Jesu li zaštitnici lozinke sigurni? Popis svake veće povrede

Ako provodite neko vrijeme na Internetu (a tko nema ovih dana?), Vjerojatno imate puno lozinki.


Trebate lozinku svaki put kada se prijavite na svoje račune na društvenim mrežama, provjerite stanje na svom bankovnom računu ili naručite nešto od Amazona. Ako pripadate bilo kojem forumu, imate web stranicu ili čak samo pišete blog, tada imate još više zaporki.

nužnost lozinkePrimamljivo je koristiti istu lozinku za svaku od tih web lokacija. Napokon, vjerojatno se trebate prijaviti na desetke, ako ne i stotine web stranica tijekom normalne godine. Ako ste imali jaku, jedinstvenu lozinku za svaku od tih web stranica, kako si ih se svih mogla sjetiti?

Nažalost, previše ljudi uzima jednostavan put. Oni koriste lozinku koja je prilično očita, recimo „Password123,Na primjer, a zatim ih upotrijebite za sve svoje mrežne aktivnosti. Zašto je ovo tako užasna ideja? Jer ako haker uspije dobiti vašu lozinku na čak jednom računu, tada oni imaju vašu lozinku za sve vaše račune.

Možda vam nije jasno da je to posebno velika stvar ako se neka gadna stranka uspije prijaviti na svoj Facebook profil, iako mogu propasti ako se to dogodi. Međutim, ako vam ta lozinka omogući pristup vašim bankovnim podacima, brojevima vaše kreditne kartice, brojem SocialSecurity ili bilo čemu drugom, onda će vam to zasigurno biti stalo.

Zašto su jake lozinke kritične

Posljednjih godina mnoge su web stranice počele postavljati zahtjeve za sve dužim i složenijim lozinkama. Korisnik boli smisliti i zapamtiti ove lozinke, ali za to postoji dobar razlog.

jaka lozinkaŠto su složenije i slučajnije vaše lozinke, hakeri su teže razabrati. Sad, zamislite da ste imali na desetine ovih lozinki, po jednu za svaku od učestalih web stranica. Ti hakeri neće doći daleko kada moraju smisliti potpuno slučajni lanac od 12 ili više slova, brojeva i posebnih znakova. Problemi se množe samo upotrebom jedinstvenih lozinki na svakom vašem mrežnom računu.

Ova vrsta lozinke presudna je za vašu internetsku sigurnost. Jednom kada jedan haker shvati vašu previše jednostavnu zaporku, mogu je sami koristiti ili prodati za velike novce na crnom tržištu. Neki od tih kupaca nevjerojatno su sofisticirani. Za nekoliko minuta vaš se identitet ukrade, kreditni rejting se uništi i potrošit ćete godine i puno novca pokušavajući vratiti svoj ugled.

Prema MIT Technology Review, stvaranje uistinu jake lozinke znači više od korištenja velikih slova, jednog broja i jednog posebnog znaka. Što duže unosite zaporku i što je više posebnih znakova koje koristi, veća je vjerojatnost da ćete nahraniti hakere.

Hakeri imaju softver koji neprekidno i neumorno prolazi kroz pretpostavke o lozinkama. Prije ili kasnije, mogu se zakačiti na vaše. Međutim, ako je vaša lozinka duga, složena i potpuno slučajna, onda dobre su šanse da će haker potražiti mnogo lakši plijen, koji je dostupan u izobilju.

Što je Upravitelj lozinki?

Problem je što je pamćenje svih ovih nevjerojatno dugih, kompliciranih i jedinstvenih lozinki herkulovski zadatak. Tko ih može sve ispraviti? Tu dolaze upravitelji lozinki.

kako funkcionira upravitelj lozinkiVećina upravitelja lozinki dizajnirana je za generiranje bezbroj jakih, slučajnih lozinki za pojedine korisnike. Oni pohranjuju ove lozinke, a zatim ih pronalaze kad posjetite svaku web stranicu.

