Vai paroļu aizsargi ir droši? Katra nozīmīgākā pārkāpuma saraksts

Ja kādu laiku pavadāt internetā (un kam šajās dienās nav?), Iespējams, jums ir daudz paroļu.


Jums ir nepieciešama parole katru reizi, kad piesakāties sociālo mediju kontos, pārbaudāt sava bankas konta atlikumu vai kaut ko pasūtāt no Amazon. Ja jūs piederat kādiem forumiem, vadāt vietni vai pat vienkārši rakstāt emuāru, jums ir vēl vairāk paroļu.

paroles nepieciešamībaKatrā no šīm vietnēm ir vilinoši izmantot to pašu paroli. Galu galā, iespējams, parastā gada laikā ir jāpierakstās desmitiem, ja ne simtiem vietņu. Ja jums būtu spēcīga unikāla parole katrai no šīm vietnēm, kā jūs tos visus varētu atcerēties??

Diemžēl pārāk daudz cilvēku izmanto vieglo izeju. Viņi izmanto diezgan acīmredzamu paroli, sakot “Parole123,Piemēram, un pēc tam izmantojiet to visām savām tiešsaistes darbībām. Kāpēc šī ir tik briesmīga ideja? Jo Ja hakerim izdodas iegūt jūsu paroli pat vienā kontā, viņiem ir jūsu parole visiem jūsu kontiem.

Varbūt jums nav nozīmes, ka tas ir īpaši liels darījums, ja kāda necilvēcīga partija var pieteikties jūsu Facebook profilā, lai gan tā var izraisīt postījumus. Tomēr, ja šī parole viņiem nodrošina piekļuvi jūsu bankas informācijai, kredītkaršu numuriem, SocialSecurity numuram vai kādam citam, tad jums noteikti būs rūp.

Kāpēc stingras paroles ir kritiskas

Pēdējos gados daudzas vietnes ir sākušas ieviest prasības aizvien garākām un sarežģītākām parolēm. Lietotājam ir sāpīgi nākt klajā un atcerēties šīs paroles, taču tam ir pietiekams iemesls.

spēcīga paroleJo sarežģītākas un nejaušākas ir jūsu paroles, jo grūtāk hakeriem tās ir pamanāmas. Tagad iedomājieties, ka jums bija desmitiem šo paroļu, pa vienai katrai bieži apmeklētajai vietnei. Šie hakeri neiekļūs tik tālu, kad viņiem būs jāizdomā pilnīgi nejauša ķēde, kurā ir 12 vai vairāk burti, cipari un speciālās rakstzīmes. Problēmas tikai reizinās, ja unikālas paroles izmantojat katrā no jūsu tiešsaistes kontiem.

Šāda veida parole ir būtiska jūsu tiešsaistes drošībai. Kad viens hakeris ir izdomājis jūsu pārāk vienkāršo paroli, viņi var to izmantot paši vai pārdot lielākajiem dolāriem melnajā tirgū. Daži no šiem pircējiem ir neticami izsmalcināti. Dažu minūšu laikā jūsu identitāte tiek nozagta, jūsu kredītreitings tiek iznīcināts un jūs pavadīsit gadus un daudz naudas, lai mēģinātu atgūt savu reputāciju.

Saskaņā ar MIT Technology Review, patiesi spēcīgas paroles izveidošana nozīmē vairāk nekā tikai vienu lielo burtu, vienu ciparu un vienu speciālo rakstzīmi. Jo ilgāk izveidosit paroli un jo īpašas rakstzīmes to izmantos, jo lielāka iespēja, ka iestumjat hakerus.

Hakeriem ir programmatūra, kas nepārtraukti un nenogurstoši darbojas ar paroles “uzminējumiem”. Agrāk vai vēlāk viņi var nofiksēties pie jūsu. Tomēr, ja jūsu parole ir gara, sarežģīta un pilnīgi nejauša, tad ir labas izredzes, ka hakeris meklēs daudz vieglāku laupījumu, kas ir pieejams pārpilnībā.

