Да ли су заштитници лозинке сигурни? Листа сваке веће повреде

Ако проводите било које вријеме на Интернету (а ко нема ових дана?), Вјероватно имате пуно лозинки.


Потребна вам је лозинка сваки пут када се пријавите на своје налоге на друштвеним мрежама, проверите стање на свом банковном рачуну или наручите нешто од Амазона. Ако припадате неком форуму, покренете веб локацију или чак само напишете блог, имате још више лозинки.

неопходност лозинкеПримамљиво је користити исту лозинку за сваку од ових веб локација. Уосталом, вероватно ћете морати да се пријавите на десетине, ако не и стотине, веб локација током нормалне године. Ако сте имали јаку, јединствену лозинку за сваку од ових веб локација, како си их се свих сећала?

Нажалост, превише људи узима лак пут. Они користе лозинку која је прилично очигледна, рецимо “Пассворд123,На пример, а затим га користе за све своје мрежне активности. Зашто је ово тако ужасна идеја? Јер ако хакер успе да добије вашу лозинку на чак једном налогу, онда ће имати вашу лозинку за све ваше налоге.

Можда вам није јасно да је то посебно велика ствар ако се нека злогласна странка успије пријавити на ваш Фацебоок профил, иако може пропасти ако се то догоди. Међутим, ако вам та лозинка омогући приступ вашим банкарским подацима, бројевима ваше кредитне картице, бројем СоциалСецурити или било чему другом, онда ће вам сигурно бити стало.

Зашто су јаке лозинке критичне

Последњих година на многим веб локацијама се постављају захтеви за све дужим и сложенијим лозинкама. Корисник боли да смисли и запамти ове лозинке, али за то постоји добар разлог.

јака лозинкаШто су сложеније и случајније ваше лозинке, хакери су теже разабрати. Замислите да сте имали на десетине ових лозинки, по једну за сваку веб локацију која често користите. Ти хакери неће стићи тако далеко када морају да пронађу сасвим случајни ланац од 12 или више слова, бројева и специјалних знакова. Проблеми се умножавају само коришћењем јединствених лозинки на сваком од ваших налога на мрежи.

Ова врста лозинке је пресудна за вашу безбедност на мрежи. Једном када један хакер схвати вашу превише једноставну лозинку, они ће је моћи сами користити или продати за велике новце на црном тржишту. Неки од ових купаца су невероватно софистицирани. За неколико минута ваш идентитет буде украден, ваш кредитни рејтинг је уништен и потрошићете године и много новца покушавајући да вратите своју репутацију.

Према МИТ Тецхнологи Ревиев-у, стварање заиста јаке лозинке значи више од употребе једне велике слова, једног броја и једног посебног знака. Што дуже уносите лозинку и што више посебних знакова које користи, већа је вероватноћа да ћете наићи на хакере.

Хакери имају софтвер који непрекидно и неуморно пролази кроз "претпоставке о лозинкама". Пре или касније, могу се закачити на ваше. Међутим, ако је ваша лозинка дуга, сложена и потпуно случајна, онда добре су шансе да ће хакер потражити много лакши плен, која је доступна у изобиљу.

Шта је менаџер лозинки?

Проблем је што је памћење свих ових невероватно дугачких, компликованих и јединствених лозинки херкуловски задатак. Ко их може све исправити? Ту долазе менаџери лозинки.

како функционише менаџер лозинкиВећина менаџера лозинки дизајнирана је да генерише безброј јаких, случајних лозинки за поједине кориснике. Они чувају ове лозинке, а затим их проналазе када посећујете сваку веб локацију.

Овим сервисима је такође могуће похранити бројеве ваших кредитних картица, укључујући троцифрен ЦВВ код на полеђини, заједно са ПИН-овима и вашим одговорима на различита безбедносна питања. Сви ови подаци шифрирани су понудом да се хакирају фолије. Многе од ових услуга користе хасхинг, што у суштини и јесте одговоран за претварање обичних података у низове бројева или знакова унапријед одређене дужине.

Сваки пут када желите да посетите веб локацију на којој ћете морати да користите једну од својих лозинки, пријавите се у „трезор“ података које сте претходно чували са својим управљачем лозинком. Приступ се пружа путем једне лозинке за услугу менаџера.

Звучи прилично прикладно, али кључно је да не поверујете превише у менаџере лозинки. Ове услуге нису чаробни метак који ће вас заштитити од сваке штете. Још је мудро користити ВПН као што је НордВПН за све прегледавање, двофакторска провјера аутентичности за одређене изузетно вриједне налоге и за употребу само уређаја у које имате повјерења.