Ove usluge također mogu pohraniti brojeve vaših kreditnih kartica, uključujući troznamenkasti CVV kôd na poleđini, zajedno s PIN-ovima i vašim odgovorima na razna sigurnosna pitanja. Svi su ovi podaci šifrirani u ponudi za foliranje hakera. Mnoge od tih usluga koriste hashing, što u biti i jest odgovoran za pretvaranje običnih podataka u nizove brojeva ili znakova unaprijed određene dužine.

Svaki put kad želite posjetiti web mjesto na kojem ćete trebati upotrijebiti jednu od svojih lozinki, prijavite se u "trezor" podataka koje ste prethodno pohranili sa svojim upraviteljem lozinki. Pristup se daje putem jedne lozinke za uslugu upravitelja.

To zvuči prilično prikladno, ali ključno je da ne ulažete previše povjerenja u upravitelje lozinki. Te usluge nisu čarobni metak koji će vas zaštititi od svake štete. Još je mudro koristiti VPN kao što je NordVPN dvofaktorska provjera autentičnosti za određene izuzetno vrijedne račune i za korištenje samo onih uređaja u koje imate povjerenja.

U stvari, možda biste uopće bili pametni odustati od korištenja upravitelja lozinki.

Zašto upravitelji lozinki mogu biti rizični

Upravitelji zaporkama pohranjuju sve vaše osjetljive podatke lokalno ili u oblak. Prema tome, vaše se lozinke nalaze u trezoru na disku za pohranu ili računalu u vašem domu ili se čuvaju daljinski na poslužiteljima upravitelja lozinki..

Veliki igrači u industriji Kao Dashlane1Password LastPass koristiti svoje poslužitelje za pohranu vaših privatnih podataka prema zadanim postavkama. To vam olakšava sinkronizaciju bilo kakvih pohranjenih podataka koji možda imate sa svim svojim uređajima.

sjeckanje lozinkeSada se te tvrtke puno obećavaju u vezi sa svojim sigurnosnim mjerama, ali to ne čini svim potrošačima ugodnim. Zamislite da li su svi ti nevjerojatno vrijedni podaci na tom istom poslužitelju bili ugroženi od strane haka. Budući da ste sva svoja jaja stavili u jednu košaru, upravo ste izgubili kontrolu nad svojim mrežnim životom.

Realnost je da se malo hakera može oduprijeti iskušenju da se mimoiđe naprednim sigurnosnim sustavima. Razmislite o svim neprocjenjivim podacima koje su mogli prikupiti samo jednim hackom. Ponekad konsolidacija nije mudar manevar.

Ako vam se zapravo ne dopada pomisao na pohranu u oblaku za sve svoje lozinke, možda biste se umjesto toga mogli odlučiti za lokalnu pohranu. Dashlane ovo omogućuje kad kupci odluče onemogućiti značajku "Sync".

1Password kupcima omogućuje kupnju softverske licence koja im daje kontrolu nad mjestom čuvanja trezora. KeePass omogućuje pohranjivanje podataka u trezor koji je šifriran na vašem uređaju.

No, prije nego što skočite s obje noge na ove mogućnosti, zapitajte se koliko su sigurne vaše vlastite mjere elektroničke sigurnosti? Je li moguće da je haker mogao proći kroz njih da bi preuzeo sve vaše lozinke s vašeg vlastitog uređaja?

Kršenja sigurnosti o kojima morate znati

Navedeni prekršaji sigurnosti nisu teoretski. Mnogo njih se dogodilo. Prije nego što odlučite hoće li upotreba upravitelja lozinki imati smisla za vas, uzmite u obzir ove povrede.

Kršenje na OneLoginu

Upravitelj lozinki OneLogin otkrio je u lipnju 2017. da je pretrpio hack. Općenito prijavljeni incident utjecao je na sve klijente tvrtke čiji su podaci pohranjeni u američkom podatkovnom centru.

U priopćenju za javnost OneLogin je napisao: "Od tada smo blokirali ovaj neovlašteni pristup, prijavili to pitanje policijskim službama i surađujemo s neovisnom zaštitarskom firmom kako bi utvrdili kako se dogodilo neovlašteni pristup."

