Parola Koruyucular Güvenli midir? Her Büyük İhlalin Listesi

İnternette herhangi bir zaman geçirirseniz (ve bu günlerde kim yok?), Muhtemelen çok fazla şifreniz var.


Sosyal medya hesaplarınıza her giriş yaptığınızda, bankacılık hesap bakiyenizi kontrol ettiğinizde veya Amazon'dan bir şey sipariş ettiğinizde bir parolaya ihtiyacınız vardır. Herhangi bir foruma aitseniz, bir web sitesi işletiyor veya hatta bir blog yazıyorsanız, daha fazla şifreniz var.

şifre gerekliliğiBu web sitelerinin her biri için aynı şifreyi kullanmak cazip gelebilir. Sonuçta, normal bir yıl boyunca yüzlerce olmasa da düzinelerce web sitesinde oturum açmanız gerekiyor. Bu web sitelerinin her biri için güçlü ve benzersiz bir şifreniz varsa, hepsini nasıl hatırlarsın?

Ne yazık ki, çok fazla insan kolay çıkış yolunu kullanıyor. Oldukça açık bir şifre kullanıyorlar, “Password123,”Ve ardından tüm çevrimiçi etkinlikleri için kullanın. Bu neden bu kadar korkunç bir fikir? Çünkü bir bilgisayar korsanı şifrenizi bir hesapta bile almayı başarırsa, tüm hesaplarınız için şifreniz olur.

Belki de hain bir tarafın Facebook profilinize giriş yapabilmesi özellikle önemli bir şey değildir, ancak bu gerçekleşirse tahribat yaratabilirler. Ancak, bu şifre onlara bankacılık bilgilerinize, kredi kartı numaralarınıza, SocialSecurity Numaranıza veya başka bir şeye erişim izni verirse,.

Güçlü Parolalar Neden Kritiktir?

Son yıllarda, birçok web sitesi giderek daha uzun ve karmaşık şifreler için gereksinimler oluşturmaya başladı. Kullanıcının bu şifreleri bulması ve hatırlaması acı verici, ancak bunu yapmanın iyi bir nedeni var.

güçlü şifreŞifreleriniz ne kadar karmaşık ve rastgele olursa, bilgisayar korsanlarının fark etmesi o kadar zor olur. Şimdi, sık kullandığınız her web sitesi için bir düzinelerce bu şifreniz olduğunu düşünün. Bu hackerlar, 12 veya daha fazla harf, sayı ve özel karakterden oluşan tamamen rastgele bir zincir bulmak zorunda olduklarında uzağa gitmeyecekler. Sorunlar, yalnızca çevrimiçi hesaplarınızın her birinde benzersiz şifreler kullanmanızla çarpılır.

Bu tür bir şifre çevrimiçi güvenliğiniz için kritik öneme sahiptir. Bir hacker çok basit şifrenizi çözdükten sonra, kendileri kullanabilir veya karaborsada büyük paralar için satabilirler. Bu alıcıların bazıları inanılmaz derecede sofistike. Birkaç dakika içinde kimliğiniz çalınır, kredi notunuz çöker ve itibarınızı geri kazanmak için yıllarca ve çok para harcayacaksınız.

MIT Teknoloji İncelemesine göre, gerçekten güçlü bir şifre oluşturmak, bir büyük harf, bir sayı ve bir özel karakter kullanmaktan daha fazlasıdır. Parolanızı ne kadar uzun süre yaparsanız ve ne kadar özel karakterler kullanırsa, bilgisayar korsanlarını güdük etme olasılığınız o kadar artar.

Bilgisayar korsanlarının sürekli olarak ve yorulmadan parola “tahminleri” ile çalışan yazılımları vardır. Er ya da geç, sizinkilere kilitlenebilirler. Ancak, şifreniz uzun, karmaşık ve tamamen rastgele ise, bilgisayar korsanının çok daha kolay av araması ihtimali yüksektir, bol miktarda mevcut.

