Ovatko salasanasuojat turvallisia? Luettelo kaikista suurimmista rikkomuksista

Jos vietät aikaa Internetissä (ja kuka ei näinä päivinä?), Sinulla on todennäköisesti paljon salasanoja.


Tarvitset salasanan joka kerta, kun kirjaudut sisään sosiaalisen median tileille, tarkistat pankkitilisi saldosi tai tilaat jotain Amazonista. Jos kuulut mihinkään foorumeihin, ylläpidät verkkosivustoa tai kirjoitat vain blogia, sinulla on vielä enemmän salasanoja.

salasanan välttämättömyysOn houkuttelevaa käyttää samaa salasanaa jokaisessa näissä verkkosivustoissa. Loppujen lopuksi joudut todennäköisesti kirjautumaan kymmeniin, ellei satoihin verkkosivustoihin normaalin vuoden aikana. Jos sinulla oli vahva, ainutlaatuinen salasana jokaiselle näistä verkkosivustoista, kuinka voisit muistaa ne kaikki?

Valitettavasti liian monet ihmiset vievät helpon tien ulos. He käyttävät melko ilmeistä salasanaa, sanovat “Password123,Esimerkiksi, ja käytä sitä sitten kaikkiin heidän verkkotoimintoihinsa. Miksi tämä on niin kauhea idea? Koska Jos hakkeri onnistuu saamaan salasanasi jopa yhdelle tilille, heillä on salasana kaikille tilillesi.

Ehkä et tiedä, että se on erityisen iso juttu, jos joku huono osapuoli pystyy kirjautumaan Facebook-profiiliisi, vaikka se voi tuhota, jos se tapahtuu. Jos salasana antaa heille pääsyn pankkitietoihisi, luottokorttisi numeroihin, sosiaaliturvatunnukseen tai muuhun, niin varmasti välität.

Miksi vahvat salasanat ovat kriittisiä

Viime vuosina monet verkkosivustot ovat alkaneet asettaa vaatimuksia yhä pidemmälle ja monimutkaisemmille salasanoille. Käyttäjälle on tuskaa keksiä ja muistaa nämä salasanat, mutta siihen on syytä.

vahva salasanaMitä monimutkaisemmat ja satunnaiset salasanasi ovat, sitä vaikeampi hakkereiden on havaita ne. Kuvittele nyt, että sinulla oli kymmeniä näitä salasanoja, yksi jokaiselle usein käytetylle verkkosivustolle. Nämä hakkerit eivät pääse niin pitkälle, kun heidän on selvitettävä täysin satunnainen ketju, jossa on vähintään 12 kirjainta, numeroa ja erikoismerkkiä. Ongelmat kerrotaan vain käyttämällä yksilöllisiä salasanoja jokaisessa online-tilissäsi.

Tämän tyyppinen salasana on kriittinen online-tietoturvallesi. Kun yksi hakkeri on selvittänyt liian yksinkertaisen salasanasi, he voivat käyttää sitä itse tai myydä sitä suurille pylväille mustilla markkinoilla. Jotkut näistä ostajista ovat uskomattoman hienostuneita. Muutamassa minuutissa henkilöllisyytesi varastetaan, luottoluokitus hävitetään ja käytät vuosia ja paljon rahaa yrittääksesi saada maineesi takaisin.

MIT Technology Review -lehden mukaan todella vahvan salasanan luominen on enemmän kuin yhden ison kirjaimen, yhden numeron ja yhden erikoismerkin käyttäminen. Mitä kauemmin teet salasanasi ja mitä erityisempiä merkkejä se käyttää, sitä todennäköisemmin kanisterit hakkereita.

Hakkereilla on ohjelmisto, joka suorittaa jatkuvasti ja väsymättömästi salasana-arvailuja. Ennen tai myöhemmin he saattavat lukita itsesi. Jos salasanasi on kuitenkin pitkä, monimutkainen ja täysin satunnainen, niin mahdollisuudet ovat hyvät, että hakkeri etsii paljon helpompaa saalista, jota on saatavana runsaasti.