У ствари, можда бисте уопште били мудри да се одрекнете употребе управитеља лозинки.

Зашто менаџери лозинки могу бити ризични

Менаџери лозинки чувају све ваше осетљиве податке локално или у облаку. Према томе, ваше лозинке се налазе у трезору на диску за складиштење или рачунару у вашем дому или се чувају даљински на серверима управитеља лозинки.

Велики играчи у индустрији као Дасхлане1Пассворд и ЛастПасс користе своје сервере за подразумевано чување ваших приватних података. То вам олакшава синхронизацију свих сачуваних података које можда имате са свим својим уређајима.

хакирање лозинкеСада, ове компаније дају пуно обећања о својим безбедносним мерама, али то не чини све потрошаче угодним. Замислите да ли је хацк угрозио све те невероватно вредне податке на том истом серверу. С обзиром на то да сте сва јаја ставили у једну корпу, управо сте изгубили контролу над вашим животом на мрежи.

Реалност је да се мало хакера може одупријети искушењу да се мимоиђе напредним сигурносним системима. Размислите о свим непроцењивим подацима које су могли прикупити само једним хаком. Понекад консолидација није мудар маневар.

Ако вам се не свиђа идеја складиштења у облаку за све ваше лозинке, можда бисте се уместо тога могли одлучити за локалну меморију. Дасхлане ово омогућава када купци одлуче да онемогуће функцију „Синц“.

1Пассворд омогућава купцима куповину софтверске лиценце која им даје контролу над местом њиховог чувања. КееПасс омогућава чување података у трезору који је шифрован на вашем уређају.

Међутим, пре него што скочите са обе ноге на ове опције, запитајте се колико су сигурне сопствене мере електронског обезбеђења? Да ли је могуће да би хакер могао да прође кроз њих да би преузео све ваше лозинке са вашег уређаја?

Кршења безбедности о којима треба да знате

Наведене повреде сигурности нису теоретске. Многи од њих су се догодили. Пре него што се одлучите да ли ће вам употреба менаџера лозинки имати смисла, узмите у обзир ове повреде.

Кршење на ОнеЛогин-у

Менаџер лозинки ОнеЛогин открио је у јуну 2017. да је претрпео хацк. Веома пријављени инцидент утицао на све клијенте компаније чији су подаци сачувани у америчком центру података.

У саопштењу за штампу, ОнеЛогин је написао да смо „од тада блокирали овај неовлашћени приступ, пријавили то питање полицијским органима и сарађујемо са независном заштитарском фирмом како би утврдили како се догодило неовлашћени приступ.“

ЛастПасс пријављује кршење

Још један прилично злогласан хак менаџера лозинки догодио се на ЛастПасс-у. То је пријављено у априлу 2017. године, а компанија га је описала као "јединствен и високо софистициран" проблем. Импликација је да ЛастПасс користи тако напредне технике шифрирања и мере заштите да је ситуација све само, али не и незамислива и да се више не би могле поновити.

Проблем је идентификовао Тавис Орманди, истраживач безбедности за Гоогле-ов Пројецт Зеро. Ормандија је то питање описао као "архитектонску" природу, рекавши да ће му требати довољно времена да се реши.

Док је ЛастПасс радио на исправљању рањивости, клијентима је саветовао да га користе двофакторска аутентификација и избегавање свих сумњивих веза.

Међутим, ово није једина појава због које је ЛастПасс претрпео. У јуну 2015. године компанија је објавила да су њихови сервери доживели упад. ЛастПасс је објавио да ниједна похрањена лозинка није украдена и да хакери нису узели адресе е-поште, подсетнике за лозинку или хешеве за аутентификацију.

КееПасс добија хацкед - Сорт Оф

Доступност алата под називом "КееФарце" у 2015. години учинила је да ствари изгледају напорно за КееПасс. Иако је овај хакерски алат био намењен КееПасс-у, изводљиво је да би алат могао бити модификован тако да циља циљање било којег менаџера лозинки.

У основи, овај алат је креиран за циљање рачунара корисника, који углавном немају робусне безбедносне функције које користе менаџери лозинки. Алат је могао да дешифрује сва корисничка имена и лозинке које је корисник сачувао уз КееПасс. Сви подаци су затим записани у датотеку којој је хакер могао приступити.

Овај је алат дизајниран да укаже на проблем који имају сви менаџери лозинки. Заражени рачунар је рањив рачунар. Без обзира колико је добар менаџер лозинки када је рачунар корисника заражен вирусом или другим проблемима, заштита коју нуди менаџер сигурно је угрожена. Морате да појачате сопствену сигурност ако желите да имате користи од менаџера лозинки.