Parola Yöneticisi Nedir?

Sorun şu ki, tüm bu inanılmaz uzun, karmaşık ve benzersiz şifreleri hatırlamak Herkül bir görevdir. Kim muhtemelen hepsini düz tutabilir? Şifre yöneticileri devreye giriyor.

şifre yöneticisi nasıl çalışırÇoğu şifre yöneticisi, bireysel kullanıcılar için sayısız güçlü, rastgele şifre oluşturmak üzere tasarlanmıştır. Bu şifreleri saklarlar ve her bir web sitesini ziyaret ettiğinizde onları alırlar..

Bu hizmetlerin, PIN kodları ve çeşitli güvenlik sorularına verdiğiniz yanıtlarla birlikte üç haneli CVV kodu da dahil olmak üzere kredi kartı numaralarınızı arkada saklaması da mümkündür. Tüm bu veriler bilgisayar korsanlarını folyolamak için şifrelenir. Bu hizmetlerin çoğunda hashing kullanılır; düz verilerin önceden belirlenmiş uzunlukta sayı veya karakter dizelerine dönüştürülmesinden sorumludur.

Parolalarınızdan birini kullanmanız gereken bir web sitesini ziyaret etmek istediğinizde, daha önce parola yöneticinizle sakladığınız verilerin “kasasına” giriş yaparsınız. Yönetici hizmeti için tek bir şifre ile erişim izni verilir.

Bu oldukça kullanışlı görünüyor, ancak şifre yöneticilerine çok fazla güvenmemeniz çok önemli. Bu hizmetler sizi tüm zararlardan koruyacak sihirli bir mermi değil. Gibi bir VPN kullanmak hala akıllıca NordVPN tüm taramalarda, son derece değerli belirli hesaplar için iki faktörlü kimlik doğrulaması ve yalnızca güvendiğiniz cihazları kullanmak için.

Aslında, bir şifre yöneticisi kullanmaktan vazgeçmek akıllıca olabilir.

Parola Yöneticileri Neden Riskli Olabilir?

Parola yöneticileri tüm hassas verilerinizi yerel olarak veya bir bulutta depolar. Buna göre, şifreleriniz evinizdeki bir depolama sürücüsünde veya bilgisayarda bir kasada bulunur veya şifre yöneticisinin sunucularında uzaktan saklanır.

Sektördeki ünlü oyuncular sevmek Dashlane1Password ve Son Geçiş varsayılan olarak özel bilgilerinizi saklamak için sunucularını kullanın. Bu, sahip olabileceğiniz depolanmış verileri tüm cihazlarınızla senkronize etmenizi kolaylaştırır.

şifre korsanlığıŞimdi, bu şirketler güvenlik önlemleri hakkında çok fazla söz veriyor, ancak bu tüm tüketicileri rahatlatmıyor. Tek bir sunucudaki bu inanılmaz derecede değerli verilerin bir bilgisayar korsanlığı tarafından ele geçirildiğini hayal edin. Tüm yumurtalarınızı bir sepete koyduğunuz için, çevrimiçi yaşamınızın kontrolünü kaybettiniz.

Gerçek şu ki, birkaç bilgisayar korsanı gelişmiş güvenlik sistemlerini aşma eğilimine direnebilir. Tek bir hack ile toplayabilecekleri paha biçilmez verileri düşünün. Bazen, konsolidasyon akıllıca bir manevra değildir.

Tüm şifreleriniz için bulut depolama düşüncesinden gerçekten hoşlanmıyorsanız, bunun yerine yerel depolama alanını tercih edebilirsiniz.. Dashlane müşteriler “Senkronizasyon” özelliğini devre dışı bırakmayı seçtiğinde bunu mümkün kılar.

1Password, müşterilerin kasalarının nerede saklandığını kontrol etmelerini sağlayan bir yazılım lisansı satın almalarına olanak tanır. KeePass, verilerinizi kendi cihazınızda şifrelenmiş bir kasada saklamanızı sağlar.

