Zijn wachtwoordbeschermers veilig? Lijst van elke grote inbreuk

Als je tijd op internet doorbrengt (en wie niet tegenwoordig?), Dan heb je waarschijnlijk veel wachtwoorden.


U hebt elke keer een wachtwoord nodig wanneer u zich aanmeldt bij uw sociale media-accounts, uw bankrekeningsaldo controleert of iets bij Amazon bestelt. Als je lid bent van een forum, een website hebt of zelfs gewoon een blog schrijft, dan heb je nog meer wachtwoorden.

wachtwoord noodzaakHet is verleidelijk om voor elk van deze websites hetzelfde wachtwoord te gebruiken. U moet zich immers in de loop van een normaal jaar waarschijnlijk aanmelden bij tientallen, zo niet honderden websites. Als u een sterk, uniek wachtwoord had voor elk van deze websites, hoe kun je je ze allemaal herinneren??

Helaas nemen teveel mensen de gemakkelijke uitweg. Ze gebruiken een wachtwoord dat vrij duidelijk is, zeg: "Password123,'Bijvoorbeeld en gebruik het vervolgens voor al hun online activiteiten. Waarom is dit zo'n vreselijk idee? Omdat als een hacker erin slaagt om uw wachtwoord op één account te krijgen, dan hebben ze uw wachtwoord voor al uw accounts.

Misschien vind je het niet zo belangrijk als een snode partij zich kan aanmelden bij je Facebook-profiel, hoewel ze schade kunnen aanrichten als dat gebeurt. Als dat wachtwoord hen echter toegang geeft tot uw bankgegevens, uw creditcardnummers, SocialSecurity-nummer of iets anders, dan zult u er zeker om geven.

Waarom sterke wachtwoorden cruciaal zijn

In de afgelopen jaren zijn veel websites begonnen met het instellen van vereisten voor steeds langere en complexe wachtwoorden. Het is lastig voor de gebruiker om deze wachtwoorden te verzinnen en te onthouden, maar er is een goede reden om dit te doen.

sterk wachtwoordHoe complexer en willekeurig uw wachtwoorden zijn, hoe moeilijker ze zijn voor hackers om te onderscheiden. Stel je nu voor dat je tientallen van deze wachtwoorden had, één voor elk van de websites die je vaak bezoekt. Die hackers komen niet zo ver als ze een volledig willekeurige reeks van 12 of meer letters, cijfers en speciale tekens moeten achterhalen. De problemen worden alleen vermenigvuldigd met uw gebruik van unieke wachtwoorden op al uw online accounts.

Dit type wachtwoord is van cruciaal belang voor uw online beveiliging. Zodra een hacker uw te eenvoudige wachtwoord heeft ontdekt, kunnen ze het zelf gebruiken of verkopen voor veel geld op de zwarte markt. Sommige van deze kopers zijn ongelooflijk geavanceerd. Binnen enkele minuten wordt uw identiteit gestolen, uw kredietwaardigheid weggegooid en je zult jaren en veel geld uitgeven om je reputatie terug te krijgen.

Volgens de MIT Technology Review gaat het maken van een echt sterk wachtwoord om meer dan het gebruik van één hoofdletter, één cijfer en één speciaal teken. Hoe langer je je wachtwoord maakt, en hoe meer speciale tekens het gebruikt, hoe groter de kans dat je hackers stunt.

Hackers hebben software die voortdurend en onvermoeibaar "gissingen" van wachtwoorden doorloopt. Vroeg of laat kunnen ze vastlopen op de uwe. Als uw wachtwoord echter lang, complex en volledig willekeurig is, dan de kans is groot dat de hacker op zoek gaat naar een veel gemakkelijkere prooi, die in overvloed beschikbaar is.

Wat is een wachtwoordbeheerder?

Het probleem is dat het onthouden van al deze ongelooflijk lange, ingewikkelde en unieke wachtwoorden een enorme taak is. Wie kan ze allemaal recht houden? Dat is waar wachtwoordbeheerders binnenkomen.

hoe wachtwoordbeheer werktDe meeste wachtwoordbeheerders zijn ontworpen om talloze sterke, willekeurige wachtwoorden voor individuele gebruikers te genereren. Ze slaan deze wachtwoorden op en halen ze vervolgens op wanneer u elke website bezoekt.