Kas ir paroļu pārvaldnieks?

Problēma ir tā, ka visu šo neticami garo, sarežģīto un unikālo paroļu atcerēšanās ir Herculean uzdevums. Kas var viņus visus noturēt taisni? Šeit nāk paroles pārvaldnieki.

kā darbojas paroļu pārvaldnieksLielākā daļa paroļu pārvaldnieku ir izveidoti neskaitāmas spēcīgas, nejaušas paroles atsevišķiem lietotājiem. Viņi saglabā šīs paroles un pēc tam izgūst, kad apmeklējat katru vietni.

Šajos pakalpojumos ir iespējams arī saglabāt jūsu kredītkaršu numurus, ieskaitot trīs ciparu CVV kodu aizmugurē, kā arī PIN un atbildes uz dažādiem drošības jautājumiem. Visi šie dati tiek šifrēti, lai izveidotu hakerus. Daudzi no šiem pakalpojumiem izmanto jaukšanu, kas būtībā ir atbild par vienkāršu datu pārvēršanu iepriekš noteikta garuma skaitļu vai rakstzīmju virknēs.

Katru reizi, kad vēlaties apmeklēt vietni, kurā jums būs jāizmanto kāda no jūsu parolēm, jūs piesakāties datu glabātuvē, ko iepriekš esat saglabājis ar savu paroļu pārvaldnieku. Piekļuve tiek piešķirta, izmantojot vienu pārvaldnieka pakalpojuma paroli.

Tas izklausās diezgan ērti, taču ir svarīgi, lai jūs pārāk neuzticaties paroļu pārvaldniekiem. Šie pakalpojumi nav burvju lode, kas pasargās jūs no visa ļaunuma. Joprojām ir saprātīgi izmantot tādu VPN kā NordVPN visu pārlūkošanu - divu faktoru autentifikācija dažiem ārkārtīgi vērtīgiem kontiem un tikai tām ierīcēm, kurām uzticaties.

Faktiski jums varētu būt prātīgi vispār atteikties no paroļu pārvaldnieka.

Kāpēc paroļu pārvaldītāji var būt riskanti

Paroļu pārvaldnieki visus jūsu sensitīvos datus glabā lokāli vai mākonī. Attiecīgi jūsu paroles atrodas glabāšanas diskdziņa vai datora mājās glabātuvē vai arī tās tiek attālināti glabātas paroļu pārvaldnieka serveros..

Liela vārda spēlētāji nozarē piemēram Dašlāns1Parole un LastPass izmantojiet viņu serverus, lai pēc noklusējuma saglabātu jūsu privāto informāciju. Tādējādi jums ir ērtāk sinhronizēt visus saglabātos datus, kas jums varētu būt ar visām jūsu ierīcēm.

paroles uzlaušanasTagad šie uzņēmumi sniedz daudz solījumu par saviem drošības pasākumiem, taču tas visiem patērētājiem nav ērts. Iedomājieties, vai visi šie neticami vērtīgie dati vienā serverī būtu apdraudēti ar uzlauzšanu. Tā kā visas olas esat ievietojis vienā grozā, jūs vienkārši zaudējāt kontroli pār savu tiešsaistes dzīvi.

Realitāte ir tāda, ka daži hakeri var pretoties kārdinājumam iziet no uzlabotajām drošības sistēmām. Padomājiet par visiem nenovērtējamajiem datiem, ko viņi varētu apkopot tikai ar vienu hacku. Dažreiz konsolidācija nav gudrs manevrs.

Ja jums patiešām nepatīk doma par visu savu paroļu glabāšanu mākonī, iespējams, tā vietā jūs varētu izvēlēties vietējo krātuvi. Dašlāns padara to iespējamu, ja klienti izvēlas atspējot funkciju “Sinhronizācija”.