Ancak, bu seçeneklere her iki ayağınızla atlamadan önce, kendi elektronik güvenlik önlemlerinizin ne kadar güvenli olduğunu kendinize sorun. Bir bilgisayar korsanının tüm şifrelerinizi kendi cihazınızdan alabilmesi mümkün mü??

Hakkında Bilmeniz Gereken Güvenlik İhlalleri

Listelenen güvenlik ihlalleri teorik değildir. Birçoğu oldu. Şifre yöneticisi kullanmanın sizin için anlamlı olup olmadığına karar vermeden önce bu ihlalleri dikkate alın.

OneLogin'deki İhlal

Şifre yöneticisi OneLogin, 2017 yılının Haziran ayında bir saldırıya uğradığını açıkladı. Yaygın olarak bildirilen olay verileri ABD veri merkezinde depolanan şirketin tüm müşterilerini etkiledi.

Bir basın bülteninde OneLogin, “O zamandan bu yetkisiz erişimi engelledik, konuyu kolluk kuvvetlerine bildirdik ve yetkisiz erişimin nasıl gerçekleştiğini belirlemek için bağımsız bir güvenlik firmasıyla birlikte çalışıyoruz” yazdı.

LastPass Bir İhlali Rapor Etti

LastPass'ta bir başka kötü şöhretli şifre yöneticisi kesmek gerçekleşti. Bu, Nisan 2017'de bildirildi ve şirket bunu “benzersiz ve çok sofistike” bir sorun olarak nitelendirdi. Bunun anlamı, LastPass'ın durumun tamamen düşünülemez olduğu ve muhtemelen tekrar gerçekleşemeyeceği gelişmiş şifreleme teknikleri ve güvenlik önlemleri kullanmasıdır..

Sorun, Google’ın Project Zero'sunun güvenlik araştırmacısı Tavis Ormandy tarafından belirlendi. Ormandy, sorunu doğada “mimari” olarak nitelendirerek, ele alınması gereken önemli bir zamana ihtiyaç duyacağını söyleyerek.

LastPass bu güvenlik açığını gidermek için çalışırken, istemcilere iki faktörlü kimlik doğrulama ve tüm şüpheli bağlantılardan kaçınmak için.

Ancak, LastPass'in yaşadığı tek olay bu değildir. Haziran 2015'te şirket, sunucularının saldırıya uğradığını açıkladı. LastPass saklanan parolaların çalınmadığını ve bilgisayar korsanları e-posta adresleri, şifre hatırlatıcıları veya kimlik doğrulama karmaları almadı.

KeePass Hacked alır - Sırala

2015 yılında “KeeFarce” lakaplı bir aracın bulunması şeyleri KeePass için zorlaştırdı. Bu hacker aracı KeePass'ı hedeflemesine rağmen, aracın herhangi bir şifre yöneticisini hedefleyecek şekilde değiştirilmesi mümkündür.

Temel olarak, bu araç genellikle parola yöneticilerinin kullandığı güçlü güvenlik özelliklerine sahip olmayan bilgisayarları hedeflemek için tasarlanmıştır. Araç, kullanıcının KeePass ile sakladığı tüm kullanıcı adlarının ve şifrelerin şifresini çözebiliyordu. Tüm veriler daha sonra bilgisayar korsanının erişebileceği bir dosyaya yazılmıştır.

Bu araç, tüm şifre yöneticilerinin sahip olduğu bir sorunu vurgulamak için tasarlanmıştır. Virüs bulaşmış bir bilgisayar savunmasız bir bilgisayardır. Kullanıcının bilgisayarına bir virüs veya başka bir sorun bulaştığında bir parola yöneticisinin ne kadar iyi olursa olsun, yönetici tarafından sunulan koruma tehlikeye atılır. Bir şifre yöneticisinden yararlanma umudunuz varsa, kendi güvenliğinizi artırmalısınız.

