Er adgangskodebeskyttere sikre? Liste over hvert større brud

Hvis du bruger noget tid på Internettet (og hvem gør det ikke i disse dage?), Har du sandsynligvis en masse adgangskoder.


Du har brug for en adgangskode, hver gang du logger på dine sociale mediekonti, kontroller din bankkontosaldo eller bestiller noget fra Amazon. Hvis du hører til et forum, kører et websted eller endda bare skriver en blog, har du endnu flere adgangskoder.

kodeord nødvendighedDet er fristende at bruge den samme adgangskode til hvert af disse websteder. Når alt kommer til alt er du sandsynligvis nødt til at logge ind på snesevis, hvis ikke hundreder, af websteder i løbet af et normalt år. Hvis du havde en stærk, unik adgangskode til hver af disse websteder, hvordan kunne du muligvis huske dem alle?

Desværre tager for mange mennesker den lette vej ud. De bruger et kodeord, der er temmelig indlysende, siger "Password123,”For eksempel, og brug det derefter til alle deres online aktiviteter. Hvorfor er dette sådan en frygtelig idé? Fordi Hvis en hacker formår at få din adgangskode på endda en konto, så har de din adgangskode til alle dine konti.

Måske gør du ikke noget ved, at det er en særlig stor aftale, hvis et ubehageligt parti er i stand til at logge ind på din Facebook-profil, skønt de kan skabe ødelæggelse, hvis dette sker. Men hvis denne adgangskode giver dem adgang til dine bankoplysninger, dine kreditkortnumre, SocialSecurity-nummer eller noget andet, vil du helt sikkert bryde dig.

Hvorfor stærke adgangskoder er kritiske

I de senere år er mange websteder begyndt at indføre krav til stadig mere lange og komplekse adgangskoder. Det er en smerte for brugeren at komme med og huske disse adgangskoder, men der er god grund til at gøre det.

stærk adgangskodeJo mere komplekse og tilfældige dine adgangskoder er, desto sværere er det for hackere at skelne. Forestil dig nu, at du havde snesevis af disse adgangskoder, et til hver af de websteder, du hyppigt. Disse hackere kommer ikke så langt, når de skal finde ud af en helt tilfældig kæde på 12 eller flere bogstaver, tal og specialtegn. Problemerne ganges kun ved din brug af unikke adgangskoder på hver enkelt af dine online konti.

Denne type adgangskode er kritisk for din online sikkerhed. Når en hacker har fundet ud af din alt for enkle adgangskode, kan de bruge den selv eller sælge den for store bukke på det sorte marked. Nogle af disse købere er utroligt sofistikerede. Inden for få minutter bliver din identitet stjålet, din kreditvurdering er skraldet ned og du bruger mange år og masser af penge på at få dit omdømme tilbage.

Ifølge MIT Technology Review handler det at skabe et virkelig stærkt kodeord mere end at bruge et stort bogstav, et tal og et specialtegn. Jo længere du opretter din adgangskode, og jo mere specialtegn, den bruger, jo mere sandsynligt er det for at stubbe hackere.

Hackere har software, der kontinuerligt og utrætteligt kører gennem "gætte" -adgangskoder. Før eller senere kan de muligvis låse sig fast på din. Men hvis din adgangskode er lang, kompleks og helt tilfældig, så chancerne er gode for, at hackeren vil lede efter meget lettere bytte, som er tilgængelig i overflod.

Hvad er en Password Manager?

Problemet er, at det er en Herculean opgave at huske alle disse utroligt lange, komplicerede og unikke adgangskoder. Hvem kan muligvis holde dem alle lige? Det er her adgangskodeadministratorer kommer ind.

hvordan password manager fungererDe fleste passwordadministratorer er designet til at generere utallige stærke, tilfældige adgangskoder til individuelle brugere. De gemmer disse adgangskoder og henter dem derefter, når du besøger hvert websted.

Det er også muligt for disse tjenester at gemme dine kreditkortnumre, inklusive den trecifrede CVV-kode på bagsiden sammen med pinkoder og dine svar på forskellige sikkerhedsspørgsmål. Alle disse data er krypteret i et tilbud til at folie hackere. Mange af disse tjenester bruger hashing, hvilket i bund og grund er ansvarlig for konvertering af almindelige data til strenge af tal eller tegn med en forudbestemt længde.

Hver gang du vil besøge et websted, hvor du bliver nødt til at bruge et af dine adgangskoder, logger du ind i "hvælvingen" af data, som du tidligere har gemt med din adgangskodeadministrator. Adgang gives via en enkelt adgangskode til managertjenesten.

Det lyder temmelig praktisk, men det er kritisk, at du ikke sætter for meget tillid til passwordadministratorer. Disse tjenester er ikke en magisk kugle, der beskytter dig mod al skade. Det er stadig klogt at bruge en VPN som NordVPN til al browsing, tofaktorautentisering for visse ekstremt værdifulde konti og kun til at bruge enheder, som du har tillid til.