Het is ook mogelijk voor deze services om uw creditcardnummers op te slaan, inclusief de driecijferige CVV-code op de achterkant, samen met pincodes en uw antwoorden op verschillende beveiligingsvragen. Al deze gegevens worden gecodeerd in een poging hackers te omzeilen. Veel van deze services gebruiken hashing, wat in wezen is verantwoordelijk voor de conversie van gewone gegevens in reeksen van cijfers of tekens met een vooraf bepaalde lengte.

Telkens wanneer u een website wilt bezoeken waar u een van uw wachtwoorden moet gebruiken, logt u in op de 'kluis' met gegevens die u eerder hebt opgeslagen met uw wachtwoordbeheerder. Toegang wordt verleend via een enkel wachtwoord voor de beheerservice.

Dat klinkt redelijk handig, maar het is van cruciaal belang dat u niet te veel vertrouwen stelt in wachtwoordbeheerders. Deze services zijn geen magische kogel die u tegen alle schade beschermt. Het is nog steeds verstandig om een ​​VPN zoals te gebruiken NordVPN voor alle browsen, tweefactorauthenticatie voor bepaalde extreem waardevolle accounts en om alleen apparaten te gebruiken die u vertrouwt.

Misschien is het verstandig om helemaal af te zien van het gebruik van een wachtwoordbeheerder.

Waarom wachtwoordbeheerders riskant kunnen zijn

Wachtwoordbeheerders slaan al uw gevoelige gegevens lokaal of in een cloud op. Dienovereenkomstig bevinden uw wachtwoorden zich in een kluis op een opslagstation of computer bij u thuis of worden ze op afstand bewaard op de servers van de wachtwoordbeheerder.

Grote spelers in de industrie Leuk vinden Dashlane1Password en LastPass gebruiken hun servers standaard om uw privégegevens op te slaan. Dit maakt het voor u gemakkelijker om opgeslagen gegevens die u mogelijk met al uw apparaten hebt te synchroniseren.

wachtwoord hackenNu doen deze bedrijven veel beloften over hun beveiligingsmaatregelen, maar dat maakt niet alle consumenten comfortabel. Stel je voor dat al die ongelooflijk waardevolle gegevens op die enkele server door een hack werden aangetast. Omdat je al je eieren in één mand hebt gestopt, heb je de controle over je online leven verloren.

De realiteit is dat maar weinig hackers de verleiding kunnen weerstaan ​​om voorbij de geavanceerde beveiligingssystemen te komen. Denk aan alle onbetaalbare gegevens die ze met slechts één hack konden verzamelen. Soms is consolidatie geen verstandige manoeuvre.

Als je echt niet van de gedachte aan cloudopslag voor al je wachtwoorden houdt, kun je misschien in plaats daarvan kiezen voor lokale opslag. Dashlane maakt dit mogelijk wanneer klanten ervoor kiezen om de functie "Synchroniseren" uit te schakelen.

Met 1Password kunnen klanten een softwarelicentie kopen waarmee ze kunnen bepalen waar hun kluis wordt bewaard. KeePass maakt het mogelijk om uw gegevens op te slaan in een kluis die op uw eigen apparaat is gecodeerd.

Voordat u echter met beide voeten op deze opties stapt, moet u zich afvragen hoe veilig uw eigen elektronische beveiligingsmaatregelen zijn? Is het mogelijk dat een hacker erdoorheen komt om al uw wachtwoorden van uw eigen apparaat te halen?

Beveiligingsproblemen die u moet weten

De vermelde inbreuken op de beveiliging zijn niet theoretisch. Velen van hen zijn gebeurd. Voordat u beslist of het gebruik van een wachtwoordbeheerder voor u zinvol is, moet u rekening houden met deze inbreuken.

De inbreuk op OneLogin

Wachtwoordbeheerder OneLogin onthulde in juni 2017 dat het een hack had doorstaan. Het veel gemelde incident van invloed op alle klanten van het bedrijf waarvan de gegevens zijn opgeslagen in het Amerikaanse datacenter.