Kaleci bir hata yakalar

hata tespitiMayıs 2018'de Keeper, bir güvenlik araştırmacısı tarafından tanımlanan bir hatayı düzelttiklerini açıkladı. Araştırmacı, hata yetkisiz kişilerin başka bir kullanıcıya ait özel verilere erişmesine izin vermiş olabilir.

Bu hata, kamu güvenliği için bir açıklama listesi aracılığıyla aydınlatıldı. Esasen, listeleme, şirketin API sunucusunu kontrol eden herhangi bir kişinin, şifre çözme anahtarına teorik olarak herhangi bir kullanıcıya ait şifre kasasına erişebileceğini söyledi. Sorunun kaynağı, kullanıcıların parolaları döndürmesini sağlayan Python tarafından desteklenen bir komut dosyası olan Keeper Commander'da mevcuttu.

Kalecinin hatası o zamandan beri ortadan kaldırıldı.

TeamSIK Bulguları

2017 yılının Şubat ayında, Fraunhofer Güvenli Bilgi Teknolojisi Enstitüsü'nde çalışan araştırmacılar, en sık kullanılan dokuz şifre yöneticisinin gözden geçirilmesinin ardından bulgularını kamuoyuna açıkladı. Sonuçlar güven verici olmaktan başka bir şey değildi.

takım sik logosuTeamSIK olarak bilinen araştırmacılar bulgularını “son derece endişe verici” olarak nitelendirdiler. Hatta bu şirketlerin “kullanıcıların güvenini kötüye kullandıklarını ve yüksek risklere maruz bıraktıklarını” iddia ettiler.

İncelemeye dahil edilen şifre yöneticileri 1Password, Avast Parolaları, Resimleri Gizle Güvenli Kasayı Koru, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Parola Yöneticisi ve Parolalarımdı..

İncelemedeki her yöneticinin en az bir güvenlik kusuru vardı. Araştırmacılar, her bir şirketi bulguları hakkında bilgilendirdiler ve mot problemleri hızlı bir şekilde ele alındı. Yine de, her şirketin bu sorunları harekete geçirmeye ikna etmek için dışarıdan bir kaynağa ihtiyaç duymadan bu sorunları fark etmiş ve düzeltmiş gibi görünmüyor?

Sonrasında, kullanıcılar yama olduklarından ve şifre yöneticisi yazılımının en son sürümlerini kullandıklarından emin olmaları için teşvik edildi böylece yükseltilmiş güvenlik önlemlerinden tam olarak yararlanıyorlardı.

Aşağıda bazı ayrıntılar / raporlar bulunmaktadır. Özel ayrıntılar için lütfen her raporu açın.

MyPasswords 

  • Şifrelerim Uygulamasının Özel Verilerini Oku
  • Şifrelerim Uygulamasının Ana Şifre Şifresini Çözme
  • Ücretsiz Premium Özellikler Şifrelerim için Kilidini Aç

Bilişim Parola Yöneticisi 

  • Mirsoft Password Manager'da Güvenli Olmayan Kimlik Bilgisi Deposu

LastPass Şifre Yöneticisi 

  • LastPass Parola Yöneticisinde Sabit Kodlu Ana Anahtar
  • LastPass Tarayıcı Aramasında gizlilik, Veri sızıntısı
  • LastPass Password Manager'dan Özel Tarihi (Saklanan Ana Şifre) okuyun

Kaleci Passwort Yöneticisi 

  • Kaleci Şifre Yöneticisi Güvenlik Sorusu Bypass
  • Master Password olmadan Kaleci Password Manager Veri Enjeksiyonu

