Sú chrániče hesiel bezpečné? Zoznam všetkých závažných porušení

Ak trávite čas na internete (a kto dnes nie?), Pravdepodobne máte veľa hesiel.


Heslo sa vyžaduje vždy, keď sa prihlásite na svoje účty sociálnych médií, skontrolujte stav svojho bankového účtu alebo si objednáte niečo od Amazonu. Ak patríte do akéhokoľvek fóra, prevádzkujete webovú stránku alebo dokonca píšete blog, máte ešte viac hesiel.

nutnosť heslaJe lákavé používať rovnaké heslo pre každý z týchto webových stránok. Nakoniec sa pravdepodobne budete musieť prihlásiť v priebehu bežného roka na desiatky, ak nie stovky webových stránok. Ak ste mali silné a jedinečné heslo pre každý z týchto webových stránok, ako si ich možno môžete pamätať??

Bohužiaľ, príliš veľa ľudí sa vydáva ľahkou cestou von. Používajú heslo, ktoré je celkom zrejmé, napríklad „Password123,“A potom ich použiť na všetky svoje online aktivity. Prečo je to taký strašný nápad? pretože Ak sa hackerovi nepodarí získať heslo na jednom účte, bude mať heslo pre všetky vaše účty.

Možno nemáte na pamäti, že je to obzvlášť veľký problém, ak sa niektorá nešťastná strana dokáže prihlásiť do vášho profilu na Facebooku, hoci v takom prípade môže spôsobiť zmätok. Ak im však toto heslo umožní prístup k vašim bankovým informáciám, číslam vašej kreditnej karty, číslu sociálneho zabezpečenia alebo čokoľvek inému, určite vám bude záležať.

Prečo sú silné heslá kritické

V posledných rokoch sa na mnohých webových stránkach začali zavádzať požiadavky na stále dlhšie a zložitejšie heslá. Je pre používateľov bolesť vymyslieť si tieto heslá a pamätať si ich, existuje však dobrý dôvod.

silné hesloČím zložitejšie a náhodnejšie sú vaše heslá, tým ťažšie sú pre hackerov na rozpoznanie. Teraz si predstavte, že ste mali desiatky týchto hesiel, jedno pre každý z vašich webových stránok, ktoré často navštevujete. Títo hackeri sa nedostanú tak ďaleko, keď musia zistiť úplne náhodný reťazec 12 alebo viac písmen, číslic a špeciálnych znakov. Problémy sa znásobujú iba používaním jedinečných hesiel na každom z vašich online účtov.

Tento typ hesla je kritický pre vaše online zabezpečenie. Keď jeden hacker zistí vaše príliš jednoduché heslo, môže ho použiť sám, alebo ho predať za veľké peniaze na čiernom trhu. Niektorí z týchto kupujúcich sú neuveriteľne sofistikovaní. V priebehu niekoľkých minút bude vaša totožnosť ukradnutá, váš úverový rating bude zničený a strávite roky a veľa peňazí pokusom získať svoju reputáciu späť.

Podľa prehľadu technológie MIT je vytvorenie skutočne silného hesla viac ako použitie jedného veľkého písmena, jedného čísla a jedného špeciálneho znaku. Čím dlhšie si vytvoríte svoje heslo a čím viac špeciálnych znakov použije, tým pravdepodobnejšie bude hackerov páchať.

Hackeri majú softvér, ktorý nepretržite a neúnavne prechádza heslom „dohady“. Skôr alebo neskôr sa môžu k vám pripnúť. Ak je však vaše heslo dlhé, zložité a úplne náhodné, potom je veľká šanca, že hacker pôjde hľadať omnoho ľahšiu korisť, ktorá je k dispozícii v hojnom množstve.

Čo je to Password Manager?

Problém je v tom, že pripomenutie si všetkých týchto neuveriteľne dlhých, komplikovaných a jedinečných hesiel je herkulovskou úlohou. Kto ich môže udržať rovno? Tu prichádzajú manažéri hesiel.

ako funguje správca hesielVäčšina správcov hesiel je navrhnutá tak, aby generovala nespočetné množstvo náhodných hesiel pre jednotlivých používateľov. Tieto heslá ukladajú a pri návšteve každej webovej stránky ich získavajú.