Mikä on salasananhallinta?

Ongelmana on, että kaikkien näiden uskomattoman pitkien, monimutkaisten ja ainutlaatuisten salasanojen muistaminen on Herkulesin tehtävä. Kuka voi pitää ne kaikki suorana? Siellä salasanahallinnat tulevat sisään.

miten salasananhallinta toimiiSuurin osa salasanojen hallintaohjelmista on suunniteltu luomaan lukemattomia vahvoja, satunnaisia ​​salasanoja yksittäisille käyttäjille. He tallentavat nämä salasanat ja noutavat ne sitten kun vierailet kussakin verkkosivustossa.

Nämä palvelut voivat myös tallentaa luottokorttinumerosi, mukaan lukien takaosan kolminumeroinen CVV-koodi, sekä PIN-koodit ja vastaukset erilaisiin turvakysymyksiin. Kaikki nämä tiedot on salattu hakkereiden foliohintaan. Monet näistä palveluista käyttävät hajauttamista, mikä pohjimmiltaan on vastuussa tavallisen datan muuntamisesta ennalta määrätyn pituisiksi numero- tai merkkijonoiksi.

Aina kun haluat käydä verkkosivustolla, jossa joudut käyttämään yhtä salasanasi, kirjaudut sisään “holviin”, jotka olet aiemmin tallentanut salasanahallinnassa. Pääsy myönnetään yhdellä hallintapalvelun salasanalla.

Se kuulostaa melko kätevältä, mutta on tärkeää, että et luota liikaa salasananhallintaan. Nämä palvelut eivät ole maaginen luoti, joka suojaa sinua kaikilta haitoilta. On edelleen viisasta käyttää VPN-tapaa NordVPN kaikille selauksille, kaksitekijäinen todennus tietyille erittäin arvokkaille tileille ja käyttää vain luotettuja laitteita.

Itse asiassa voi olla viisasta luopua salasanahallinnan käytöstä.

Miksi salasanan hallitsijat voivat olla vaarallisia

Salasananhallinnat tallentavat kaikki arkaluontoiset tietosi joko paikallisesti tai pilveen. Vastaavasti salasanasi ovat kotisi tallennusaseman tai tietokoneen holvissa tai ne pidetään etäyhteydessä salasananhallinnan palvelimilla.

Alan suuria pelaajia Kuten Dashlane1Password ja LastPass tallenna yksityiset tietosi oletusarvoisesti heidän palvelimiensa avulla. Tämän ansiosta on helpompaa synkronoida mahdollisesti tallennetut tiedot kaikkien laitteiden kanssa.

salasanojen hakkerointiNyt nämä yritykset antavat paljon lupauksia turvatoimistaan, mutta se ei tee kaikille kuluttajille mukavaa. Kuvittele vain, jos hakkerointi vaaransi kaikki kyseisen palvelimen uskomattoman arvokkaat tiedot. Koska olet laittanut kaikki munasi yhteen koriin, olet vain menettänyt online-elämäsi hallinnan.

Tosiasia on, että muutama hakkeri voi vastustaa houkutusta päästä ohi kehittyneitä turvajärjestelmiä. Ajattele kaikkia korvaamattomia tietoja, joita he voisivat kerätä yhdellä hakkeroinnilla. Joskus konsolidointi ei ole viisasta liikkumavaraa.

Jos et todellakään pidä ajatusta pilvisäilytyksestä kaikille salasanoillesi, voit ehkä valita paikallisen tallennustilan. Dashlane tekee tämän mahdolliseksi, kun asiakkaat päättävät poistaa ”Synkronointi” -ominaisuuden käytöstä.

1Password antaa asiakkaille ostaa ohjelmistolisenssin, joka antaa heille mahdollisuuden hallita holvin säilytystä. KeePass mahdollistaa tietojen tallentamisen holviin, joka on salattu omaan laitteeseesi.