In een persbericht schreef OneLogin dat: "We hebben sindsdien deze ongeautoriseerde toegang geblokkeerd, de zaak aan de politie gemeld en werken samen met een onafhankelijk beveiligingsbedrijf om te bepalen hoe de ongeautoriseerde toegang plaatsvond."

LastPass meldt een inbreuk

Een andere nogal beruchte hack van de wachtwoordbeheerder vond plaats bij LastPass. Dit werd gemeld in april 2017 en het bedrijf beschreef het als een "uniek en zeer geavanceerd" probleem. De implicatie is dat LastPass zulke geavanceerde coderingstechnieken en beveiligingsmaatregelen gebruikt dat de situatie vrijwel ondenkbaar is en onmogelijk opnieuw kan voorkomen.

Het probleem werd vastgesteld door Tavis Ormandy, een beveiligingsonderzoeker voor Google's Project Zero. Ormandy beschreef het probleem als 'architecturaal' van aard, en zei verder dat het veel tijd zou vergen om het probleem aan te pakken.

Terwijl LastPass werkte om het beveiligingslek te verhelpen, adviseerden ze klanten om dit te gebruiken tweefactorauthenticatie en om alle verdachte links te vermijden.

Dit is echter niet het enige dat LastPass heeft geleden. In juni 2015 kondigde het bedrijf aan dat hun servers waren binnengedrongen. LastPass meldde dat er geen opgeslagen wachtwoorden zijn gestolen en dat de hackers namen geen e-mailadressen, wachtwoordherinneringen of verificatiehashes aan.

KeePass wordt gehackt - soort van

De beschikbaarheid van een tool met de bijnaam "KeeFarce" in 2015 zorgde ervoor dat het er voor KeePass moeilijk uitzag. Hoewel deze hacker-tool op KeePass was gericht, is het mogelijk dat de tool kan worden aangepast om zich op elke wachtwoordbeheerder te richten.

In wezen is deze tool ontworpen om te richten op de computers van gebruikers, die over het algemeen niet over de robuuste beveiligingsfuncties beschikken die wachtwoordbeheerders gebruiken. De tool was in staat om alle gebruikersnamen en wachtwoorden te decoderen die de gebruiker met KeePass had opgeslagen. Alle gegevens werden vervolgens naar een bestand geschreven waartoe de hacker toegang had.

Deze tool is ontworpen om een ​​probleem te benadrukken dat alle wachtwoordbeheerders hebben. Een geïnfecteerde computer is een kwetsbare computer. Hoe goed een wachtwoordbeheerder ook is wanneer de computer van de gebruiker is geïnfecteerd met een virus of ander probleem, de bescherming die door de manager wordt geboden, is onbetwistbaar. Je moet je eigen beveiliging verbeteren als je enige hoop hebt op een wachtwoordbeheerder.

Keeper vangt een bug

bug detectieIn mei 2018 kondigde Keeper aan dat ze een bug hadden opgelost die was geïdentificeerd door een beveiligingsonderzoeker. De onderzoeker zei dat de bug heeft mogelijk ongeautoriseerde personen toegang gegeven tot de privégegevens van een andere gebruiker.

De bug werd aan het licht gebracht via een openbaarmakingslijst voor de openbare veiligheid. In wezen vermeldde de lijst dat elke persoon die de API-server van het bedrijf beheerde in theorie toegang had tot de decoderingssleutel tot de kluis van wachtwoorden van elke gebruiker. De oorzaak van het probleem zat in Keeper Commander, een script dat wordt aangedreven door Python waarmee gebruikers wachtwoorden kunnen roteren.

Keeper's bug is sindsdien geëlimineerd.

De bevindingen van TeamSIK

In februari 2017 publiceerden onderzoekers van het Fraunhofer Institute for Secure Information Technology hun bevindingen na een beoordeling van de negen meest gebruikte wachtwoordbeheerders. De resultaten waren allesbehalve geruststellend.

team sik logoDe onderzoekers, bekend als TeamSIK, noemden hun bevindingen "uiterst zorgwekkend." Ze beweerden zelfs dat deze bedrijven "het vertrouwen van de gebruikers misbruiken en hen blootstellen aan hoge risico's."

De wachtwoordbeheerders die in de beoordeling waren opgenomen, waren 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager en My Passwords.