Je tiež možné, aby tieto služby ukladali čísla kreditných kariet vrátane trojmiestneho kódu CVV na zadnej strane spolu s kódmi PIN a odpoveďami na rôzne bezpečnostné otázky. Všetky tieto údaje sú šifrované v snahe preniknúť hackerom. Mnoho z týchto služieb používa hashovanie, ktoré v podstate je zodpovedný za prevod obyčajných údajov na reťazce čísiel alebo znakov s vopred stanovenou dĺžkou.

Kedykoľvek budete chcieť navštíviť webovú stránku, na ktorej budete musieť použiť jedno z vašich hesiel, prihlásite sa do „trezoru“ údajov, ktoré ste predtým uložili v správcovi hesiel. Prístup sa udeľuje prostredníctvom jediného hesla pre službu správcu.

Znie to celkom pohodlne, ale je veľmi dôležité, aby ste správcom hesiel príliš nedôverovali. Tieto služby nie sú kúzelnou guľkou, ktorá vás ochráni pred akýmkoľvek poškodením. Je stále rozumné používať VPN ako NordVPN pre všetky prehliadania, dvojfaktorové overenie pre niektoré mimoriadne cenné účty a pre použitie iba zariadení, ktorým dôverujete.

V skutočnosti by ste sa mali múdre vzdať používania správcu hesiel.

Prečo môžu byť manažéri hesiel riskantní

Správcovia hesiel ukladajú všetky vaše citlivé údaje lokálne alebo v cloude. Preto sú vaše heslá uložené v trezore na úložnej jednotke alebo počítači vo vašej domácnosti alebo sa uchovávajú na diaľku na serveroch správcu hesiel..

Veľkí hráči na trhu Páči sa mi to Dashlane1Password LastPass predvolene používajú svoje servery na ukladanie vašich súkromných informácií. To vám uľahčí synchronizáciu všetkých uložených údajov, ktoré máte, so všetkými vašimi zariadeniami.

hackovanie hesielTieto spoločnosti teraz vydávajú veľa sľubov o svojich bezpečnostných opatreniach, to však nezbavuje všetkých spotrebiteľov. Len si predstavte, či všetky tieto neuveriteľne cenné údaje na jednom serveri boli napadnuté hackom. Pretože ste všetky svoje vajcia vložili do jedného košíka, stratili ste kontrolu nad online životom.

Realita je taká, že len málo hackerov dokáže odolať pokušeniu prekonať pokročilé bezpečnostné systémy. Pomyslite na všetky neoceniteľné údaje, ktoré mohli zhromaždiť jediným hackom. Konsolidácia niekedy nie je múdry manéver.

Ak sa vám naozaj nepáči cloudové úložisko pre všetky vaše heslá, možno by ste sa namiesto toho mohli rozhodnúť pre miestne úložisko. Dashlane umožňuje to, keď sa zákazníci rozhodnú zakázať funkciu „Sync“.

1Password umožňuje zákazníkom kúpiť si softvérovú licenciu, ktorá im dáva kontrolu nad tým, kde je ich úschovňa. KeePass umožňuje ukladať vaše údaje do úschovne, ktorá je šifrovaná na vašom vlastnom zariadení.

Predtým, ako na tieto možnosti skočíte oboma nohami, sa však opýtajte sami seba, aké bezpečné sú vaše vlastné opatrenia elektronickej bezpečnosti? Je možné, že sa nimi hacker dostane, aby z vášho zariadenia prevzal všetky vaše heslá?

Porušenie zabezpečenia, o ktorom potrebujete vedieť

Uvedené porušenia bezpečnosti nie sú teoretické. Mnoho z nich sa stalo. Predtým, ako sa rozhodnete, či pre vás má správca hesiel zmysel alebo nie, zvážte tieto porušenia.

Porušenie v OneLogine

Správca hesiel OneLogin v júni 2017 odhalil, že utrpel hack. Často hlásený incident ovplyvnili všetkých zákazníkov spoločnosti, ktorých údaje boli uložené v dátovom centre USA.