Kysy kuitenkin itseltäsi, kuinka turvalliset omat sähköiset turvatoimenpiteesi ovat, ennen kuin hyppäät molemmilla jaloilla näihin vaihtoehtoihin. Onko mahdollista, että hakkeri pääsee heidän läpi ottamaan kaikki salasanasi omalta laitteeltasi?

Turvallisuusrikkomukset, joista sinun on tiedettävä

Luetut tietoturvaloukkaukset eivät ole teoreettisia. Monet heistä ovat tapahtuneet. Ennen kuin päätät, onko salasananhallinnan käyttäminen sinulle järkevää, ota nämä rikkomukset huomioon.

Rikkominen OneLoginissa

Salasanavastaava OneLogin paljasti kesäkuussa 2017, että se oli kärsinyt hakkeroinnista. Laajasti ilmoitettu tapaus vaikutti kaikkiin yrityksen asiakkaisiin, joiden tiedot tallennettiin Yhdysvaltain tietokeskukseen.

OneLogin kirjoitti lehdistötiedotteessaan, että "olemme estäneet tämän luvattoman pääsyn, ilmoittaneet asiasta lainvalvonnalle ja työskentelemme yhdessä riippumattoman turvallisuusyrityksen kanssa selvittääksemme, kuinka luvattomat pääsy tapahtui."

LastPass ilmoittaa rikkomuksesta

Toinen melko pahamaineinen salasananhallinnan hakkerointi tapahtui LastPassissa. Tästä ilmoitettiin huhtikuussa 2017, ja yritys kuvasi sitä ”ainutlaatuiseksi ja erittäin hienostuneeksi” ongelmaksi. Vaikutus on siihen, että LastPass käyttää niin edistyneitä salausmenetelmiä ja turvatoimenpiteitä, että tilanne on kaiken muuta kuin ajattelematon eikä sitä voisi mahdollisesti tapahtua uudestaan.

Ongelman havaitsi Tavis Ormandy, Googlen Project Zero -turvallisuustutkija. Ormandy kuvaili asiaa luonteeltaan arkkitehtonisena, sanoen edelleen, että sen käsittely vaatii huomattavasti aikaa.

Vaikka LastPass yritti korjata haavoittuvuuden, he neuvoivat asiakkaita käyttämään kaksifaktorinen todennus ja välttää kaikki epäilyttävät linkit.

Tämä ei kuitenkaan ole ainoa tapahtuma, josta LastPass on kärsinyt. Kesäkuussa 2015 yritys ilmoitti palvelimiensa tunkeutuneen tunkeutumiseen. LastPass kertoi, ettei tallennettuja salasanoja varastettu ja että hakkerit eivät ole ottaneet sähköpostiosoitteita, salasanamuistutuksia tai todennushajautuksia.

KeePass saa hakkeroidun - tavallaan

KeeFarce-lempinimen saaneen työkalun saatavuus vuonna 2015 sai asiat näyttämään diceyltä KeePassille. Vaikka tämä hakkerityökalu oli suunnattu KeePassille, on mahdollista, että työkalua voidaan muokata kohdistamaan mihin tahansa salasananhallintaan.

Pohjimmiltaan tämä työkalu on suunniteltu kohdistamaan käyttäjien tietokoneisiin, joilla ei yleensä ole vahvoja suojausominaisuuksia, joita salasanan hallitsijat käyttävät. Työkalu pystyi purkamaan kaikki käyttäjän nimet ja salasanat, jotka käyttäjä oli tallentanut KeePassiin. Sitten kaikki tiedot kirjoitettiin tiedostoon, johon hakkeri pääsi käsiksi.