1Password ļauj klientiem iegādāties programmatūras licenci, kas viņiem ļauj kontrolēt, kur glabājas viņu velve. KeePass ļauj saglabāt jūsu datus glabātuvē, kas ir šifrēta jūsu ierīcē.

Tomēr, pirms sākat ar abām kājām skatīties uz šīm iespējām, pajautājiet sev, cik droši ir jūsu veiktie elektroniskās drošības pasākumi? Vai ir iespējams, ka hakeris var nokļūt caur viņiem, lai paņemtu visas jūsu paroles no savas ierīces?

Drošības pārkāpumi, kas jums jāzina

Uzskaitītie drošības pārkāpumi nav teorētiski. Daudzi no tiem ir notikuši. Pirms izlemjat, vai paroļu pārvaldnieka izmantošana jums ir jēga vai nē, ņemiet vērā šos pārkāpumus.

Pārkāpums vietnē OneLogin

Paroļu pārvaldnieks OneLogin 2017. gada jūnijā atklāja, ka ir cietis hakeru. Plaši ziņots incidents ietekmēja visus uzņēmuma klientus, kuru dati tika glabāti ASV datu centrā.

Preses paziņojumā OneLogin rakstīja, ka: "Kopš tā laika mēs esam bloķējuši šo nesankcionēto piekļuvi, ziņojām par šo lietu tiesībaizsardzības iestādēm un sadarbojamies ar neatkarīgu apsardzes firmu, lai noteiktu, kā notika nesankcionēta piekļuve."

LastPass ziņo par pārkāpumu

Vēl viens diezgan draņķīgs paroļu pārvaldnieka uzlauzums notika vietnē LastPass. Par to tika ziņots 2017. gada aprīlī, un uzņēmums to raksturoja kā “unikālu un ļoti sarežģītu” problēmu. Tas nozīmē, ka LastPass izmanto tik uzlabotas šifrēšanas metodes un drošības pasākumus, ka situācija ir vienāda, bet neiedomājama un, iespējams, vairs nevarētu rasties.

Problēmu identificēja Tavis Ormandijs, Google Project Zero drošības pētnieks. Ormandija raksturoja šo jautājumu kā “arhitektūras” raksturu, turpinot sacīt, ka tā risināšanai būs vajadzīgs daudz laika.

Kamēr LastPass strādāja, lai labotu ievainojamību, viņi ieteica klientiem to izmantot divu faktoru autentifikācija un lai izvairītos no visām aizdomīgajām saitēm.

Tomēr tas nav vienīgais notikums, kurā cieta LastPass. 2015. gada jūnijā uzņēmums paziņoja, ka viņu serveri ir piedzīvojuši ielaušanos. LastPass ziņoja, ka nav nozagtas nevienas saglabātas paroles un ka hackers neņēma e-pasta adreses, paroles atgādinājumus vai autentifikācijas jaucējus.

KeePass izpaužas uzlauzts - sava veida

2015. gadā pieejamā rīka ar nosaukumu “KeeFarce” pieejamība lika KeePass izskatīties šausmīgi. Kaut arī šis hakeru rīks bija vērsts uz KeePass, ir iespējams, ka rīku var pārveidot, lai mērķētu uz jebkuru paroļu pārvaldnieku.

Šis rīks būtībā bija paredzēts lietotāju datoriem, kuriem parasti nav spēcīgu drošības līdzekļu, kurus izmanto paroļu pārvaldnieki. Rīks spēja atšifrēt visus lietotāja vārdus un paroles, ko lietotājs bija saglabājis KeePass. Pēc tam visi dati tika ierakstīti failā, kuram hakeris varēja piekļūt.

Šis rīks tika izveidots, lai izceltu problēmu, kas rodas visiem paroļu pārvaldītājiem. Inficēts dators ir neaizsargāts dators. Neatkarīgi no tā, cik labs ir paroļu pārvaldnieks, kad lietotāja dators ir inficēts ar vīrusu vai citu problēmu, pārvaldnieka piedāvātā aizsardzība noteikti tiks apdraudēta. Jums ir jāraugās uz savu drošību, ja vēlaties cerēt uz labumu no paroļu pārvaldnieka.