V tlačovej správe OneLogin napísal, že „odvtedy sme zablokovali tento neoprávnený prístup, nahlásili záležitosť orgánom činným v trestnom konaní a spolupracujeme s nezávislou bezpečnostnou spoločnosťou, aby sme určili, ako k neoprávnenému prístupu došlo.“

LastPass hlási porušenie

Na LastPass nastal ďalší skôr neslávny hacker hesiel. Toto bolo hlásené v apríli 2017 a spoločnosť ho opísala ako „jedinečný a sofistikovaný“ problém. Dôsledkom je, že LastPass používa také pokročilé šifrovacie techniky a bezpečnostné opatrenia, že situácia je všetka, ale nemysliteľná a nemohla by sa opakovať..

Tento problém zistil Tavis Ormandy, výskumný pracovník v oblasti bezpečnosti pre projekt Google Zero. Ormandy charakterizovala túto otázku ako „architektonickú“ v prírode a ďalej povedala, že na vyriešenie problému je potrebný značný čas.

Zatiaľ čo LastPass pracoval na náprave chyby zabezpečenia, radil klientom, aby ich používali dvojfaktorová autentifikácia a vyhnúť sa všetkým podozrivým odkazom.

Toto však nie je jediný prípad, ktorý utrpel LastPass. V júni 2015 spoločnosť oznámila, že ich servery zažili prienik. LastPass oznámil, že žiadne uložené heslá neboli ukradnuté a že hackeri nezobrali e-mailové adresy, pripomenutia hesiel ani autentifikačné hashe.

KeePass dostane napadnuté - druh

Dostupnosť nástroja prezývaného „KeeFarce“ v roku 2015 spôsobila, že veci vyzerajú pre KeePass príšerne. Tento hackerský nástroj bol síce zacielený na KeePass, je možné, že by sa tento nástroj mohol upraviť tak, aby zacieľoval na ľubovoľného správcu hesiel.

Tento nástroj bol navrhnutý v zásade na zacielenie na počítače používateľov, ktorí spravidla nemajú robustné bezpečnostné funkcie, ktoré používajú správcovia hesiel. Tento nástroj bol schopný dešifrovať všetky užívateľské mená a heslá, ktoré užívateľ uložil pomocou KeePass. Všetky údaje boli potom zapísané do súboru, ku ktorému mal hacker prístup.

Tento nástroj bol navrhnutý tak, aby upozorňoval na problém, ktorý majú všetci správcovia hesiel. Napadnutý počítač je zraniteľný počítač. Bez ohľadu na to, aký dobrý je správca hesiel, keď je počítač používateľa infikovaný vírusom alebo iným problémom, ochrana poskytovaná správcom musí byť ohrozená. Ak máte nádej, že budete mať prospech zo správcu hesiel, musíte zvýšiť svoju bezpečnosť.

Strážca chytí chybu

detekcia chýbV máji 2018 Keeper oznámil, že opravil chybu, ktorú zistil výskumný pracovník v oblasti bezpečnosti. Vedec to povedal chyba mohla povoliť neoprávneným osobám prístup k súkromným údajom patriacim inému používateľovi.

Chyba bola odhalená prostredníctvom zverejňovacieho zoznamu pre verejnú bezpečnosť. Zoznam v podstate uviedol, že každý jednotlivec, ktorý ovládal podnikový server API, mohol teoreticky pristupovať k dešifrovaciemu kľúču do úschovne hesiel patriacich ktorémukoľvek používateľovi. Zdroj problému bol obsiahnutý v Keeper Commander, skript poháňaný Pythonom, ktorý umožňuje používateľom striedať heslá.

Bueperova chyba bola odvtedy odstránená.

Zistenia TeamSIK

Vo februári 2017 vedci pracujúci vo Fraunhoferovom inštitúte pre bezpečné informačné technológie zverejnili svoje zistenia po preskúmaní deviatich najčastejšie používaných správcov hesiel. Výsledky boli nič iné ako upokojujúce.

logo tímu sikVedci, známy ako TeamSIK, označili svoje zistenia za „veľmi znepokojujúce“. Dokonca tvrdili, že tieto spoločnosti „zneužívajú dôveru používateľov a vystavujú ich vysokým rizikám“.

Manažéri hesiel, ktorí boli zahrnutí do preskúmania, boli 1 heslá, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager a Moje heslá..

Každý manažér v preskúmaní mal najmenej jednu bezpečnostnú chybu. Vedci informovali každú zo svojich spoločností o svojich zisteniach a problémy s motorom boli rýchlo vyriešené. Nezdá sa však, že by si každá spoločnosť mala uvedomiť a napraviť tieto problémy bez toho, aby na ich konanie potrebovala vonkajší zdroj.?