F-Secure KEY Şifre Yöneticisi 

  • F-Secure KEY Parola Yöneticisi Güvensiz Kimlik Bilgisi Deposu

Dashlane Şifre Yöneticisi 

  • Dashlane Password Manager'daki Uygulama Klasöründen Özel Verileri Okuma
  • Dashlane Password Manager Tarayıcısında Google Arama Bilgileri Sızıntısı
  • Dashlane Password Manager'dan Masterpassword Çıkarma Saldırısı Kaldı
  • Dahili Dashlane Şifre Yöneticisi Tarayıcısında Alt Alan Adı Şifre Sızıntısı

Resimleri Gizle Güvenli Kasayı Koru 

  • SKeepsafe Düz Metin Şifre Depolama

Avast Parolaları 

  • Avast Password Manager'dan Uygulama Şifresi Çalma
  • Avast Password Manager'dan Spoofed Websitesi ile Şifre Hırsızlığı
  • Avast Password Manager'daki Popüler Siteler için Güvenli Olmayan Varsayılan URL'ler
  • Avast Password Manager'da Alt Alan Adı Şifre Sızıntısı
  • Avast Password Manager'da Güvenli İletişim Uygulaması Bozuk
  • Avast Password Manager'daki Dahili Test URL'leri

1Şifre - Şifre Yöneticisi 

  • 1Şifre Dahili Tarayıcıda Alt Alan Adı Şifre Sızıntısı
  • 1Password Dahili Tarayıcı'da varsayılan olarak http URL'ye http'ye düşürme
  • 1Password Veritabanında Şifrelenmemiş Başlıklar ve URL'ler
  • 1Password Manager'da Uygulama Klasöründen Özel Verileri Okuma
  • Gizlilik Sorunu, Satıcıya Sızan Bilgiler 1Şifre Yöneticisi

Güvenlik İhlali Türleri

Gerçek şu ki, tüm büyük şifre yöneticileri bir kerede ciddi güvenlik ihlallerine sahipler. Sorunlar ortaya çıktıkça düzeltilse bile, yeni planlar her zaman ayaktadır. Bunlar, şifre yöneticilerinin savunmasız olduğu güvenlik ihlallerinden bazılarıdır.

E-dolandırıcılık - Çoğu kişi kimlik avı düzenlerini duymuştur. Saygın bir varlık veya kişi tarafından gönderilen bir e-posta veya kısa mesaj içerirler. Amaç, şüpheli olmayan bir kurbanı, alıcının dolandırılması amacıyla banka hesap numaraları, kredi kartı numaraları ve Sosyal Güvenlik Numaraları gibi hassas verileri ortaya çıkarmasıdır.

kimlik avı saldırı akışı

Kimlik avı, şifre yöneticisi müşterilerini dolandırmak için kullanılmıştır. Bu şemada, müşterilerin süresi dolmuş bir oturum nedeniyle bir web sitesine giriş yapmaları istenir. Yaptıklarında, kafa karıştırıcı bir şekilde benzer kimlik avı web sitesi aslında özel verilerini girdikleri yerdir. Kullanıcı gizli şifrelerini isteyerek bir hacker'a sundu.

Siteler Arası İstek Sahteciliği - Genellikle CSRF olarak adlandırılan bu şema, insanları çevrimiçi olarak istenmeyen eylemler yapmaya yönlendirir. Bir web uygulamasında kimliği doğrulanmış kullanıcılarda kullanılır. Kötü niyetli taraf, kurbanı para transferi yapmaya veya potansiyel olarak zararlı olabilecek diğer işlemleri yapmaya teşvik etmek için genellikle e-posta yoluyla bir bağlantı gönderir..

Siteler Arası Komut Dosyası Oluşturma - Tanıdık olarak XSS olarak bilinen bu saldırı, başka türlü bilinen ve güvenilir web sitelerine kötü amaçlı kod girilmesini içerir.