Turētājs noķer kļūdu

kļūdu atklāšana2018. gada maijā Keeper paziņoja, ka viņi ir labojuši kļūdu, kuru identificējis drošības pētnieks. Pētnieks to teica kļūda, iespējams, neautorizētām personām ļāva piekļūt privātiem datiem, kas pieder citam lietotājam.

Kļūda tika atklāta, izmantojot publiskās drošības sarakstu. Būtībā sarakstā tika teikts, ka jebkura persona, kas kontrolēja uzņēmuma API serveri, teorētiski varēja piekļūt atšifrēšanas atslēgai jebkuram lietotājam piederošu paroļu glabātuvei. Problēmas avots bija Keeper Commander - skripts, kuru darbina Python un kas lietotājiem ļauj pagriezt paroles.

Kopš tā laika audzētāja kļūda ir novērsta.

TeamSIK atradumi

2017. gada februārī pētnieki, kas strādā Fraunhofer drošu informācijas tehnoloģiju institūtā, publiskoja savus secinājumus pēc deviņu visbiežāk izmantoto paroļu pārvaldnieku pārskata. Rezultāti bija nekas cits kā pārliecinoši.

komandas sik logoPētnieki, kas pazīstami kā TeamSIK, savus atklājumus sauca par “ārkārtīgi satraucošiem”. Viņi pat apgalvoja, ka šie uzņēmumi “ļaunprātīgi izmanto lietotāju uzticēšanos un pakļauj viņus lieliem riskiem”.

Pārskatā iekļautie paroļu pārvaldnieki bija 1Parole, Avast paroles, Slēpt attēlus, saglabājiet drošu glabātuvi, Dashlane, F-Secure KEY, Keeper, LastPass, Informatīvās paroļu pārvaldnieks un Manas paroles..

Katram pārskatīšanas vadītājam bija vismaz viena drošības kļūda. Pētnieki informēja katru no uzņēmumiem par atklājumiem, un mot problēmas tika ātri risinātas. Tomēr joprojām nešķiet, ka katram uzņēmumam būtu vajadzējis realizēt un labot šīs problēmas, neizmantojot ārēju avotu, lai mudinātu viņus rīkoties?

Pēcspēles apstākļos, lietotāji tika mudināti pārliecināties, ka viņi ir ielāpoti un izmanto paroles pārvaldnieka programmatūras jaunākās versijas lai viņi pilnībā izmantotu jauninātos drošības pasākumus.

Zemāk ir sniegta konkrēta informācija / pārskati. Lūdzu, atveriet katru ziņojumu, lai iegūtu sīkāku informāciju.

Manas paroles 

  • Izlasiet lietotnes Mana paroles privātos datus
  • Lietotnes Mana paroles galvenā atšifrēšana
  • Bezmaksas papildfunkcijas, kas manām parolēm tiek atbloķētas

Informātikas paroles pārvaldnieks 

  • Nedroša akreditācijas datu glabāšana programmā Mirsoft Password Manager

LastPass paroli pārvaldnieks 

  • LastPass paroļu pārvaldnieka cietā koda atslēga
  • Privātums, datu noplūde pārlūka LastPass meklēšanā
  • Izlasiet privāto datumu (Stored Masterpassword) no LastPass Password Manager

Turētājs Passwort-Manager 

  • Turētājs Password Manager drošības jautājumu apvedceļš
  • Turētājvārdu pārvaldnieka datu iesmidzināšana bez galvenā paroles