Чувар хвата бугу

откривање грешакаУ мају 2018. године Кеепер је објавио да су поправили бугу коју је идентификовао истраживач безбедности. Истраживач је то рекао буг је можда неовлаштеним особама омогућио приступ приватним подацима који припадају другом кориснику.

Буба је откривена путем листе откривања за јавну сигурност. У суштини, у листу је наведено да сваки појединац који је контролисао АПИ сервер компаније може теоретски да приступи кључу за дешифровање до трезора лозинки било којег корисника. Извор проблема се налазио у програму Кеепер Цоммандер, скрипти коју покреће Питхон која омогућава корисницима да ротирају лозинке.

Чувар грешке је од тада елиминисан.

Налази ТеамСИК-а

У фебруару 2017. године, истраживачи који раде у Институту за сигурну информатичку технологију Фраунхофер објавили су своје налазе након прегледа девет најчешће кориштених менаџера лозинки. Резултати су били само убедљиви.

теам сик логоИстраживачи, познати као ТеамСИК, називали су своје налазе „изузетно забрињавајућим“. Чак су тврдили да ове компаније „злоупотребљавају поверење корисника и излажу их високим ризицима“.

Менаџери лозинки који су укључени у преглед били су 1Пассворд, Аваст Лозинке, Сакриј слике Кееп Сафе Ваулт, Дасхлане, Ф-Сецуре КЕИ, Кеепер, ЛастПасс, Информатицоре Манагер Пассворд и Ми Пассвордс.

Сваки менаџер у прегледу имао је најмање једну грешку у сигурности. Истраживачи су обавестили сваку од компанија о својим налазима, а проблеми с мотима брзо су решени. Ипак, зар се не чини да је свака компанија требала да схвати и исправи ове проблеме, а да им није потребан спољни извор да би их подстакао да предузму акцију?

У периоду након, корисници су охрабрени да осигурају да су закрпљени и користећи најновије верзије софтвера за управљање лозинкама тако да су у потпуности искористили унапређене мере безбедности.

Испод су неки од конкретних детаља / извештаја. За посебне детаље отворите сваки извештај.

МиПассвордс 

  • Прочитајте приватне податке апликације Моја лозинка
  • Дешифровање главне лозинке апликације Моје лозинке
  • Бесплатне Премиум функције Откључајте моје лозинке

Информатицоре Менаџер лозинки 

  • Небезбедно складиштење поверљивости у Мирсофт Пассворд Манагер-у

ЛастПасс Пассворд Манагер 

  • Тврди кодирани главни кључ у програму ЛастПасс Пассворд Манагер
  • Приватност, цурење података у претраживању ЛастПасс претраживача
  • Прочитајте приватни датум (похрањени мастерпассворд) из ЛастПасс Пассворд Манагер-а

Кеепер Пассворт-Манагер 

  • Заштитник питања безбедносног питања чувара лозинке
  • Кеепер Пассворд Манагер Убризгавање података без главне лозинке

Ф-Сецуре КЕИ Менаџер лозинки 

  • Ф-Сецуре КЕИ Пассворд Манагер Несигурна похрана поверљивих података

Дасхлане Манагер 

  • Прочитајте приватне податке из мапе апликације у Дасхлане менаџеру лозинки
  • Пропуштање података о Гоогле претраживању у прегледачу Дасхлане Пассворд Манагер
  • Ресидуе Аттацк Извлачи главну реч из Дасхлане Манагера Пассворд
  • Пропуштање поддомена у интерном прегледачу Дасхлане Пассворд Манагер-а

Сакриј слике Чувај безбедан трезор 

  • СКеепсафе Плаинтект складиштење лозинки

Аваст лозинке 

  • Крађа лозинке апликације из Аваст Манагера лозинке
  • Крађа лозинке од Споофед Веб странице од Аваст Пассворд Манагер-а
  • Небезбедни подразумевани УРЛ-ови за популарне веб локације у Аваст Пассворд Манагер-у
  • Уношење лозинке поддомена у Аваст Манагер
  • Сломљена сигурна комуникација у Аваст Манагер-у
  • Интерни УРЛ-ови за тестирање у Аваст Пассворд Манагер-у

1Пассворд - Менаџер лозинки 

  • Пропуштање поддомена лозинке у интерном прегледачу 1Пассворд
  • Хттпс се своди на хттп УРЛ по дефаулту у 1Пассворд Интернал Бровсер
  • Наслови и УРЛ адресе нису шифровани у бази података 1Пассворд
  • Прочитајте приватне податке из директоријума апликација у 1Пассворд Манагер
  • Питање о приватности, информације су стигле до продавца 1Пассворд Манагер

Врсте сигурносних кршења

Реалност је да су сви главни менаџери лозинки у једном или другом тренутку имали озбиљне кршења сигурности. Чак и ако исправљају проблеме док нису откривени, чини се да су нове шеме увек у ваздуху. Ово су нека од кршења сигурности на која су рањиви менаџери лозинки.

