pa je vaše geslo dolgo, zapleteno in povsem naključno, potem velike so možnosti, da bo šel heker v iskanje lažjega plena, ki je na voljo v izobilju.

Kaj je Upravitelj gesel?

Težava je v tem, da je spominjanje na vsa ta neverjetno dolga, zapletena in edinstvena gesla herkulovska naloga. Kdo jih more obdržati naravnost? Tu pridejo upravitelji gesel.

kako deluje upravitelj geselVečina upraviteljev gesel je zasnovana tako, da ustvari nešteto močnih, naključnih gesel za posamezne uporabnike. Ta gesla shranijo in jih nato poiščejo, ko obiščete vsako spletno mesto.

Te storitve lahko tudi shranijo številke vaših kreditnih kartic, vključno s trimestno kodo CVV na zadnji strani, skupaj s PIN-ji in vašimi odgovori na različna varnostna vprašanja. Vsi ti podatki so šifrirani v ponudbi za foliranje hekerjev. Mnoge od teh storitev uporabljajo hashing, kar v bistvu tudi je odgovoren za pretvorbo navadnih podatkov v nizov števil ali znakov vnaprej določene dolžine.

Kadar koli želite obiskati spletno mesto, kjer boste morali uporabiti eno od svojih geslov, se prijavite v »trezor« podatkov, ki ste jih prej shranili z upraviteljem gesel. Dostop je odobren z enim geslom za storitev upravitelja.

To se sliši precej priročno, vendar je ključno, da upravljavcem gesel ne zaupate preveč. Te storitve niso čarobna krogla, ki vas bo zaščitila pred kakršno koli škodo. Še vedno je pametno uporabljati takšno VPN NordVPN za vse brskanje dvofaktorsko preverjanje pristnosti za nekatere izjemno dragocene račune in za uporabo samo naprav, ki jim zaupate.

Pravzaprav bi se bilo morda pametno odpraviti z upravljanjem gesel.

Zakaj lahko upravljavci gesla tvegajo

Upravitelji gesel vse vaše občutljive podatke shranijo lokalno ali v oblak. V skladu s tem so vaša gesla v trezorju na pomnilniškem pogonu ali računalniku doma ali pa se na daljavo hranijo na strežnikih skrbnika gesel.

Igralci z velikimi imeni v industriji všeč Dashlane1Poslovna beseda in LastPass uporabljajo svoje strežnike za privzeto shranjevanje vaših zasebnih podatkov. Tako boste lažje sinhronizirali shranjene podatke, ki jih imate morda z vsemi napravami.

kramp geslaZdaj se ta podjetja veliko obljubljajo o svojih varnostnih ukrepih, vendar to vsem potrošnikom ne omogoča udobnosti. Zamislite si samo, če bi kramp ogrožal vse te neverjetno dragocene podatke na enem samem strežniku. Ker ste dali vsa svoja jajca v eno košarico, ste preprosto izgubili nadzor nad svojim spletnim življenjem.

V resnici se le malo hekerjev lahko upira skušnjavi, da bi se prehiteli nad naprednimi varnostnimi sistemi. Pomislite na vse neprecenljive podatke, ki bi jih lahko zbrali le z enim krampom. Včasih konsolidacija ni pameten manever.

Če vam res ni všeč misel na shranjevanje v oblaku za vsa gesla, se morda namesto tega odločite za lokalno shrambo. Dashlane to omogoča, ko se stranke odločijo za onemogočanje funkcije "Sync".

1Password kupcem omogoča nakup programske licence, ki jim omogoča nadzor nad tem, kje se hrani njihov trezor. KeePass omogoča shranjevanje podatkov v trezorju, ki je šifriran v vaši napravi.

Preden pa se s temi nogami skočite z obema nogama, se vprašajte, kako varni so vaši elektronski varnostni ukrepi? Ali je mogoče, da bi heker lahko prek njih prevzel vsa vaša gesla iz lastne naprave?

Kršitve varnosti, o katerih morate vedeti

Navedene kršitve varnosti niso teoretične. Veliko se jih je zgodilo. Preden se odločite, ali je uporaba skrbnika gesel smiselna za vas, upoštevajte te kršitve.