F-Secure KEY paroles pārvaldnieks 

  • F-Secure KEY Password Manager nedroša akreditācijas datu glabāšana

Dašlana paroļu pārvaldnieks 

  • Lasiet privātos datus no lietotnes mapes Dashlane Password Manager
  • Google meklēšanas informācijas noplūde Dašlana paroli pārvaldnieka pārlūkā
  • Atlikumu uzbrukums Galvenās paroles iegūšana no Dashlane Password Manager
  • Apakšdomēna paroles noplūde iekšējā informācijas paneļa paroles pārvaldnieka pārlūkprogrammā

Slēpt attēlus. Glabājiet drošu glabātuvi 

  • SKeepsafe vienkāršā teksta paroļu glabāšana

Avast paroles 

  • Lietotnes paroles zagšana no Avast Password Manager
  • Paroles zādzība no krāpnieciskas vietnes no Avast Password Manager
  • Nedroši noklusējuma vietrāži URL populārām vietnēm programmā Avast Password Manager
  • Apakšdomēna paroles noplūde Avast paroli pārvaldniekā
  • Bojāta drošas komunikācijas ieviešana Avast paroli pārvaldniekā
  • Iekšējie pārbaudes URL Avast paroli pārvaldniekā

1Password - paroli pārvaldnieks 

  • Apakšdomēna paroles noplūde 1Paroles iekšējā pārlūkā
  • Https pazemina līdz http URL pēc noklusējuma 1Password iekšējā pārlūkā
  • Virsraksti un vietrāži URL, kas nav šifrēti 1Password datu bāzē
  • Lasiet privātos datus no lietotnes mapes 1Password Manager
  • Konfidencialitātes problēma, informācija noplūda pārdevējam 1Password Manager

Drošības pārkāpumu veidi

Realitāte ir tāda, ka visiem galvenajiem paroļu pārvaldītājiem vienā vai otrā laikā ir bijuši nopietni drošības pārkāpumi. Pat ja viņi koriģē problēmas atklājot, šķiet, ka jaunas shēmas vienmēr darbojas. Šie ir daži no drošības pārkāpumiem, pret kuriem paroļu pārvaldnieki ir neaizsargāti.

Pikšķerēšana - Lielākā daļa cilvēku ir dzirdējuši par pikšķerēšanas shēmām. Tie ietver e-pasta ziņojumu vai īsziņu, kuru, domājams, ir nosūtījusi cienījama vienība vai indivīds. Mērķis ir panākt, lai kāds nenojauš upuris atklātu slepenus datus, piemēram, bankas kontu numurus, kredītkaršu numurus un sociālās apdrošināšanas numurus, lai krāptu saņēmēju..

pikšķerēšanas uzbrukuma plūsma

Pikšķerēšana ir izmantota, lai izkrāptu paroles pārvaldnieku klientus. Šajā shēmā klientiem tiek lūgts pieteikties vietnē, jo sesija ir beigusies. Kad viņi to dara, mulsinoši līdzīga pikšķerēšanas vietne faktiski atrodas tur, kur viņi ievada savus privātos datus. Lietotājs tikko labprāt piedāvāja hakerim savu slepeno paroli.

Vietņu pieprasījuma viltošana - Šī shēma, ko bieži dēvē par CSRF, liek cilvēkiem veikt netīšas darbības tiešsaistē. Tas tiek izmantots lietotājiem, kuri ir autentificēti tīmekļa lietojumprogrammā. Draudzīgā puse bieži pa e-pastu nosūta saiti, lai pamudinātu upuri pārskaitīt līdzekļus vai veikt citas potenciāli kaitīgas darbības.

Vietņu skriptu veidošana - Pazīstams kā XSS, šis uzbrukums ir saistīts ar ļaunprātīga koda ieviešanu citādi zināmās un uzticamās vietnēs.

