Er passordbeskyttere trygge? Liste over hvert større brudd

Hvis du bruker tid på Internett (og hvem gjør det ikke i disse dager?), Har du sannsynligvis mye passord.


Du trenger et passord hver gang du logger deg på sosiale mediekontoer, sjekk bankkontosaldoen eller bestiller noe fra Amazon. Hvis du tilhører et forum, driver et nettsted eller bare skriver en blogg, har du enda flere passord.

passord nødvendighetDet er fristende å bruke det samme passordet for hver av disse nettstedene. Tross alt, må du sannsynligvis logge deg på dusinvis, om ikke hundrevis av nettsteder i løpet av et normalt år. Hvis du hadde et sterkt, unikt passord for hver av disse nettstedene, hvordan kan du muligens huske dem alle?

Dessverre tar for mange mennesker den enkle veien ut. De bruker et passord som er ganske opplagt, sier "Password123,”For eksempel, og bruk den deretter til alle sine online aktiviteter. Hvorfor er dette en så forferdelig idé? Fordi Hvis en hacker klarer å få passordet ditt på en konto, har de passordet for alle kontoene dine.

Kanskje du ikke gjør noe med at det er en særlig stor avtale om en eller annen misfornøyd part kan logge seg på Facebook-profilen din, selv om de kan ødelegge hvis det skjer. Imidlertid, hvis passordet gir dem tilgang til bankinformasjonen din, kredittkortnumrene, SocialSecurity-nummeret eller noe annet, vil du helt sikkert bry deg.

Hvorfor sterke passord er kritiske

De siste årene har mange nettsteder begynt å stille krav til stadig lengre og komplekse passord. Det er vondt for brukeren å komme på og huske disse passordene, men det er god grunn til å gjøre det.

sterkt passordJo mer komplekse og tilfeldige passordene dine er, jo vanskeligere er det for hackere å forstå. Tenk deg at du hadde dusinvis av disse passordene, ett for hvert av nettstedene du ofte besøker. Disse hackerne kommer ikke så langt når de må finne ut av en helt tilfeldig kjede på 12 eller flere bokstaver, tall og spesialtegn. Problemene blir bare multiplisert med din bruk av unike passord på hver enkelt av dine online kontoer.

Denne typen passord er avgjørende for din online sikkerhet. Når en hacker har funnet ut det altfor enkle passordet, kan de bruke det selv eller selge det for store dollar på det svarte markedet. Noen av disse kjøperne er utrolig sofistikerte. I løpet av få minutter blir identiteten din stjålet, kredittvurderingen din blir søppel og vil du bruke år og mye penger på å prøve å få ryktet ditt tilbake.

I følge MIT Technology Review handler det å lage et virkelig sterkt passord mer enn å bruke en stor bokstav, ett tall og ett spesialtegn. Jo lenger du lager passordet ditt, og jo mer spesielle tegn det bruker, desto mer sannsynlig er det at du stubber hackere.

Hackere har programvare som kontinuerlig og utrettelig kjører gjennom "gjetninger." Imidlertid, hvis passordet ditt er langt, sammensatt og helt tilfeldig, da sjansene er gode for at hackeren vil lete etter mye lettere byttedyr, som er tilgjengelig i overflod.

Hva er en passordbehandler?

Problemet er at å huske alle disse utrolig lange, kompliserte og unike passordene er en Herculean oppgave. Hvem kan muligens holde dem alle rett? Det er her passordadministratorer kommer inn.

hvordan passordbehandling fungererDe fleste passordbehandlere er designet for å generere utallige sterke, tilfeldige passord for enkeltbrukere. De lagrer disse passordene, og henter dem deretter når du besøker hvert nettsted.

Det er også mulig for disse tjenestene å lagre kredittkortnumrene dine, inkludert den tresifrede CVV-koden på baksiden, sammen med PIN-koder og svarene dine på forskjellige sikkerhetsspørsmål. Alle disse dataene er kryptert i et bud til folie hackere. Mange av disse tjenestene bruker hashing, noe som egentlig er ansvarlig for konvertering av vanlige data til strenger av tall eller tegn med en forhåndsbestemt lengde.

Hver gang du vil besøke et nettsted der du trenger å bruke et av passordene dine, logger du deg inn i "hvelvet" av data som du tidligere lagret med passordbehandleren din. Tilgang gis gjennom et enkelt passord for ledertjenesten.

Det høres ganske praktisk ut, men det er viktig at du ikke setter for mye tillit til passordbehandlere. Disse tjenestene er ikke en magisk kule som beskytter deg mot all skade. Det er fortsatt lurt å bruke et VPN som NordVPN for all surfing, tofaktorautentisering for visse ekstremt verdifulle kontoer og bare bruke enheter du stoler på.