Kaba Kuvvet Saldırıları - Bu güvenlik ihlali, şifre yöneticinizin sunucusu gibi bir veri altın madenine çarpana kadar çeşitli kombinasyonları deneyen otomatik bir yazılım içerir..

otomatik dosya şifresiOtomatik Doldurma Özelliği Güvenlik Açığı - Web tarayıcınızda veya şifre yöneticinizde otomatik doldurma özelliğini kullanmak caziptir çünkü her şeyi çok daha kolay hale getiriyor gibi görünüyor. Gerçekte, sadece dünyadaki siber suçlular için işleri kolaylaştırıyorsunuz. Hatta reklamverenler tarafından kullanılıyor.

Ana Parolayı Düz ​​Metin İçinde Kaydetme - Şifre yöneticilerinin hassas verilerinizin en iyi kapıcıları olması gerekmediğini kanıtlayan bir araştırma projesi, bazı şifre yöneticilerinin müşterinin ana şifrelerini herhangi bir şifreleme olmadan düz metin olarak sakladığı gerçeğini ortaya çıkardı..

Şifreleme Anahtarları İçeren Uygulamanın Kodu - Temel olarak, uygulamanın kendi kodu, kodun içindeki şifreleme anahtarlarını gösterir. Bu güvenlik açığı keşfedildiğinde bilgisayar korsanları için bir tarla günü.

Pano Koklama veya Ele Geçirme - Bu ihlal, suçluların şifre almak için bir arayüze yapıştırılabilmeleri için bilgisayarın belleğine kopyalanan kimlik bilgilerini almasına olanak tanır.

Yerleşik Web Tarayıcı Hataları - Bazı şifre yöneticileri de, müşterilerin çevrimiçi ortamda daha güvenli kalması gereken tarayıcılardır. Bununla birlikte, kusurlu bir şifre yöneticisiyle - bunların hepsi, kusur olasılığı ile çarpılır.

Veri Kalıntı Saldırısı - Uygulamaları cihazlarından silen kullanıcıların, uygulamanın tüm izlerini kaldırması gerekmez. Bazı bilgisayar korsanları geride kalan “kalıntıya” saldırır. Sadece gerçekten sağlam güvenlik önlemleri aslında suçluları uzak tutar.

içeriden gelenlerin siber saldırılarıİçeriden Bilgi Hacking - Yalnızca bir şirket bilgisayarı kullandığınız için güvende olduğunuzu düşünmeyin. Bazı hackler, bir iş arkadaşı tarafından yürütülen içsel bir iştir. Bu, şifre yöneticilerinin ofislerinde olduğu gibi. Sağlayıcınızın çalışanlarına güvenebileceğinizi nereden biliyorsunuz??

Takas Belleğinden Bilgi Sızıyor - Çoğu bilgisayarda ana bellek ve ikincil depolama bulunur. Bilgisayarın gerçekleştirdiği her işlem istediği kadar bellek alır. Aktif işlem ana bellekte saklanır. Hareketsiz süreçler ikincil depolamaya itilir. Belirli bir işlem tonlarca belleği tüketmeye başladığında, daha fazla öğe ikincil depolamaya itilir. Sistem performansı kötüleşir ve sızıntı sürecinin sona ermesi, ikincil depolamaya itilen işlemlerin hemen geri alınacağı anlamına gelmeyebilir. İkincil depolama alanına dış kaynaklı herhangi bir şey saldırıya açık olabilir.

Gelecek ne gösterir?

Belirtildiği gibi, en iyi bilinen dokuz şifre yöneticisi o zamandan beri tüm bu sorunları çözdü. Ancak, başka hangi sorunlar gizleniyor olabilir? TeamSIK tarafından ortaya çıkarılan bazı güvenlik açıkları oldukça açık olmalıydı, ancak bu şirketlerin hiçbiri bunların farkında değildi. Bu sorunları ortaya çıkarmak ve onları ortaya çıkarmak bağımsız bir üçüncü taraf aldı. En hassas verilerinizle gerçekten bir şifre yöneticisine güvenebilir misiniz??

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me