Brutālu spēku uzbrukumi - Šis drošības pārkāpums ir saistīts ar automatizētu programmatūru, kas izmēģina dažādas kombinācijas, līdz tā nonāk līdz datu zelta ieguvei, piemēram, paroles pārvaldnieka serverim.

autofila paroleAutomātiskās aizpildes funkcijas ievainojamība - Automātiskās aizpildes funkcijas izmantošana tīmekļa pārlūkprogrammā vai paroļu pārvaldniekā ir vilinoša, jo šķiet, ka tas visu padara tik daudz vienkāršāku. Patiesībā jūs tikai atvieglojat lietas kibernoziedzniekiem visā pasaulē. To pat izmanto reklāmdevēji.

Galvenās paroles glabāšana vienkāršā tekstā - Pierādot, ka paroļu pārvaldnieki nebūt nav vislabākie jūsu slepeno datu vārti, viens pētniecības projekts atklāja faktu, ka daži paroļu pārvaldnieki klienta galvenās paroles glabāja vienkāršā tekstā bez jebkādas šifrēšanas..

Lietotnes kods, kas satur šifrēšanas atslēgas - Būtībā pašas lietotnes kods pakļauj šifrēšanas atslēgas pašā kodā. Šī ievainojamības atklāšanas diena ir hakeriem paredzēta lauka diena.

Starpliktuves šņaukšana vai nolaupīšana - Šis pārkāpums ļauj noziedzniekiem sagrābt akreditācijas datus, kas ir kopēti datora atmiņā, lai tos varētu ielīmēt paroles ievadīšanas saskarnē..

Iebūvēta tīmekļa pārlūka trūkumi - Daži paroļu pārvaldnieki ir arī pārlūkprogrammas, kuru lietošana, domājams, uztur klientus tiešsaistē drošāk. Tomēr ar nepilnīgu paroļu pārvaldnieku - kas tie visi ir - tiek palielināta kļūmju iespējamība.

Datu atlikumu uzbrukums - Lietotājiem, kuri dzēš lietotnes no savām ierīcēm, nav obligāti jānoņem visas tās pēdas. Daži hakeri uzbrūk “atlikumam”, kas paliek aiz muguras. Tikai patiešām stabili drošības pasākumi noziedzniekus novērš.

iekšējo personu kiberuzbrukumiInsider Datorurķēšana - Neuzņemieties, ka esat drošs tikai tāpēc, ka izmantojat uzņēmuma datoru. Daži hacks ir darbs iekšpusē, ko veic kolēģis. Tas pats ir taisnība paroļu pārvaldnieku birojos. Kā jūs zināt, ka varat uzticēties sava pakalpojumu sniedzēja darbiniekiem?

Informācija noplūst, izmantojot mijmaiņas atmiņu - lielākajai daļai datoru ir galvenā atmiņa un sekundārā krātuve. Katrs process, ko dators veic, iegūst tik daudz atmiņas, cik tas prasa. Aktīvais process tiek saglabāts galvenajā atmiņā. Mierīgi procesi tiek novirzīti uz sekundāru glabāšanu. Kad noteikts process sāk iztērēt daudz atmiņas, vairāk priekšmetu tiek novirzīti uz sekundāro krātuvi. Sistēmas veiktspēja pasliktinās, un noplūdes procesa pārtraukšana var nozīmēt, ka procesi, kas tika nodoti sekundārajai krātuvei, nekavējoties tiek apmainīti atpakaļ. Jebkurš, kas ir novirzīts uz sekundāro krātuvi, var būt neaizsargāts pret uzbrukumu.

Ko tur nākotne??

Kā minēts, deviņi pazīstamākie paroļu pārvaldnieki kopš tā laika ir novērsuši visus šos jautājumus. Tomēr kādas citas problēmas varētu būt slēpjas? Dažām TeamSIK atklātajām ievainojamībām vajadzēja būt diezgan acīmredzamām, taču neviens no šiem uzņēmumiem par tām nezināja. Šos jautājumus atklāja un iepazīstināja ar neatkarīgu trešo personu. Vai jūs tiešām varat uzticēties paroļu pārvaldniekam ar visjutīgākajiem datiem?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me