Det kan være lurt å slippe å bruke en passordbehandling i det hele tatt.

Hvorfor passordledere kan være risikable

Passordbehandlere lagrer alle sensitive data enten lokalt eller på en sky. Følgelig ligger passordene dine i et hvelv på en lagringsstasjon eller datamaskin hjemme, eller de oppbevares eksternt på passordbehandlerens servere.

Store navn-aktører i bransjen som Dashlane1Password og Lastpass bruker serverne deres til å lagre din private informasjon som standard. Dette gjør det mer praktisk for deg å synkronisere lagrede data du måtte ha med alle enhetene dine.

passord hackingNå gir disse selskapene mange løfter om sikkerhetstiltakene sine, men det gjør ikke alle forbrukere komfortable. Tenk om alle de utrolig verdifulle dataene på den samme serveren ble kompromittert av et hack. Fordi du har lagt alle eggene dine i en kurv, har du nettopp mistet kontrollen over online-livet ditt.

Realiteten er at få hackere kan motstå fristelsen til å komme forbi de avanserte sikkerhetssystemene. Tenk på alle uvurderlige data de kunne samle med bare ett hack. Noen ganger er ikke konsolidering en klok manøver.

Hvis du virkelig ikke liker tanken på skylagring for alle passordene dine, kan du kanskje velge lokal lagring i stedet. Dashlane gjør dette mulig når kunder velger å deaktivere "Synkroniser" -funksjonen.

1Password lar kundene kjøpe en programvarelisens som gir dem kontroll over hvor hvelvet deres oppbevares. KeePass gjør det mulig å lagre dataene dine i et hvelv som er kryptert på din egen enhet.

Før du hopper inn med begge føttene på disse alternativene, kan du imidlertid spørre deg selv hvor sikre dine egne elektroniske sikkerhetstiltak er? Er det mulig at en hacker kan komme gjennom dem for å ta alle passordene dine fra din egen enhet?

Sikkerhetsbrudd som du trenger å vite om

Sikkerhetsbruddene som er oppført er ikke teoretiske. Mange av dem har skjedd. Før du bestemmer deg for om det er fornuftig å bruke en passordbehandler eller ikke, må du ta hensyn til disse bruddene.

Bruddet på OneLogin

Passordsjef OneLogin avslørte i juni 2017 at den hadde fått et hack. Den mye rapporterte hendelsen påvirket alle selskapets kunder hvis data ble lagret i det amerikanske datasenteret.

I en pressemelding skrev OneLogin at, "Vi har siden blokkert denne uautoriserte tilgangen, rapportert saken til rettshåndhevelse og jobber sammen med et uavhengig sikkerhetsselskap for å finne ut hvordan den uautoriserte tilgangen skjedde."

LastPass rapporterer et brudd

Et annet beryktet hackert passordbehandling skjedde på LastPass. Dette ble rapportert i april 2017, og selskapet beskrev det som et “unikt og svært sofistikert” problem. Implikasjonen er at LastPass bruker så avanserte krypteringsteknikker og sikkerhetstiltak at situasjonen er altfor utenkelig og umulig kunne oppstå igjen.

Problemet ble identifisert av Tavis Ormandy, en sikkerhetsforsker for Googles Project Zero. Ormandy beskrev problemet som "arkitektonisk" og sa at det ville kreve betydelig tid å ta opp.

Mens LastPass jobbet for å rette opp sårbarheten, rådet de klienter til å bruke tofaktorautentisering og for å unngå alle mistenkelige koblinger.

Dette er imidlertid ikke den eneste forekomsten som LastPass har lidd. I juni 2015 kunngjorde selskapet at serverne deres hadde opplevd en inntrenging. LastPass rapporterte at ingen lagrede passord ble stjålet og at hackere tok ikke e-postadresser, passordpåminnelser eller godkjenning hash.

KeePass blir hacket - slags

Tilgjengeligheten av et verktøy som fikk kallenavnet “KeeFarce” i 2015, gjorde at ting så terningkastig ut for KeePass. Selv om dette hackerverktøyet var målrettet mot KeePass, er det mulig at verktøyet kan modifiseres for å målrette enhver passordbehandling.

I hovedsak var dette verktøyet designet for å målrette datamaskinene til brukere, som vanligvis ikke har de robuste sikkerhetsfunksjonene som passordbehandlere bruker. Verktøyet var i stand til å dekryptere alle brukernavn og passord som brukeren hadde lagret med KeePass. Alle dataene ble deretter skrevet til en fil som hackeren hadde tilgang til.