Kršitev na OneLoginu

Upravitelj gesla OneLogin je junija 2017 razkril, da je doživel kramp. Splošno prijavljeni incident vplivala na vse stranke družbe, katerih podatki so bili shranjeni v ameriškem podatkovnem centru.

OneLogin je v sporočilu za javnost zapisal, da "Odtlej smo prepovedali ta nepooblaščeni dostop, zadevo prijavili organom pregona in sodelujemo z neodvisno varnostno družbo, da bi ugotovili, kako se je zgodil nepooblaščen dostop."

LastPass poroča o kršitvi

Še en zloglasni kramp skrbnika gesla se je zgodil na LastPassu. O tem so poročali aprila 2017, podjetje pa ga je označilo kot "edinstveno in zelo izpopolnjeno" težavo. Posledica tega je, da LastPass uporablja tako napredne tehnike šifriranja in varnostne ukrepe, da so razmere vse prej kot nepredstavljive in se ne bi mogle več pojaviti.

Težavo je ugotovil Tavis Ormandy, varnostni raziskovalec Googlovega Projekta Zero. Ormandy je vprašanje opisal kot "arhitekturno" naravo in rekel, da bo za reševanje potreben velik čas.

Medtem ko je LastPass delal na odpravi ranljivosti, je strankam svetoval, naj jih uporabijo dvofaktorna avtentikacija in se izognili vsem sumljivim povezavam.

Vendar to ni edini pojav, ki ga je prizadel LastPass. Junija 2015 je podjetje sporočilo, da so njihovi strežniki doživeli vdor. LastPass je poročal, da ni bilo ukradenih nobenih shranjenih gesel in da je hekerji niso jemali e-poštnih naslovov, opomnikov z geslom ali preverjanja pristnosti.

KeePass postane Hacked - Sort Of

Zaradi razpoložljivosti orodja z imenom "KeeFarce" v letu 2015 so bile za KeePass stvari videti naporne. Čeprav je bilo to hekersko orodje usmerjeno na KeePass, izvedljivo je, da je orodje mogoče spremeniti tako, da bo ciljal na katerega koli upravitelja gesel.

To orodje je bilo v bistvu namenjeno računalnikom uporabnikov, ki običajno nimajo zanesljivih varnostnih funkcij, ki jih uporabljajo skrbniki gesel. Orodje je lahko dešifriralo vsa uporabniška imena in gesla, ki jih je uporabnik shranil s KeePass. Vsi podatki so bili nato zapisani v datoteko, do katere je heker lahko dostopal.

To orodje je bilo zasnovano tako, da je izpostavilo težavo, ki jo imajo vsi skrbniki gesel. Okuženi računalnik je ranljiv računalnik. Ne glede na to, kako dober je upravitelj gesel, ko je uporabnikov računalnik okužen z virusom ali drugo težavo, zaščita, ki jo ponuja upravitelj, bo verjetno ogrožena. Če želite, da boste imeli koristi od upravitelja gesel, morate povečati svojo varnost.

Keeper ujame napako

odkrivanje napakKeeper je maja 2018 sporočil, da so odpravili napako, ki jo je identificiral varnostni raziskovalec. Raziskovalka je to povedala napaka je morda nepooblaščenim osebam omogočila dostop do zasebnih podatkov, ki pripadajo drugemu uporabniku.

Hrošč je bil razkrit s seznama razkritja za javno varnost. V bistvu je na seznamu navedeno, da lahko vsak posameznik, ki je nadzoroval strežnik API podjetja, teoretično dostopa do ključa za dešifriranje do sefa gesel katerega koli uporabnika. Izvor težave je vseboval Keeper Commander, skript, ki ga poganja Python, ki uporabnikom omogoča vrtenje gesla.

Hroščeva hrošča je bila odstranjena.

Ugotovitve TeamSIK-a

Februarja 2017 so raziskovalci, ki delajo na Inštitutu za varno informacijsko tehnologijo Fraunhofer, objavili svoje ugotovitve po pregledu devetih najpogosteje uporabljanih upravljavcev gesel. Rezultati so bili vse prej kot pomirjujoči.

team sik logotipRaziskovalci, znani kot TeamSIK, so svoje ugotovitve označili za »zelo zaskrbljujoče«. Celo trdili so, da ta podjetja »zlorabljajo zaupanje uporabnikov in jih izpostavljajo velikim tveganjem«.