Tämä työkalu on suunniteltu korostamaan ongelma, joka kaikilla salasanan hallitsijoilla on. Tartunnan saanut tietokone on haavoittuva tietokone. Huolimatta siitä, kuinka hyvä salasanan hallinta on, kun käyttäjän tietokone on tartunnan saanut virukselta tai muulta ongelmalta, ylläpitäjän tarjoama suojaus on varmasti vaarantunut. Sinun on pidettävä huolta omasta turvallisuudesta, jos haluat toivoa hyötyäsi salasananhallinnasta.

Keeper tarttuu vikaan

virheiden havaitseminenToukokuussa 2018 Keeper ilmoitti korjaneensa virheen, jonka turvallisuustutkija havaitsi. Tutkija sanoi sen vika on saattanut sallia luvattomien käyttäjien pääsyn toisen käyttäjän yksityisiin tietoihin.

Vika tuotiin esiin julkisen turvallisuuden takaavien luetteloiden kautta. Pohjimmiltaan luettelossa sanottiin, että kuka tahansa yrityksen API-palvelinta hallitseva henkilö voi teoriassa käyttää salausavainta mille tahansa käyttäjälle kuuluvien salasanojen holviin. Ongelman lähde sisälsi Keeper Commanderin, Pythonin käyttämän komentosarjan, jonka avulla käyttäjät voivat kiertää salasanoja.

Keeperin virhe on sittemmin poistettu.

TeamSIK-havainnot

Fraunhofer-tietotekniikkainstituutiossa työskentelevät tutkijat julkaisivat helmikuussa 2017 havaintonsa yhdeksän yleisimmin käytettyjen salasanojen hallintaohjelmien tarkastelun jälkeen. Tulokset olivat kaikkea muuta kuin rauhoittavaa.

joukkueen sik-logoTutkijat, nimeltään TeamSIK, kutsuivat havaintonsa "erittäin huolestuttavaksi". He jopa väittivät, että nämä yritykset väärinkäyttävät käyttäjien luottamusta ja altistavat heidät suurille riskeille. "

Katsaukseen sisältyneet salasananhallinnat olivat 1Password, Avast Salasanat, Piilota kuvat Pidä turvallinen holvi, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager ja My Passwords.

Jokaisella arvioinnin johtajalla oli vähintään yksi turvallisuusvirhe. Tutkijat ilmoittivat jokaiselle yritykselle havainnoistaan, ja mot-ongelmiin vastattiin nopeasti. Eikö siltä, ​​että kunkin yrityksen olisi pitänyt ymmärtää ja korjata nämä ongelmat tarvitsematta ulkopuolista lähdettä houkutella heitä toimiin?

Jälkimainingeissa, käyttäjiä rohkaistiin varmistamaan, että heidät oli korjattu ja että ne käyttivät uusimpia salasananhallintaohjelmiston versioita jotta he saivat täyden hyödyn päivitetyistä turvatoimenpiteistä.

Alla on joitain yksityiskohtia / raportteja. Avaa tarkat tiedot avaamalla jokainen raportti.

MyPasswords 

  • Lue yksityiset tiedot salasanani -sovelluksesta
  • Pääsalasanan salauksen purku salasanani -sovelluksessa
  • Ilmaiset premium-ominaisuudet avaa salasanani

Informaticore Password Manager 

  • Epävarma käyttöoikeustietojen tallennus Mirsoft Password Manager -sovelluksessa

LastPass Password Manager 

  • Kovakoodinen pääavain LastPass Password Manager -sovelluksessa
  • Tietosuoja, tietojen vuotaminen LastPass-selainhaussa
  • Lue yksityinen päivämäärä (Tallennettu pääsalasana) LastPass Password Manager -sovelluksesta

Keeper Passwort-Manager 

  • Keeper Password Manager -turvallisuuskysymysten ohitus
  • Keeper Password Manager -tietojen injektio ilman pääsalasanaa