Elke manager in de beoordeling had ten minste één beveiligingsfout. De onderzoekers brachten elk van de bedrijven op de hoogte van hun bevindingen en mot-problemen werden snel aangepakt. Toch lijkt het er niet op dat elk bedrijf deze problemen had moeten realiseren en verhelpen zonder een externe bron nodig te hebben om ze in actie te brengen?

In de nasleep, gebruikers werden aangemoedigd ervoor te zorgen dat ze werden gepatcht en de nieuwste versies van de software voor wachtwoordbeheer gebruikten zodat ze optimaal gebruik konden maken van de verbeterde beveiligingsmaatregelen.

Hieronder vindt u enkele specifieke details / rapporten. Open elk rapport voor specifieke details.

MyPasswords 

  • Lees de privégegevens van de app My Passwords
  • Master wachtwoord decodering van mijn wachtwoorden App
  • Gratis premiumfuncties Ontgrendel voor mijn wachtwoorden

Informaticore Password Manager 

  • Onveilige referentieopslag in Mirsoft Password Manager

LastPass Password Manager 

  • Hardgecodeerde hoofdsleutel in LastPass Password Manager
  • Privacy, gegevenslekkage bij LastPass Browser Search
  • Lees privédatum (opgeslagen masterwachtwoord) van LastPass Password Manager

Keeper Passwort-Manager 

  • Keeper Password Manager Beveiligingsvraag Bypass
  • Keeper Password Manager Gegevensinjectie zonder hoofdwachtwoord

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Onveilige gegevensopslag

Dashlane Password Manager 

  • Lees privégegevens uit de app-map in Dashlane Password Manager
  • Google Zoeken Informatie Lekkage in Dashlane Password Manager Browser
  • Residu-aanval Hoofdwachtwoord uit Dashlane Password Manager extraheren
  • Subdomein Wachtwoordlekkage in interne Dashlane Password Manager-browser

Afbeeldingen verbergen Veilige kluis behouden 

  • SKeepsafe Wachtwoordopslag in platte tekst

Avast-wachtwoorden 

  • App-wachtwoord stelen van Avast Password Manager
  • Wachtwoorddiefstal door vervalste website van Avast Password Manager
  • Onveilige standaard-URL's voor populaire sites in Avast Password Manager
  • Subdomein Wachtwoordlekkage in Avast Password Manager
  • Gebroken beveiligde communicatie-implementatie in Avast Password Manager
  • Interne test-URL's in Avast Password Manager

1Password - Wachtwoordbeheer 

  • Subdomein Wachtwoordlekkage in 1Password interne browser
  • Https downgrade naar http URL standaard in 1Password Internal Browser
  • Titels en URL's niet gecodeerd in 1Password-database
  • Lees privégegevens uit de app-map in 1Password Manager
  • Privacykwestie, informatie gelekt naar leverancier 1Password Manager

Soorten beveiligingsinbreuken

De realiteit is dat alle grote wachtwoordbeheerders op een of ander moment ernstige beveiligingsinbreuken hebben gehad. Zelfs als ze de problemen corrigeren terwijl ze worden ontdekt, lijkt het erop dat er altijd nieuwe schema's op komst zijn. Dit zijn enkele van de beveiligingsinbreuken waarvoor wachtwoordbeheerders kwetsbaar zijn.

phishing - De meeste mensen hebben gehoord over phishing-schema's. Het gaat om een ​​e-mail of sms-bericht dat zogenaamd is verzonden door een gerenommeerde entiteit of persoon. Het doel is om een ​​nietsvermoedend slachtoffer gevoelige gegevens, zoals bankrekeningnummers, creditcardnummers en sofi-nummers, te laten onthullen met als doel de ontvanger te bedriegen.

phishing aanvalsstroom

Phishing is gebruikt om klanten van wachtwoordbeheer te bedriegen. In dit schema wordt klanten gevraagd in te loggen op een website vanwege een verlopen sessie. Wanneer ze dat doen, is een verwarrend vergelijkbare phishing-website eigenlijk waar ze hun privégegevens invoeren. De gebruiker heeft zojuist gewillig zijn geheime wachtwoord aangeboden aan een hacker.