LastPass prijavljuje kršenje

Još jedan prilično zloglasni hak menadžera lozinki dogodio se na LastPassu. To je izviješteno u travnju 2017., a tvrtka ga je opisala kao "jedinstven i vrlo sofisticiran" problem. Implikacija je da LastPass koristi tako napredne tehnike šifriranja i sigurnosne mjere da je situacija sve samo, ali ne i nezamisliva i da se više ne bi mogla ponoviti.

Problem je identificirao Tavis Ormandy, sigurnosni istraživač za Googleov projekt Zero. Ormandy je opisao to pitanje "arhitektonskog" karaktera, rekavši da će mu trebati dovoljno vremena za rješavanje.

Dok je LastPass radio na ispravljanju ranjivosti, klijentima je savjetovao da ih koriste dvofaktorska provjera autentičnosti i izbjeći sve sumnjive veze.

Međutim, to nije jedina pojava koja je pretrpjela LastPass. U lipnju 2015., kompanija je objavila da su njihovi poslužitelji doživjeli upad. LastPass izvijestio je da nijedna pohranjena lozinka nije ukradena i da hakeri nisu uzeli adrese e-pošte, podsjetnike zaporke ili hasheve za provjeru autentičnosti.

KeePass dobiva hakiran - sortiraj

Dostupnost alata pod nazivom "KeeFarce" u 2015. godini učinila je da KeePass stvari izgledaju jadno. Iako je ovaj hakerski alat bio usmjeren na KeePass, izvedivo je da se alat može izmijeniti u cilju ciljanja bilo kojeg upravitelja lozinki.

U osnovi, ovaj je alat dizajniran za ciljanje na računala korisnika koja obično nemaju snažne sigurnosne značajke koje koriste upravitelji lozinki. Alat je mogao dešifrirati sva korisnička imena i lozinke koje je korisnik pohranio s KeePass. Svi su podaci tada zapisani u datoteku kojoj je haker mogao pristupiti.

Ovaj je alat dizajniran da ukaže na problem koji imaju svi upravitelji lozinki. Zaraženo računalo ranjivo je računalo. Bez obzira koliko je dobar upravitelj lozinki kad je korisnikovo računalo zaraženo virusom ili drugim problemom, zaštita koju nudi upravitelj sigurno je ugrožena. Morate poboljšati vlastitu sigurnost ako želite imati koristi od upravitelja lozinki.

Čuvar hvata bugu

otkrivanje grešakaU svibnju 2018. Keeper je objavio da su riješili pogrešku koju je identificirao sigurnosni istraživač. Istraživač je to rekao bug je možda neovlaštenim osobama omogućio pristup privatnim podacima koji pripadaju drugom korisniku.

Bug je otkriven putem liste otkrivanja za javnu sigurnost. U popisu je navedeno da bi svaki pojedinac koji je kontrolirao API poslužitelj tvrtke mogao teoretski pristupiti ključu za dešifriranje trezoru lozinki bilo kojeg korisnika. Izvor problema bio je Keeper Commander, skripta koju pokreće Python koji korisnicima omogućuje rotaciju lozinki.

Čuvarica čuvara je otada eliminirana.

Nalazi TeamSIK-a

U veljači 2017. istraživači koji rade u Institutu za sigurnu informacijsku tehnologiju Fraunhofer objavili su svoja otkrića nakon pregleda devet najčešće korištenih upravitelja lozinki. Rezultati su bili tek uvjerljivi.

team sik logoIstraživači, poznati kao TeamSIK, nazvali su svoje nalaze „izuzetno zabrinjavajućim.“ Čak su tvrdili da te kompanije „zloupotrebljavaju povjerenje korisnika i izlažu ih visokim rizicima“.

Upravitelji lozinki koji su uključeni u pregled bili su 1Password, Avast Lozinke, Sakrij slike Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager i My Passwords..

Svaki je menadžer u pregledu imao barem jedan propust u sigurnosti. Istraživači su obavijestili svaku tvrtku o svojim nalazima, a problemi s motima brzo su riješeni. Pa ipak, ne čini li se da je svaka tvrtka trebala shvatiti i ispraviti te probleme bez potrebe za vanjskim izvorom koji bi ih natjerao da poduzme mjere?