F-Secure KEY Password Manager 

  • F-Securen KEY Password Manager -suojattu käyttöoikeustietojen tallennus

Dashlane Salasanan hallinta 

  • Lue yksityiset tiedot sovelluskansiosta Dashlane Password Manager -sovelluksessa
  • Google-hakutietojen vuotaminen Dashlane Password Manager -selaimessa
  • Jäännöshyökkäys Pääsanan purkaminen Dashlane Password Managerista
  • Aliverkkotunnuksen salasanan vuotaminen sisäisessä Dashlane Password Manager -selaimessa

Piilota kuvat Pidä turvassa holvi 

  • SKeepsafe-yksinkertaisella salasanalla tallennus

Avast-salasanat 

  • Sovelluksen salasanan varastaminen Avast Password Managerilta
  • Salasanavarkaus huijausverkkosivustolta Avast Password Managerilta
  • Epävarmat oletus-URL-osoitteet suosituille sivustoille Avast Password Manager -sovelluksessa
  • Aliverkkotunnuksen salasanan vuotaminen Avast Password Manager -ohjelmassa
  • Murtunut suojatun viestinnän toteutus Avast Password Manager -sovelluksessa
  • Sisäiset testaus-URL-osoitteet Avast Password Manager -sovelluksessa

1Password - Password Manager 

  • Aliverkkotunnuksen salasanan vuotaminen 1-salasanan sisäisessä selaimessa
  • Https alentaa oletusarvoiseksi http URL-osoitteeksi 1Password Internal -selaimessa
  • Otsikot ja URL-osoitteet, joita ei ole salattu 1Password-tietokannassa
  • Lue yksityiset tiedot sovelluskansiosta 1Password Manager -sovelluksessa
  • Tietosuojaongelma, tiedot vuotaneet myyjälle 1Password Manager

Turvallisuusrikkomusten tyypit

Tosiasia on, että kaikilla tärkeillä salasanan hallitsijoilla on ollut vakavia tietoturvaloukkauksia kerralla. Vaikka ne korjaisivat ongelmat paljastamatta, näyttää siltä, ​​että uudet järjestelmät ovat aina käynnissä. Nämä ovat joitain tietoturvaloukkauksista, joihin salasanan hallitsijat ovat alttiita.

phishing - Suurin osa ihmisistä on kuullut tietojenkalastelujärjestelmästä. Ne sisältävät sähköpostin tai tekstiviestin, jonka väitetysti lähetti hyvämaineinen yhteisö tai henkilö. Tavoitteena on saada pahaa ajattelematon uhri paljastamaan arkaluontoisia tietoja, kuten pankkitilinumeroita, luottokorttinumeroita ja sosiaaliturvatunnuksia vastaanottajan pettämiseksi.

tietojenkalasteluyrityksen virtaus

Tietojenkalastelua on käytetty salasanahallinnan asiakkaiden pettämiseen. Tässä järjestelmässä asiakkaita pyydetään kirjautumaan verkkosivustoon istunnon päättymisen vuoksi. Kun he tekevät, hämmentävän samanlainen tietojenkalasteluverkkosivusto on tosiasiassa missä he syöttävät yksityisiä tietojaan. Käyttäjä on juuri antanut mielellään salaisen salasanansa hakkereille.

Sivustojenvälinen väärentämispyyntö - Tämä järjestelmä, jota kutsutaan usein CSRF: ksi, huijaa ihmisiä toteuttamaan tahattomia toimia verkossa. Sitä käytetään käyttäjille, jotka on todennettu web-sovelluksessa. Huono osapuoli lähettää usein linkin sähköpostitse kehottaakseen uhria siirtämään varoja tai ryhtymään muihin mahdollisesti haitallisiin toimiin.

Sivustojenvälinen komentosarja - Hyökkäys, joka tunnetaan nimellä XSS, sisältää haitallisen koodin viemisen muuten tunnetuille ja luotettaville verkkosivustoille.