Dette verktøyet ble designet for å fremheve et problem som alle passordbehandlere har. En infisert datamaskin er en sårbar datamaskin. Uansett hvor god passordbehandling er når brukerens datamaskin er infisert med et virus eller et annet problem, er beskyttelsen som administratoren tilbyr, sannsynligvis kompromittert. Du må øke din egen sikkerhet hvis du har håp om å dra nytte av en passordbehandler.

Keeper fanger en feil

feildeteksjonI mai 2018 kunngjorde Keeper at de hadde fikset en feil som ble identifisert av en sikkerhetsforsker. Det sa forskeren feilen kan ha tillatt uvedkommende å få tilgang til de private dataene som tilhører en annen bruker.

Feilen ble brakt frem via en avsløringsliste for offentlig sikkerhet. I hovedsak sa oppføringen at enhver person som kontrollerte selskapets API-server teoretisk kunne få tilgang til dekrypteringsnøkkelen til hvelvet med passord som tilhører enhver bruker. Kilden til problemet ble inneholdt med Keeper Commander, et skript drevet av Python som gjør det mulig for brukere å rotere passord.

Keepers feil har siden blitt eliminert.

TeamSIK-funnene

I februar 2017 offentliggjorde forskere som jobber ved Fraunhofer Institute for Secure Information Technology sine funn etter en gjennomgang av de ni mest brukte passordlederne. Resultatene var alt annet enn betryggende.

team sik logoForskerne, kjent som TeamSIK, kalte funnene deres “ekstremt bekymringsfulle.” De hevdet til og med at disse selskapene “misbruker brukernes tillit og utsetter dem for stor risiko.”

Passordbehandlerne som ble inkludert i anmeldelsen var 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager og My Passwords.

Hver leder i anmeldelsen hadde minst en sikkerhetsfeil. Forskerne informerte hvert av selskapene om sine funn, og motproblemer ble raskt adressert. Likevel ser det ikke ut som at hvert selskap burde ha innsett og korrigert disse problemene uten å trenge en ekstern kilde for å trøste dem til å iverksette tiltak?

I etterkant, brukere ble oppfordret til å sikre at de ble lappet og bruke de nyeste versjonene av passordbehandlingsprogramvaren slik at de fikk full utbytte av de oppgraderte sikkerhetstiltakene.

Nedenfor er noen av de spesifikke detaljene / rapportene. For spesifikk informasjon, vennligst åpne hver rapport.

MyPasswords 

  • Les private data for appene mine passord
  • Master Password Decryption of My Passwords-appen
  • Gratis premiumfunksjoner låses opp for passordene mine

Informaticore Password Manager 

  • Usikker legitimasjonslagring i Mirsoft Password Manager

LastPass Password Manager 

  • Hardkodet hovednøkkel i LastPass Password Manager
  • Personvern, Datalekkasje i LastPass Browser Search
  • Les Privat dato (lagret hovedpassord) fra LastPass Password Manager

Keeper Passwort-Manager 

  • Keeper Password Manager Sikkerhetsspørsmål Bypass
  • Keeper Password Manager Datainnsprøytning uten hovedpassord

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Usikker sikker legitimasjonslagring

Dashlane Password Manager 

  • Les private data fra appmappen i Dashlane Password Manager
  • Informasjonslekkasje fra Google Søk i Dashlane Password Manager Browser
  • Residue Attack Extracting Masterpassword Fra Dashlane Password Manager
  • Underdomen passordlekkasje i Intern Dashlane Password Manager Browser

Skjul bilder Hold sikker hvelv 

  • SKeepsafe Plaintext Password Storage

Avast passord 

  • App Password Steling fra Avast Password Manager
  • Passordtyveri av forfalsket nettsted fra Avast Password Manager
  • Usikre standard-URL-er for populære nettsteder i Avast Password Manager
  • Underdomen passordlekkasje i Avast Password Manager
  • Ødelagt sikker kommunikasjonsimplementering i Avast Password Manager
  • Interne testadresser i Avast Password Manager

1Password - Password Manager 

  • Underdomen passordlekkasje i 1Password intern nettleser
  • Https nedgraderes til http URL som standard i 1Password Intern nettleser
  • Titler og URL-er som ikke er kryptert i 1Password-database
  • Les private data fra appmappen i 1Password Manager
  • Personvernproblem, informasjon lekket til leverandør 1Password Manager

Typer sikkerhetsbrudd

Realiteten er at alle de store passordlederne har hatt alvorlige sikkerhetsbrudd på et eller annet tidspunkt. Selv om de korrigerer problemene når de blir avdekket, virker det som om nye ordninger alltid er på gang. Dette er noen av sikkerhetsbruddene som passordledere er sårbare for.