U razdoblju nakon, korisnike se ohrabrilo da osiguraju da su zakrpljeni i koristeći najnovije verzije softvera za upravljanje lozinkama tako da su u potpunosti iskoristili nadograđene mjere sigurnosti.

Ispod su neki konkretni detalji / izvješća. Za posebne detalje otvorite svako izvješće.

MyPasswords 

  • Pročitajte privatne podatke aplikacije Moja lozinka
  • Dešifriranje glavne lozinke aplikacije Moje lozinke
  • Besplatno Premium značajke Otključajte moje lozinke

Upravitelj lozinki Informaticore 

  • Nesigurna pohrana u vjerodajnici u upravitelju lozinki za Mirsoft

LastPass Password Manager 

  • Tvrdi kodirani glavni ključ u programu LastPass Password Manager
  • Privatnost, curenje podataka u pretraživanju LastPass pretraživača
  • Pročitajte privatni datum (pohranjeni masterpassword) iz programa LastPass Password Manager

Keeper Passwort-Manager 

  • Nadgledanje sigurnosnih pitanja za voditelja lozinke
  • Umetanje podataka čuvara lozinke bez glavne lozinke

F-Secure KEY Upravitelj lozinki 

  • F-Secure KEY Password Manager Nesigurna pohrana vjerodajnica

Dashlane Upravitelj lozinki 

  • Pročitajte privatne podatke iz mape aplikacije u Dashlane upravitelju lozinki
  • Propuštanje podataka o Google pretraživanju u pregledniku Dashlane Password Manager
  • Ostatak napada Izvlačenje glavne lozinke iz Dashlane upravitelja lozinki
  • Propuštanje poddomene lozinke u internom pregledniku Dashlane Password Manager

Sakrij slike Čuvaj siguran sef 

  • SKeepsafe Plaintext Pohrana zaporke

Avast lozinke 

  • Krađa lozinke aplikacije iz Avast Managera lozinke
  • Krađa lozinke spoofed Website od Avast Manager
  • Nesigurni zadani URL-ovi za popularne web-lokacije u Avast upravitelju lozinki
  • Propuštanje poddomene lozinke u Avast Manageru
  • Slomljena sigurna komunikacija u Avast upravitelju lozinki
  • Interni testovi URL-ova u Avast upravitelju lozinki

1Password - Upravitelj lozinkom 

  • Propuštanje poddomene lozinke u internom pregledniku 1Password
  • Https nadograditi na http URL prema zadanim postavkama u internom pregledniku 1Password
  • Naslovi i URL-ovi nisu šifrirani u bazi podataka 1Password
  • Pročitajte privatne podatke iz mape aplikacije u 1Password Manager
  • Pitanje o privatnosti, podaci su stigli do upravitelja dobavljača 1Password

Vrste sigurnosnih kršenja

Realnost je da su svi glavni menadžeri lozinki u jednom ili drugom trenutku imali ozbiljne kršenja sigurnosti. Čak i ako ispravljaju probleme kako nisu otkriveni, čini se da se nove sheme uvijek izbacuju. Ovo su neki od sigurnosnih kršenja na koja su ranjivi upravitelji lozinki.

Krađa identiteta - Većina ljudi je čula za krađu identiteta. Oni uključuju e-poruku ili tekstualnu poruku koju navodno šalje ugledni entitet ili pojedinac. Cilj je navesti žrtvu koja ne sumnja da otkrije osjetljive podatke kao što su brojevi bankovnih računa, brojevi kreditnih kartica i brojevi socijalnog osiguranja u svrhu prevare primatelja..

protok phishing napada

Krađa identiteta korištena je za obmanjivanje klijenata koji upravljaju lozinkom. U ovoj shemi od kupaca se traži da se prijave na web mjesto zbog isteka sesije. Kada to učine, na zbunjujuće slične phishing web stranice zapravo se unose njihovi privatni podaci. Korisnik je samo voljno ponudio hakeru svoju tajnu lozinku.