Následne, používatelia boli vyzvaní, aby zabezpečili, že boli oprava a používali najnovšie verzie softvéru na správu hesiel aby mohli naplno využívať výhody vylepšených bezpečnostných opatrení.

Nižšie sú uvedené niektoré konkrétne podrobnosti / správy. Ak chcete získať konkrétne podrobnosti, otvorte každú správu.

MyPasswords 

  • Prečítajte si súkromné ​​údaje o aplikácii Moje heslá
  • Hlavné heslo pre dešifrovanie mojich hesiel App
  • Bezplatne prémiové funkcie odomknite moje heslá

Informaticore Password Manager 

  • Nezabezpečené úložisko poverení v Mirsoft Password Manager

LastPass Password Manager 

  • Pevne zakódovaný hlavný kľúč v nástroji Password Manager LastPass
  • Ochrana osobných údajov, únik údajov pri vyhľadávaní v prehliadači LastPass
  • Prečítajte si súkromné ​​dátum (uložené hlavné heslo) zo správcu hesiel LastPass

Keeper Passwort-Manager 

  • Vynechanie bezpečnostnej otázky správcu hesiel
  • Vkladanie údajov správcu hesiel bez hlavného hesla

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager - nezabezpečené úložisko poverení

Dashlane Password Manager 

  • Čítajte súkromné ​​údaje zo zložky aplikácií v Dashlane Password Manager
  • Únik informácií o vyhľadávaní Google v prehliadači Dashlane Password Manager
  • Rezíduálny útok extrahujúci hlavné heslo z Dashlane Password Manager
  • Únik hesla pre subdoménu vo vnútornom prehliadači správcu hesiel

Skryť obrázky Uchovávajte v bezpečnom trezore 

  • SKeepsafe Plaintext Password Storage

Avast Passwords 

  • Krádež hesla aplikácie z Avast Password Manager
  • Krádež hesla pomocou webových stránok Spoofed od správcu hesiel Avast
  • Nezabezpečené predvolené adresy URL pre populárne stránky v nástroji Avast Password Manager
  • Únik hesla pre subdoménu v Avast Password Manager
  • Implementácia prerušenej bezpečnej komunikácie v Avast Password Manager
  • Interné testovacie adresy URL v Avast Password Manager

1Password - Password Manager 

  • Únik hesla pre subdoménu v internom prehliadači 1 hesiel
  • Https v predvolenom nastavení v internom prehliadači 1Password prejde na nižšiu verziu na http URL
  • Názvy a adresy URL nie sú šifrované v databáze 1 hesiel
  • Čítajte súkromné ​​údaje zo zložky aplikácií v aplikácii 1Password Manager
  • Problém ochrany osobných údajov, informácie prepustené predajcovi 1Password Manager

Druhy narušenia bezpečnosti

Realita je taká, že všetci hlavní správcovia hesiel narazili vážne narušenia bezpečnosti naraz. Aj keď opravujú problémy, keď sú odkryté, zdá sa, že nové schémy sú vždy naspäť. Toto sú niektoré z bezpečnostných porušení, ktorým môžu byť správcovia hesiel zraniteľní.

phishing - Väčšina ľudí počula o programoch neoprávneného získavania údajov. Zahŕňajú e-mail alebo textovú správu, ktorú údajne posiela renomovaná entita alebo jednotlivec. Cieľom je získať nič netušiaceho obeť, aby odhalila citlivé údaje, ako sú čísla bankových účtov, čísla kreditných kariet a čísla sociálneho zabezpečenia, aby podviedla príjemcu..

tok útokov typu phishing

Phishing sa používa na podvádzanie zákazníkov správcu hesiel. V tejto schéme sú zákazníci požiadaní, aby sa prihlásili na webovú stránku z dôvodu skončenej relácie. Keď tak urobia, mätúce podobné phishingové stránky sú vlastne miestom, kde vkladajú svoje súkromné ​​údaje. Používateľ práve úmyselne ponúkol hackerovi svoje tajné heslo.