Пхисхинг - Већина људи је чула за пхисхинг шеме. Они укључују е-пошту или текстуалну поруку коју наводно шаље угледни ентитет или појединац. Циљ је добити жртву која не сумња да открије осетљиве податке као што су бројеви банковних рачуна, бројеви кредитних картица и бројеви социјалног осигурања у сврху преваре примаоца..

проток пхисхинг напада

Крађа идентитета користи се за обмањивање клијената који управљају лозинком. У овој шеми се од купаца тражи да се пријаве на веб локацију због истека сесије. Када то учине, збуњујуће сличне пхисхинг веб локације су заправо где уносе своје приватне податке. Корисник је само вољно понудио хакеру своју тајну лозинку.

Кривотворење захтева на више места - Ова схема која се често назива и ЦСРФ вара људе да предузму ненамерне акције на мрежи. Запослена је на корисницима који су аутентификовани у веб апликацији. Злогласна страна често шаље везу путем е-поште да натера жртву да пренесе средства или предузме друге потенцијално штетне радње.

Цросс-Сите Сцриптинг - Познат као КССС, овај напад укључује уношење злонамерног кода на иначе познате и поуздане веб локације.

Бруте-Форце напада - Ово кршење сигурности укључује аутоматизовани софтвер који испробава различите комбинације док не удари у голдмине података, попут сервера вашег менаџера лозинки.

лозинка за аутофилАутоматско допуњавање рањивости - Употреба функције аутоматског попуњавања на вашем веб претраживачу или менаџеру лозинки је примамљива јер чини се да све толико олакшава. У стварности, само олакшавате ствари цибер-криминалцима широм света. Чак га користе и оглашавачи.

Чување главне лозинке у обичном тексту - Доказујући да менаџери лозинки нису нужно најбољи чувари ваших осетљивих података, један истраживачки пројекат открио је чињеницу да су неки менаџери лозинки чували матичне лозинке купца у обичном тексту без икаквог шифрирања..

Код апликације који садржи кључеве за шифровање - У суштини, сопствени код апликације излаже кључеве за шифровање унутар самог кода. Дан хавара је пољски дан када се открива та рањивост.

Њушење или отмица из међуспремника - Ово кршење омогућава криминалцима да узму акредитиве који су копирани у меморију рачунара како би се могли залепити у интерфејс за унос лозинке.

Уграђене недостатке веб прегледача - Неки управитељи лозинки су такође претраживачи, чија употреба треба да одржи купце сигурнијом на мрежи. Међутим, са несавршеним менаџером лозинки - какви и јесу, могућност за грешке се повећава.

Напад података на резидуе - Корисници који бришу апликације са својих уређаја не морају нужно да уклоне све његове трагове. Неки хакери нападају „остатак“ који остаје иза. Само солидне мере безбедности заправо спречавају криминалце.

цибер напади инсајдераИнсајкерско хаковање - Не претпостављајте да сте сигурни само зато што користите рачунар компаније. Неки хакови су унутрашњи посао који врши колега. То је тачно тачно у канцеларијама менаџера лозинки. Како знате да можете веровати запосленима вашег провајдера?

Информације пропуштају кроз Свап Мемори - Већина рачунара има главну меморију и секундарну меморију. Сваки процес који рачунар изврши добије онолико меморије колико тражи. Активни процеси се чувају у главној меморији. Неуспјели процеси се гурају у секундарно складиште. Када одређени процес почне појести тоне меморије, више предмета се гура у секундарно складиште. Перформансе система се погоршавају, а престанак процеса цурења не може значити да се процеси који су гурнути у секундарну меморију одмах пребацују назад. Све што је пребачено у секундарни простор може бити нападно рањиво.

Шта будућност носи?

Као што је напоменуто, девет најпознатијих менаџера лозинки су решили све ове проблеме. Међутим, који други проблеми могу да вребају? Неке рањивости које је открио ТеамСИК требало је да буду сасвим очигледне, али ниједна од ових компанија није их била свесна. Било је потребно да независна трећа страна открије ове проблеме и прикаже их. Можете ли заиста веровати менаџеру лозинки са својим најосетљивијим подацима?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me