Krivotvorenje zahtjeva na više stranica - Ova shema često nazivana CSRF-om uvodi ljude da poduzimaju nenamjerne akcije na mreži. Zaposlen je na korisnicima koji imaju autentičnost u web aplikaciji. Zloglasna stranka često šalje vezu putem e-pošte kako bi nagovorila žrtvu na prijenos sredstava ili poduzimanje drugih potencijalno štetnih radnji.

Križanje na više stranica - Poznat kao XSS, ovaj napad uključuje unošenje zloćudnog koda na inače poznate i pouzdane web stranice.

Napadi brutalnosti - Ovo kršenje sigurnosti uključuje automatizirani softver koji isprobava različite kombinacije dok ne naiđe na mine gold podataka, poput poslužitelja vašeg upravitelja lozinki.

lozinka za autofilRanjivost značajki za automatsko popunjavanje - Korištenje funkcije automatskog popunjavanja na web-pregledniku ili u upravitelju zaporki je primamljivo jer čini se da sve toliko olakšava. U stvarnosti, samo olakšavate cyber kriminalcima širom svijeta. Čak ga koriste i oglašivači.

Pohranjivanje glavne lozinke u običnom tekstu - Dokazujući da upravitelji lozinki nisu nužno najbolji čuvari vaših osjetljivih podataka, jedan je istraživački projekt otkrio činjenicu da su neki upravitelji lozinki pohranjivali matične lozinke kupca u običan tekst bez ikakvog šifriranja..

Aplikacijski kôd koji sadrži ključeve za šifriranje - U osnovi, vlastiti kôd aplikacije izlaže ključeve za šifriranje unutar samog koda. Dan hazera je za hakere kada se otkriva ta ranjivost.

Njuškalo ili otmica u međuspremniku - Ovo kršenje omogućava kriminalcima da uzmu vjerodajnice koje su kopirane u memoriju računala kako bi ih mogli zalijepiti u sučelje za unos lozinke.

Nedostaci ugrađenog web preglednika - Neki upravitelji zaporki također su preglednici, čija upotreba bi kupcima trebala osigurati sigurnost na mreži. No, s nesavršenim upraviteljem lozinki - kakvi svi oni jesu, mogućnost nedostataka povećava se.

Napad rezidualnih podataka - Korisnici koji brišu aplikacije sa svojih uređaja ne moraju nužno ukloniti sve njegove tragove. Neki hakeri napadaju "ostatak" koji ostaje iza. Samo solidne sigurnosne mjere zapravo sprečavaju kriminalce.

cyber napadi insajderaUnutrašnje sjeckanje - Ne pretpostavljajte da ste sigurni samo zato što upotrebljavate računalo tvrtke. Neki su hakovi unutarnji posao koji obavlja kolega. To je jednako istina u uredima upravitelja lozinki. Kako znate da možete vjerovati zaposlenicima svog davatelja usluga?

Informacije curi kroz zamjenjivu memoriju - Većina računala imaju glavnu memoriju i sekundarnu pohranu. Svaki postupak koji računalo izvršava dobiva onoliko memorije koliko traži. Aktivni postupci pohranjuju se u glavnu memoriju. Neuspjeli procesi se guraju u sekundarno skladište. Kad određeni proces počne pojesti tone memorije, više predmeta se gura u sekundarnu pohranu. Učinkovitost sustava se pogoršava, a prestanak postupka curenja ne može značiti da se procesi koji su gurnuti u sekundarnu pohranu odmah zamjenjuju. Sve što je preraslo u sekundarnu pohranu može biti napadno ranjivo.

Što drži budućnost?

Kao što je napomenuto, devet najpoznatijih upravitelja zaporki riješilo je sve ove probleme. Međutim, koji drugi problemi mogu biti skriveni? Neke ranjivosti koje je otkrio TeamSIK trebali su biti posve očite, ali niti jedna od ovih tvrtki nije bila svjesna. Potrebna je neovisna treća strana da otkrije i objavi ove probleme. Možete li zaista vjerovati upravitelju lozinki sa svojim najosjetljivijim podacima?

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me