Faktisk kan du være klog på at give afkald på at bruge en password manager overhovedet.

Hvorfor kodeordledere kan være risikable

Adgangskodeadministratorer gemmer alle dine følsomme data enten lokalt eller på en sky. Derfor er dine adgangskoder i et hvælv på et lagringsdrev eller computer derhjemme, eller de opbevares eksternt på passwordadministratorens servere.

Store navne spillere i branchen synes godt om Dashlane1Password og LastPass Brug deres servere til at gemme dine private oplysninger som standard. Dette gør det mere praktisk for dig at synkronisere alle lagrede data, du måtte have med alle dine enheder.

adgangskode hackingNu giver disse virksomheder en masse løfter om deres sikkerhedsforanstaltninger, men det gør ikke alle forbrugere behagelige. Forestil dig, hvis alle disse utroligt værdifulde data på den enkelt server blev kompromitteret af et hack. Fordi du har lagt alle dine æg i en kurv, har du lige mistet kontrollen over dit online liv.

Virkeligheden er, at få hackere kan modstå fristelsen til at komme forbi de avancerede sikkerhedssystemer. Tænk på alle de uvurderlige data, de kunne indsamle med bare et hack. Nogle gange er konsolidering ikke en klog manøvre.

Hvis du virkelig ikke kan lide tanken om skylagring for alle dine adgangskoder, kan du måske vælge lokal lagring i stedet. Dashlane gør dette muligt, når kunder vælger at deaktivere "Sync" -funktionen.

1Password giver kunderne mulighed for at købe en softwarelicens, der giver dem kontrol over hvor deres hvælvelse opbevares. KeePass gør det muligt at gemme dine data i et hvælv, der er krypteret på din egen enhed.

Før du hopper ind med begge fødder på disse muligheder, skal du spørge dig selv, hvor sikre dine egne elektroniske sikkerhedsforanstaltninger er? Er det muligt, at en hacker kunne komme igennem dem for at tage alle dine adgangskoder fra din egen enhed?

Sikkerhedsbrud, som du har brug for at vide om

De anførte sikkerhedsovertrædelser er ikke teoretiske. Mange af dem er sket. Inden du beslutter dig for, om det er fornuftigt at bruge en password manager eller ikke, skal du tage disse overtrædelser i betragtning.

Overtrædelsen ved OneLogin

Adgangskodechef OneLogin afslørede i juni 2017, at det havde lidt et hack. Den bredt rapporterede hændelse påvirkede alle virksomhedens kunder, hvis data blev gemt i det amerikanske datacenter.

I en pressemeddelelse skrev OneLogin, at "Vi har siden blokeret denne uautoriserede adgang, rapporteret sagen til retshåndhævelse og samarbejder med et uafhængigt sikkerhedsfirma for at afgøre, hvordan den uautoriserede adgang skete."

LastPass rapporterer en overtrædelse

Et andet temmelig berygtet password managerhack opstod ved LastPass. Dette blev rapporteret i april 2017, og virksomheden beskrev det som et "unikt og meget sofistikeret" problem. Implikationen er, at LastPass bruger sådanne avancerede krypteringsteknikker og sikkerhedsforanstaltninger, at situationen er alt sammen, men ikke tænkelig og muligvis ikke kunne forekomme igen.

Problemet blev identificeret af Tavis Ormandy, en sikkerhedsforsker for Googles Project Zero. Ormandy beskrev spørgsmålet som værende "arkitektonisk" og sagde, at det ville kræve betydelig tid at tackle.

Mens LastPass arbejdede for at rette op på sårbarheden, rådede de klienter til at bruge tofaktorautentisering og for at undgå alle mistænkelige links.

Dette er dog ikke den eneste forekomst, som LastPass har lidt. I juni 2015 meddelte virksomheden, at deres servere havde oplevet en indtrængen. LastPass rapporterede, at der ikke blev stjålet nogen gemte adgangskoder, og at hackere tog ikke e-mail-adresser, adgangskodepåmindelser eller godkendelseshascher.

KeePass bliver hacket - Sort Of

Tilgængeligheden af ​​et værktøj med tilnavnet “KeeFarce” i 2015 fik tingene til at se terningagtige ud for KeePass. Selvom dette hackerværktøj var målrettet mod KeePass, er det muligt, at værktøjet kan ændres til at målrette mod enhver adgangskodemanager.

Grundlæggende var dette værktøj designet til at målrette mod brugere på computere, som generelt ikke har de robuste sikkerhedsfunktioner, som adgangskodeadministratorer bruger. Værktøjet var i stand til at dekryptere alle brugernavne og adgangskoder, som brugeren havde gemt med KeePass. Alle data blev derefter skrevet til en fil, som hackeren kunne få adgang til.