Cross-site aanvraag vervalsing - Vaak aangeduid als CSRF, misleidt dit schema mensen om onbedoelde acties online te ondernemen. Het wordt gebruikt door gebruikers die zijn geverifieerd in een webapplicatie. De snode partij stuurt vaak een link via e-mail om het slachtoffer ertoe te brengen geld over te maken of andere potentieel schadelijke acties te ondernemen.

Cross-site scripting - Bekend als XSS, omvat deze aanval de introductie van kwaadaardige code in anders bekende en vertrouwde websites.

Brute-Force Attacks - Deze beveiligingslek betreft geautomatiseerde software die verschillende combinaties probeert totdat deze een datagoudmijn raakt, zoals de server van uw wachtwoordbeheerder.

autofil wachtwoordKwetsbaarheid van de functie Automatisch vullen - Het is verleidelijk om de functie voor automatisch aanvullen in uw webbrowser of wachtwoordbeheerder te gebruiken, omdat het alles zoveel gemakkelijker lijkt te maken. In werkelijkheid maakt u het uw cybercriminelen over de hele wereld alleen maar gemakkelijker. Het wordt zelfs gebruikt door adverteerders.

Hoofdwachtwoord opslaan in platte tekst - Bewijsend dat wachtwoordbeheerders niet noodzakelijkerwijs de beste poortwachters van uw gevoelige gegevens zijn, ontdekte één onderzoeksproject het feit dat sommige wachtwoordbeheerders de hoofdwachtwoorden van klanten in platte tekst opslaan zonder enige codering.

App's code met coderingssleutels - In wezen onthult de eigen code van de app coderingssleutels in de code zelf. Het is een velddag voor hackers wanneer dit beveiligingslek wordt ontdekt.

Klembord snuiven of kapen - Door deze inbreuk kunnen criminelen inloggegevens pakken die in het geheugen van de pc zijn gekopieerd, zodat ze in een interface kunnen worden geplakt voor wachtwoordinvoer.

Ingebouwde webbrowserfouten - Sommige wachtwoordbeheerders zijn ook browsers, waarvan het gebruik wordt verondersteld om klanten online veiliger te houden. Met een imperfect wachtwoordbeheer, wat ze allemaal zijn, wordt de kans op fouten vermenigvuldigd.

Aanval gegevensresidu - Gebruikers die apps van hun apparaten verwijderen, hoeven niet noodzakelijk alle sporen ervan te verwijderen. Sommige hackers vallen het "residu" aan dat achterblijft. Alleen echt solide beveiligingsmaatregelen houden criminelen daadwerkelijk buiten.

cyberaanvallen door insidersInsider hacken - Ga er niet vanuit dat u veilig bent, alleen omdat u een bedrijfscomputer gebruikt. Sommige hacks zijn van binnenuit uitgevoerd door een collega. Dat is net zo waar in de kantoren van wachtwoordbeheerders. Hoe weet u dat u de werknemers van uw provider kunt vertrouwen?

Informatie lekt door wisselgeheugen - De meeste computers hebben hoofdgeheugen en secundaire opslag. Elk proces dat de computer uitvoert, krijgt zoveel geheugen als het vraagt. Actief proces worden opgeslagen in het hoofdgeheugen. Sluimerende processen worden verplaatst naar secundaire opslag. Wanneer een bepaald proces tonnen geheugen in beslag neemt, worden meer items naar secundaire opslag gepusht. De systeemprestaties verslechteren en het beëindigen van het lekkende proces hoeft niet te betekenen dat processen die naar secundaire opslag zijn gepusht, onmiddellijk worden teruggewisseld. Alles dat is uitbesteed aan de secundaire opslag kan kwetsbaar zijn voor aanvallen.

Wat brengt de toekomst?

Zoals opgemerkt, hebben de negen bekendste wachtwoordbeheerders sindsdien al deze problemen opgelost. Welke andere problemen kunnen echter op de loer liggen? Sommige van de kwetsbaarheden die TeamSIK aan het licht had gebracht, hadden heel duidelijk moeten zijn, maar geen van deze bedrijven was zich hiervan bewust. Er was een onafhankelijke derde partij voor nodig om deze problemen aan het licht te brengen en aan het licht te brengen. Kunt u echt een wachtwoordbeheerder vertrouwen met uw meest gevoelige gegevens?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me