Brute-Force-hyökkäykset - Tämä tietoturvaloukkaus koskee automaattista ohjelmistoa, joka yrittää erilaisia ​​yhdistelmiä, kunnes se osuu tietokultakaivoon, kuten salasananhallinnan palvelimeen.

automaattisen suodatuksen salasanaAutomaattisen täyttöominaisuuden haavoittuvuus - Automaattisen täytön käyttäminen verkkoselaimessa tai salasananhallinnassa on houkuttelevaa, koska se näyttää tekevän kaikesta niin paljon helpompaa. Todellisuudessa olet vain helpottamassa asioita rikollisillesi ympäri maailmaa. Mainostajat jopa käyttävät sitä.

Pääsalasanan tallentaminen pelkkään tekstiin - Osoittamalla, että salasanan hallitsijat eivät välttämättä ole arkaluonteisten tietojen parhaita vartijoita, yksi tutkimusprojekti paljasti tosiasian, että jotkut salasanan hallitsijat tallensivat asiakkaan pääsalasanoja selkeässä tekstissä ilman minkäänlaista salausta..

Sovelluksen koodi, joka sisältää salausavaimia - Pohjimmiltaan sovelluksen oma koodi paljastaa salausavaimet itse koodissa. Se on hakkereiden kenttäpäivä, kun tämä haavoittuvuus havaitaan.

Leikepöydän nuuskaaminen tai kaappaus - Tämä rikkomus antaa rikollisten tarttua tietokoneen muistiin kopioituihin käyttöoikeustietoihin, jotta ne voidaan liittää käyttöliittymään salasanan syöttämistä varten.

Sisäänrakennetut selaimen puutteet - Jotkut salasananhallinnat ovat myös selaimia, joiden käytön on tarkoitus pitää asiakkaat turvallisempana verkossa. Puutteellisella salasananhallinnalla - joka he kaikki ovat - mahdollisuus puutteisiin kuitenkin moninkertaistuu.

Tietojen jäännöshyökkäys - Käyttäjät, jotka poistavat sovelluksia laitteistaan, eivät välttämättä poista kaikkia sen jälkiä. Jotkut hakkerit hyökkäävät jäljelle jäänyttä "jäännöstä". Vain todella vankat turvallisuustoimenpiteet pitävät rikolliset todella poissa.

sisäpiiriläisten verkkohyökkäyksetSisäpiiri hakkerointi - Älä oleta, että olet turvassa vain siksi, että käytät yrityksen tietokonetta. Jotkut hakkerit ovat työtä, jonka kollega tekee. Se on aivan totta salasananhoitajien toimistoissa. Mistä tiedät, että voit luottaa palveluntarjoajan työntekijöihin?

Tiedot vuotavat vaihtomuistin kautta - Useimmissa tietokoneissa on päämuisti ja toissijainen tallennustila. Jokainen tietokoneen suorittama prosessi saa niin paljon muistia kuin se vaatii. Aktiivinen prosessi tallennetaan päämuistiin. Lepotilassa olevat prosessit viedään toissijaiseen varastointiin. Kun tietty prosessi alkaa kuluttaa tonnia muistia, enemmän kohteita viedään toissijaiseen varastointiin. Järjestelmän suorituskyky huononee, ja vuotavan prosessin lopettaminen ei välttämättä tarkoita, että toissijaiseen varastointiin siirretyt prosessit vaihdetaan välittömästi takaisin. Kaikki, jotka on ulkoistettu toissijaiseen tallennustilaan, voi olla alttiina hyökkäyksille.

Mitä tulevaisuus pitää??

Kuten todettiin, yhdeksän tunnetuinta salasananhallintaa on sittemmin korjannut kaikki nämä ongelmat. Mitä muita ongelmia voi kuitenkin olla piilemässä? Joidenkin TeamSIKin paljastamien haavoittuvuuksien olisi pitänyt olla melko ilmeisiä, mutta yksikään näistä yrityksistä ei ollut tietoinen niistä. Kysymysten selvittäminen ja niiden saattaminen esiin vaati riippumatonta kolmatta osapuolta. Voitko todella luottaa salasananhallintaan arkaluontoisimpiin tietoihin?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me