Dette værktøj var designet til at fremhæve et problem, som alle adgangskodeadministratorer har. En inficeret computer er en sårbar computer. Uanset hvor god en passwordadministrator er, når brugerens computer er inficeret med en virus eller et andet problem, er beskyttelsen, som administratoren tilbyder, sikkert kompromitteret. Du er nødt til at øge din egen sikkerhed, hvis du har noget håb om at kunne drage fordel af en password manager.

Keeper fanger en fejl

fejldetektionI maj 2018 meddelte Keeper, at de havde rettet en fejl, der blev identificeret af en sikkerhedsforsker. Det sagde forskeren fejlen kan have givet uautoriserede personer adgang til de private data, der tilhører en anden bruger.

Fejlen blev bragt i lyset via en afsløringsliste for offentlig sikkerhed. I det væsentlige sagde fortegnelsen, at enhver, der kontrollerede virksomhedens API-server, teoretisk kunne få adgang til dekrypteringsnøglen til hvælvingen af ​​adgangskoder, der tilhører enhver bruger. Kilden til problemet var indeholdt i Keeper Commander, et script drevet af Python, der giver brugerne mulighed for at rotere adgangskoder.

Keepers fejl er siden blevet fjernet.

TeamSIK-fundet

I februar 2017 offentliggjorde forskere, der arbejder ved Fraunhofer Institute for Secure Information Technology, deres konklusioner efter en gennemgang af de ni mest anvendte passwordadministratorer. Resultaterne var alt andet end betryggende.

team sik logoForskerne, kendt som TeamSIK, kaldte deres fund ”ekstremt bekymrende.” De hævdede endda, at disse virksomheder ”misbruger brugernes tillid og udsætter dem for høje risici.”

Adgangskodeadministratorerne, der var inkluderet i anmeldelsen, var 1Password, Avast-adgangskoder, Skjul billeder Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager og My Passwords.

Hver manager i gennemgangen havde mindst en sikkerhedsfejl. Forskerne informerede hver af virksomhederne om deres fund, og motproblemer blev hurtigt løst. Det ser ikke ud til, som om hver virksomhed burde have realiseret og rettet disse problemer uden at have brug for en ekstern kilde for at trække dem til at gribe ind?

I kølvandet, brugere blev opfordret til at sikre, at de blev lappet og ved hjælp af de nyeste versioner af password manager-softwaren så de fik det fulde udbytte af de opgraderede sikkerhedsforanstaltninger.

Nedenfor er nogle af de specifikke detaljer / rapporter. For specifikke detaljer skal du åbne hver rapport.

MyPasswords 

  • Læs private data i appen Mine adgangskoder
  • Master adgangskodekryptering af min adgangskoder-app
  • Gratis premium-funktioner låses op for mine adgangskoder

Informaticore Password Manager 

  • Usikker Credential Storage i Mirsoft Password Manager

LastPass Password Manager 

  • Hardkodet hovednøgle i LastPass Password Manager
  • Privatliv, datalækage i LastPass Browser Search
  • Læs Privat dato (gemt masterpassword) fra LastPass Password Manager

Keeper Passwort-Manager 

  • Keeper Password Manager Sikkerhedsspørgsmål omgå
  • Keeper Password Manager Datainjektion uden hovedadgangskode

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Usikker Credential Storage

Dashlane Password Manager 

  • Læs private data fra appmappe i Dashlane Password Manager
  • Google Search Information Lækage i Dashlane Password Manager Browser
  • Residue Attack Extracting Masterpassword Fra Dashlane Password Manager
  • Underdomæne adgangskodelækage i intern Dashlane Password Manager-browser

Skjul billeder Hold Safe Vault 

  • SKeepsafe Plaintext Password Storage

Avast-adgangskoder 

  • App Password Steling fra Avast Password Manager
  • Password Theft by Spoofed Website fra Avast Password Manager
  • Usikker standard-webadresser til populære websteder i Avast Password Manager
  • Underdomæne adgangskodelækage i Avast Password Manager
  • Ødelagt sikker kommunikationsimplementering i Avast Password Manager
  • Interne test-webadresser i Avast Password Manager

1Password - Password Manager 

  • Underdomæne Adgangskodelækage i 1Password-intern browser
  • Htps nedgraderes til http URL som standard i 1Password intern browser
  • Titler og URL'er er ikke krypteret i 1Password-database
  • Læs private data fra appmappe i 1Password Manager
  • Problemer med fortrolighed, information lækket til leverandør 1Password Manager

Typer af sikkerhedsbrud

Virkeligheden er, at alle de store administratoradgangskoder har haft alvorlige sikkerhedsbrud på et eller andet tidspunkt. Selv hvis de korrigerer problemerne, når de afsløres, ser det ud til, at nye ordninger altid er på fod. Dette er nogle af de sikkerhedsovertrædelser, som passwordadministratorer er sårbare over for.