Falšovanie žiadostí o viac stránok - Táto schéma sa často označuje ako CSRF a podnecuje ľudí, aby uskutočňovali nezamýšľané kroky online. Zamestnáva sa u používateľov, ktorí sú autentifikovaní vo webovej aplikácii. Hrozivá strana často pošle prostredníctvom e-mailu odkaz, aby obete prinútila previesť finančné prostriedky alebo podniknúť iné potenciálne škodlivé kroky.

Skriptovanie na viacerých stránkach - Známy pod názvom XSS, tento útok zahŕňa zavedenie škodlivého kódu na inak známe a dôveryhodné webové stránky.

Útoky hrubou silou - Toto narušenie bezpečnosti sa týka automatizovaného softvéru, ktorý sa pokúša rôzne kombinácie, až kým nenarazí na zlatý důl údajov, ako je napríklad server správcu hesiel.

automatické hesloZraniteľnosť funkcie automatického dopĺňania - Používanie funkcie automatického dopĺňania vo webovom prehľadávači alebo správcovi hesiel je lákavé, pretože sa zdá, že všetko je oveľa jednoduchšie. V skutočnosti iba uľahčujete veci svojim kybernetickým zločincom na celom svete. Používajú ho dokonca aj inzerenti.

Uloženie hlavného hesla do obyčajného textu - Za predpokladu, že správcovia hesiel nie sú nevyhnutne najlepšími poskytovateľmi vašich citlivých údajov, jeden výskumný projekt odhalil skutočnosť, že niektorí správcovia hesiel ukladali hlavné heslá zákazníka vo formáte obyčajného textu bez akéhokoľvek šifrovania..

Kód aplikácie obsahujúci šifrovacie kľúče - Vlastný kód aplikácie v podstate odhaľuje šifrovacie kľúče v samotnom kóde. Keď sa zistí táto zraniteľnosť, je to hackerský deň.

Schránka do schránky alebo únos - Toto porušenie umožňuje zločincom získať poverenia, ktoré boli skopírované do pamäte počítača, aby ich mohli vložiť do rozhrania na zadanie hesla..

Vstavaný webový prehliadač nedostatky - Niektorí správcovia hesiel sú tiež prehliadačmi, ktorých používanie má zákazníkom zaistiť bezpečnosť online. Avšak s nedokonalým správcom hesiel, ktorým sú všetci, je možnosť nedostatkov znásobená.

Útok na zvyšky údajov - Používatelia, ktorí odstránia aplikácie zo svojich zariadení, nemusia nevyhnutne odstrániť všetky stopy. Niektorí hackeri útočia na „zvyšok“, ktorý zostáva. Iba skutočne spoľahlivé bezpečnostné opatrenia skutočne chránia zločincov.

počítačové útoky zasvätených osôbInsider Hacking - Nepredpokladajte, že ste v bezpečí len preto, že používate firemný počítač. Niektoré hacky sú vnútornou prácou, ktorú spácha kolega. To isté platí aj v kanceláriách správcov hesiel. Ako viete, že môžete dôverovať zamestnancom vášho poskytovateľa?

Informácie presakujú prostredníctvom swapovej pamäte - Väčšina počítačov má hlavnú pamäť a sekundárne úložisko. Každý proces, ktorý počítač vykonáva, získa toľko pamäte, koľko požaduje. Aktívny proces sa ukladá do hlavnej pamäte. Obrovské procesy sú vytlačené do sekundárneho úložiska. Keď konkrétny proces začne spotrebovávať veľa pamäte, viac položiek sa dostane do sekundárneho úložiska. Výkon systému sa zhoršuje a ukončenie procesu úniku nemusí znamenať, že procesy, ktoré boli vytlačené do sekundárneho úložiska, sa okamžite vymenia späť. Čokoľvek, čo bolo zadané externe do sekundárneho úložiska, môže byť náchylné na útok.

Čo drží budúcnosť?

Ako už bolo uvedené, deväť najznámejších správcov hesiel odvtedy vyriešilo všetky tieto problémy. Aké ďalšie problémy však môžu byť číhajúce? Niektoré zraniteľné miesta, ktoré TeamSIK odhalil, by mali byť celkom zrejmé, ale žiadna z týchto spoločností o nich nevedela. Odhalenie týchto problémov a ich objasnenie si vyžiadala nezávislá tretia strana. Môžete skutočne dôverovať správcovi hesiel svojimi najcitlivejšími údajmi?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me