Upravitelji gesel, ki so bili vključeni v pregled, so bili 1Password, Avast gesla, Skrij slike Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Manager Password in My Passwords.

Vsak upravitelj v pregledu je imel vsaj eno napako v varnosti. Raziskovalci so vsako od podjetij obvestili o svojih ugotovitvah in hitro so rešili težave z motnjami. Vendar pa se ne zdi, da bi moralo vsako podjetje te težave razumeti in odpraviti, ne da bi potreboval zunanji vir, da bi jih spodbudil k ukrepanju?

V nadaljevanju, uporabnike spodbudili, naj poskrbijo za popravek in uporabo najnovejših različic programske opreme za upravljanje z gesli tako da so v celoti izkoristili nadgrajene varnostne ukrepe.

Spodaj je nekaj konkretnih podrobnosti / poročil. Za posebne podrobnosti odprite vsako poročilo.

MyPasswords 

  • Preberite zasebne podatke aplikacije Moja gesla
  • Dešifriranje glavnega gesla aplikacije Moja gesla
  • Brezplačne Premium funkcije Odkleni za moja gesla

Informaticore Upravitelj gesel 

  • Nevarna shramba poverilnic v Mirsoft Password Managerju

LastPass Password Manager 

  • Trdi kodirani glavni ključ v LastPass Password Manager
  • Zasebnost, uhajanje podatkov v iskanju brskalnika LastPass
  • Preberite zasebni datum (Shranjeni Masterpassword) v upravitelju gesla LastPass

Keeper Passwort-Manager 

  • Ohranjevanje varnostnega vprašanja skrbnika skrbnika gesla
  • Ohranitev podatkov o skrbniku gesla brez glavnega gesla

F-Secure KEY Upravitelj gesel 

  • F-Secure KEY Password Manager Varno skladiščenje zaupnikov

Dashlane Upravitelj gesel 

  • Preberite zasebne podatke iz mape aplikacij v upravitelju gesla Dashlane
  • Google Iskanje informacij o iskanju v brskalniku Dashlane Password Manager
  • Ostanki napada Izvlečejo glavno besedo iz upravitelja gesel Dashlane
  • Uhajanje gesla poddomene v notranjem brskalniku Dashlane Manager

Skrij slike Hrani varno 

  • SKeepsafe Plaintext Shranjevanje gesla

Avast gesla 

  • Kraja gesla za aplikacijo iz Avast Manager
  • Kraja gesla s spletnega mesta s spletnega mesta Avast Manager
  • Nevarni privzeti URL-ji za priljubljena spletna mesta v Avast Manager
  • Uhajanje gesla poddomene v Avast Managerju
  • Izpolnjena varna komunikacija v Avast Manager
  • Notranji preskusni URL-ji v Avast Manager

1Password - Upravitelj gesla 

  • Uhajanje gesla poddomene v notranjem brskalniku 1Password
  • Https se spusti na http URL privzeto v 1Password Internal Browser
  • Naslovi in ​​URL-ji niso šifrirani v 1Password Database
  • Preberite zasebne podatke iz mape aplikacij v 1Password Manager
  • Izjava o zasebnosti, informacije so prispele do upravitelja prodajalca 1Password

Vrste kršitev varnosti

Resničnost je, da so imeli vsi glavni upravljavci gesla naenkrat resne kršitve varnosti. Čeprav odpravljajo težave, ko so odkrite, se zdi, da so nove sheme vedno v uporabi. To je nekaj kršitev varnosti, do katerih so ranljivi upravljavci gesel.

Lažno predstavljanje - Večina ljudi je slišala za lažno predstavljanje. Vključujejo e-poštno ali besedilno sporočilo, ki ga domnevno pošlje ugleden subjekt ali posameznik. Njen cilj je, da bi se nič sumljiva žrtev razkrila občutljivih podatkov, kot so številke bančnih računov, številke kreditnih kartic in številke socialnega zavarovanja z namenom ogoljevanja prejemnika..

tok napada lažnega predstavljanja

Lažno predstavljanje je bilo uporabljeno za goljufanje strank, ki upravljajo gesla. V tej shemi stranke prosijo, da se prijavijo na spletno mesto zaradi potečene seje. Ko to počnejo, je zmedeno podobno lažno predstavljanje dejansko tam, kjer vnašajo svoje zasebne podatke. Uporabnik je pravkar ponudil hekerju svoje skrivno geslo.