Phishing - De fleste har hørt om phishing-ordninger. De involverer en e-mail eller sms, der angiveligt er sendt af en velrenommeret enhed eller person. Målet er at få et intetanende offer til at afsløre følsomme data som bankkontonumre, kreditkortnumre og personnummer med det formål at svindle modtageren.

phishing-angrebstrøm

Phishing er blevet brugt til at bedrager adgangskodehåndterings kunder. I denne ordning bliver kunderne bedt om at logge på et websted på grund af en udløbet session. Når de gør det, er et forvirrende lignende phishing-websted faktisk, hvor de indtaster deres private data. Brugeren har bare villigt tilbudt sin hemmelige adgangskode til en hacker.

Forfalskning på tværs af websteder - Ofte benævnt CSRF, denne ord snyder folk til at tage utilsigtede handlinger online. Det bruges på brugere, der er godkendt i en webapplikation. Den uheldige part sender ofte et link via e-mail for at få offeret til at overføre penge eller tage andre potentielt skadelige handlinger.

Cross-site scripting - Kendt som XSS, dette angreb involverer introduktion af ondsindet kode på ellers kendte og betroede websteder.

Brute-Force Attacks - Dette sikkerhedsbrud involverer automatisk software, der prøver forskellige kombinationer, indtil den rammer en data-guldmine, ligesom serveren i din adgangskodeadministrator.

autofil adgangskodeSårbarhed med automatisk udfyldningsfunktion - Brug af auto-fill-funktionen i din webbrowser eller password manager er fristende, fordi det ser ud til at gøre alt så meget lettere. I virkeligheden gør du kun ting lettere for dine cyberkriminelle overalt i verden. Det bliver endda brugt af annoncører.

Gemme hovedadgangskode i almindelig tekst - At bevise, at adgangskodeadministratorer ikke nødvendigvis er de bedste gateekeepers for dine følsomme data, afslørede et forskningsprojekt, at nogle adgangskodeadministratorer lagrede kundens hovedadgangskoder i ren tekst uden nogen kryptering overhovedet.

App's kode, der indeholder krypteringsnøgler - I det væsentlige eksponerer appens egen kode krypteringsnøgler i selve koden. Det er en feltdag for hackere, når denne sårbarhed opdages.

Klippebord, der snifter eller kaprer - Denne overtrædelse giver kriminelle mulighed for at hente legitimationsoplysninger, der er blevet kopieret til pc'ens hukommelse, så de kan indsættes i en grænseflade til adgangskodeindtastning.

Indbygget fejl i webbrowser - Nogle adgangskodeadministratorer er også browsere, hvis brug formodes at holde kunderne mere sikre online. Imidlertid multipliceres muligheden for mangler med en ufuldkommen adgangsadministrator - som de alle er.

Data Residue Attack - Brugere, der sletter apps fra deres enheder, fjerner ikke nødvendigvis alle spor af det. Nogle hackere angriber den "rest", der er tilbage. Kun virkelig solide sikkerhedsforanstaltninger holder faktisk ud over kriminelle.

cyberangreb fra insidereInsider-hacking - Antag ikke, at du er sikker, bare fordi du bruger en virksomhedscomputer. Nogle hacks er et indvendigt job, der udføres af en kollega. Det er lige så sandt på adgangskodeadministratorernes kontorer. Hvordan ved du, at du kan stole på din udbyders ansatte?

Information lækker gennem swaphukommelse - De fleste computere har hovedhukommelse og sekundær lagerplads. Hver proces, som computeren udfører, får så meget hukommelse, som den beder om. Aktiv proces gemmes i hovedhukommelsen. Sovende processer skubbes ud til sekundær lagring. Når en bestemt proces begynder at spise masser af hukommelse, bliver flere ting skubbet til sekundær opbevaring. Systemydelsen forringes, og afslutning af lækkeprocessen betyder muligvis ikke, at processer, der blev skubbet til sekundær opbevaring, straks skiftes tilbage. Alt, der er outsourcet til den sekundære lager kan være sårbar over for angreb.

Hvad holder fremtiden??

Som nævnt har de ni bedst kendte passwordadministratorer siden alle disse problemer rettet. Hvilke andre problemer lurer dog? Nogle af de sårbarheder, der blev afsløret af TeamSIK, burde have været ganske tydelige, men alligevel var ingen af ​​disse virksomheder opmærksomme på dem. Det tog en uafhængig tredjepart at afsløre disse spørgsmål og bringe dem frem i lyset. Kan du virkelig stole på en adgangskodemanager med dine mest følsomme data?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me