phishing - De fleste har hørt om phishing-ordninger. De involverer en e-post eller tekstmelding som angivelig er sendt av en anerkjent enhet eller person. Målet er å få et intetanende offer til å avsløre sensitive data som bankkontonummer, kredittkortnummer og personnummer med det formål å svindle mottakeren.

phishing angrepsflyt

Phishing har blitt brukt til å bedra om passordbehandlerkunder. I denne ordningen blir kundene bedt om å logge på et nettsted på grunn av en utgått økt. Når de gjør det, er faktisk et forvirrende lignende phishing-nettsted der de legger inn sine private data. Brukeren har bare villig tilbudt opp sitt hemmelige passord til en hacker.

Forfalskning på tvers av sider - Ofte referert til som CSRF, og denne ordningen lurer folk til å ta utilsiktede handlinger på nettet. Det brukes på brukere som er autentisert i en nettapplikasjon. Den skumle parten sender ofte en lenke via e-post for å fremkalle offeret til å overføre midler eller iverksette andre potensielt skadelige handlinger.

Cross-Site scripting - Kjent kjent som XSS, dette angrepet innebærer introduksjon av ondsinnet kode på ellers kjente og pålitelige nettsteder.

Brute-Force Attacks - Dette sikkerhetsbruddet innebærer automatisert programvare som prøver forskjellige kombinasjoner til den treffer en data-gullgruve, som serveren til passordbehandleren din..

autofil passordSikkerhetsproblem med automatisk utfylling av funksjon - Å bruke auto-fill-funksjonen i nettleseren eller passordbehandleren er fristende fordi det ser ut til å gjøre alt så mye enklere. I virkeligheten gjør du bare ting lettere for nettkriminelle over hele verden. Det blir til og med brukt av annonsører.

Lagring av hovedpassord i vanlig tekst - Å bevise at passordbehandlere ikke nødvendigvis er de beste portvokterne for sensitive data, avdekket ett forskningsprosjekt at noen passordledere lagret kundens hovedpassord i ren tekst uten noen kryptering overhodet.

Appens kode som inneholder krypteringsnøkler - I hovedsak viser appens egen kode krypteringsnøkler i selve koden. Det er en feltdag for hackere når dette sikkerhetsproblemet blir oppdaget.

Utklippstavle som snuser eller kaprer - Dette bruddet gjør det mulig for kriminelle å hente legitimasjon som er kopiert i PC-minnet, slik at de kan limes inn i et grensesnitt for passordoppføring.

Innebygde feil i nettleseren - Noen passordbehandlere er også nettlesere, hvis bruk er ment å holde kundene tryggere på nettet. Men med en ufullkommen passordbehandling - som de alle er, multipliseres muligheten for feil.

Data Residue Attack - Brukere som sletter apper fra enhetene sine, fjerner ikke nødvendigvis alle spor etter det. Noen hackere angriper "restene" som blir liggende igjen. Bare virkelig solide sikkerhetstiltak faktisk holder utenfor kriminelle.

cyberangrep fra innsidereInsider Hacking - Ikke anta at du er trygg bare fordi du bruker en firmamaskin. Noen hacks er en innsidejobb som blir utført av en kollega. Det er like sant på kontorer for passordadministratorer. Hvordan vet du at du kan stole på de ansatte hos leverandøren din?

Informasjon lekker gjennom bytteminne - De fleste datamaskiner har hovedminne og sekundærlagring. Hver prosess som datamaskinen utfører, får like mye minne som den ber om. Aktiv prosess lagres i hovedminnet. Sovende prosesser skyves ut til sekundærlagring. Når en bestemt prosess begynner å spise opp massevis av minne, blir flere gjenstander presset til sekundærlagring. Systemytelsen blir dårligere, og å avslutte lekkasjeprosessen kan ikke bety at prosesser som ble presset til sekundærlagring blir byttet tilbake umiddelbart. Alt som har blitt outsourcet til sekundærlagring kan være sårbart for angrep.

Hva holder fremtiden?

Som nevnt har de ni mest kjente passordbehandlerne siden løst alle disse problemene. Hvilke andre problemer kan imidlertid lure? Noen av sårbarhetene som ble avdekket av TeamSIK, burde ha vært ganske åpenbare, men ingen av disse selskapene var klar over dem. Det tok en uavhengig tredjepart å avdekke disse sakene og bringe dem fram. Kan du virkelig stole på en passordbehandler med dine mest sensitive data?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me