Ponarejanje zahtevka na več mestih - Ta shema, ki jo pogosto imenujejo CSRF, nagovarja ljudi k nenamerenim ukrepanjem po spletu. Zaposlen je pri uporabnikih, ki so overjeni v spletni aplikaciji. Zloglasna stranka pogosto pošlje povezavo po e-pošti, da spodbudi žrtev za nakazilo sredstev ali druge možne škodljive ukrepe.

Skripta na več mestih - Znan kot XSS, ta napad vključuje vnos zlonamerne kode na sicer znana in zaupanja vredna spletna mesta.

Napadi brutalnih sil - Ta varnostna kršitev vključuje avtomatizirano programsko opremo, ki poskuša različne kombinacije, dokler ne zadene goldmine podatkov, kot je strežnik vašega upravitelja gesel.

geslo za samodejno pošiljanjeSamodejno izpolnjevanje ranljivosti - Uporaba funkcije samodejnega polnjenja v spletnem brskalniku ali upravitelju geslov je mamljiva, ker se zdi, da je vse tako veliko lažje. V resnici si olajšate stvari, ki jih povzročajo kibernetski kriminalci po vsem svetu. Uporabljajo ga celo oglaševalci.

Shranjevanje glavnega gesla v navadnem besedilu - Dokazovanje, da upravljavci gesel niso nujno najboljši varovalci vaših občutljivih podatkov, je en raziskovalni projekt razkril dejstvo, da so nekateri upravitelji gesel shranili glavna gesla stranke v navadno besedilo brez šifriranja..

Koda aplikacije, ki vsebuje šifrirne ključe - V bistvu sama koda aplikacije izpostavlja šifrirne ključe znotraj same kode. Za hekerje je terenski dan, ko se odkrije ta ranljivost.

Smrkanje ali ugrabitev odložišča - Ta kršitev kriminalcem omogoča, da pridobijo poverilnice, ki so bile kopirane v spomin računalnika, tako da jih je mogoče prilepiti v vmesnik za vnos gesla.

Napake spletnega brskalnika - Nekateri skrbniki gesel so tudi brskalniki, katerih uporaba naj bi strankam zagotavljala varnejšo povezavo. Vendar pa se z nepopolnim upravljalcem gesel - kakršni so vsi - možnost pomanjkljivosti pomnoži.

Napad podatkovnih ostankov - Uporabnikom, ki izbrišejo aplikacije iz svojih naprav, ni nujno, da odstranijo vse sledove. Nekateri hekerji napadajo "ostanek", ki ostane za sabo. Le resnično trdni varnostni ukrepi dejansko preprečujejo kriminalce.

kibernetski napadi notranjih osebZnotraj kramp - Ne domnevajte, da ste varni samo zato, ker uporabljate računalnik podjetja. Nekateri hekerji so notranje delo, ki ga izvaja kolega. Tako je tudi v pisarnah skrbnikov gesel. Kako veste, da lahko zaupate zaposlenim v ponudniku?

Informacije puščajo skozi izmenljivi pomnilnik - Večina računalnikov ima glavni pomnilnik in sekundarni pomnilnik. Vsak postopek, ki ga izvaja računalnik, dobi toliko pomnilnika, kot ga zahteva. Aktivni proces se shrani v glavni pomnilnik. Nerešeni procesi se potisnejo v sekundarno skladišče. Ko določen postopek začne zaužiti tone pomnilnika, se več predmetov potisne v sekundarno shrambo. Zmogljivost sistema se poslabša in zaključek postopka uhajanja morda ne pomeni, da se procesi, ki so bili potisnjeni v sekundarni pomnilnik, takoj zamenjajo nazaj. Vse, kar je bilo dodeljeno zunanjim skladiščem, je lahko napadljivo.

Kaj ima prihodnost?

Kot je navedeno, je devet najbolj znanih upravljavcev gesel odpravilo vse te težave. Kakšne druge težave pa morda skrivajo? Nekatere ranljivosti, ki jih je odkril TeamSIK, bi morale biti povsem očitne, vendar se nobeno od teh podjetij ni zavedalo. Neodvisna tretja stranka je razkrila te težave in jih razkrila. Ali lahko resnično zaupate upravitelju gesla z najbolj občutljivimi podatki?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me