Защитные пароли безопасны? Список каждого крупного нарушения

Если вы проводите какое-то время в Интернете (а кто нет в эти дни?), То у вас, вероятно, много паролей..


Вам нужен пароль каждый раз, когда вы входите в свои учетные записи социальных сетей, проверяете баланс своего банковского счета или заказываете что-то в Amazon. Если вы принадлежите к каким-либо форумам, ведете веб-сайт или даже просто пишете блог, то у вас есть еще больше паролей.

необходимость пароляСоблазнительно использовать один и тот же пароль для каждого из этих сайтов. В конце концов, вам, вероятно, потребуется войти на десятки, если не на сотни, веб-сайтов в течение обычного года. Если у вас был надежный, уникальный пароль для каждого из этих сайтов, как ты мог помнить их всех?

К сожалению, слишком много людей выбирают легкий путь. Они используют довольно очевидный пароль, скажем «Password123,”, А затем использовать его для всех своих онлайн-действий. Почему это такая ужасная идея? Так как если хакеру удастся получить ваш пароль хотя бы на одну учетную запись, то у него есть ваш пароль для всех ваших учетных записей.

Возможно, вы не понимаете, что это особенно важно, если какая-то гнусная вечеринка сможет войти в ваш профиль на Facebook, хотя они могут нанести ущерб, если это произойдет. Однако, если этот пароль дает им доступ к вашей банковской информации, номерам вашей кредитной карты, номеру SocialSecurity или чему-либо еще, то вам, безусловно, все равно.

Почему важны надежные пароли

В последние годы многие веб-сайты начали устанавливать требования к все более длинным и сложным паролям. Пользователю трудно придумать и запомнить эти пароли, но для этого есть все основания.

Надежный парольЧем сложнее и случайнее ваши пароли, тем сложнее их различить хакерам. Теперь представьте, что у вас есть десятки этих паролей, по одному для каждого сайта, который вы посещаете. Эти хакеры не доберутся до тех пор, пока им не придётся разбираться в совершенно случайной цепочке из 12 или более букв, цифр и специальных символов. Проблемы только умножаются на использование уникальных паролей на каждом из ваших онлайн-аккаунтов..

Этот тип пароля имеет решающее значение для вашей онлайн-безопасности. После того, как один хакер узнал ваш слишком простой пароль, он может использовать его самостоятельно или продать его за большие деньги на черном рынке. Некоторые из этих покупателей невероятно искушены. В течение нескольких минут ваша личность украдена, ваш кредитный рейтинг разрушен и вы потратите годы и много денег, пытаясь вернуть себе репутацию.

Согласно MIT Technology Review, создание действительно надежного пароля - это больше, чем использование одной заглавной буквы, одного числа и одного специального символа. Чем дольше вы делаете свой пароль и чем больше специальных символов он использует, тем больше вероятность того, что вы озадачите хакеров.

У хакеров есть программное обеспечение, которое непрерывно и без устали проходит через «догадки» паролей. Рано или поздно они могут зацепиться за ваше. Однако, если ваш пароль длинный, сложный и абсолютно случайный, то велика вероятность, что хакер отправится на поиски гораздо более легкой добычи, который доступен в изобилии.

Что такое менеджер паролей?

Проблема заключается в том, что запоминание всех этих невероятно длинных, сложных и уникальных паролей - задача Геракла. Кто может держать их всех прямо? Вот где приходят менеджеры паролей.

как работает менеджер паролейБольшинство менеджеров паролей предназначены для создания бесчисленных надежных, случайных паролей для отдельных пользователей. Они хранят эти пароли, а затем извлекают их при посещении каждого веб-сайта..

Эти службы также могут хранить номера ваших кредитных карт, включая трехзначный код CVV на оборотной стороне, а также PIN-коды и ваши ответы на различные вопросы безопасности. Все эти данные зашифрованы, чтобы предотвратить хакеров. Многие из этих сервисов используют хеширование, которое по сути отвечает за преобразование простых данных в строки чисел или символов заданной длины.

В любое время, когда вы захотите посетить веб-сайт, где вам потребуется использовать один из ваших паролей, вы входите в «хранилище» данных, которые вы ранее сохраняли с помощью менеджера паролей. Доступ предоставляется через один пароль для менеджера сервиса.

Это звучит довольно удобно, но важно, чтобы вы не слишком доверяли менеджерам паролей. Эти услуги не волшебная пуля, которая защитит вас от любого вреда. Все еще разумно использовать VPN как NordVPN для любого просмотра, двухфакторная аутентификация для определенных чрезвычайно ценных учетных записей и использование только тех устройств, которым вы доверяете.

На самом деле, вы можете отказаться от использования менеджера паролей вообще..

Почему менеджеры паролей могут быть рискованными

Менеджеры паролей хранят все ваши конфиденциальные данные локально или в облаке. Соответственно, ваши пароли находятся в хранилище на накопителе или компьютере у вас дома или хранятся удаленно на серверах диспетчера паролей..

Знаменитые игроки в отрасли нравиться Dashlane1Password и LastPass использовать их серверы для хранения вашей личной информации по умолчанию. Это упрощает синхронизацию любых сохраненных данных со всеми вашими устройствами..

взлом пароляТеперь эти компании дают много обещаний относительно своих мер безопасности, но это не делает всех потребителей комфортными.. Только представьте, что все эти невероятно ценные данные на одном сервере были взломаны взломом. Поскольку вы положили все свои яйца в одну корзину, вы просто потеряли контроль над своей онлайн-жизнью.

Реальность такова, что немногие хакеры могут противостоять искушению обойти современные системы безопасности. Подумайте обо всех бесценных данных, которые они могли бы собрать одним взломом. Иногда консолидация не является мудрым маневром.

Если вам действительно не нравится мысль о облачном хранилище для всех ваших паролей, то, возможно, вы могли бы вместо этого выбрать локальное хранилище. Dashlane делает это возможным, когда клиенты выбирают отключить функцию «Синхронизация».

1Password позволяет клиентам купить лицензию на программное обеспечение, которая дает им контроль над тем, где хранится их хранилище. KeePass позволяет хранить ваши данные в хранилище, которое зашифровано на вашем собственном устройстве.

Однако, прежде чем приступить к использованию этих опций обеими ногами, спросите себя, насколько безопасны ваши собственные электронные меры безопасности? Возможно ли, чтобы хакер смог через них забрать все ваши пароли с вашего собственного устройства?

Нарушения безопасности, о которых вам нужно знать

Перечисленные нарушения безопасности не являются теоретическими. Многие из них произошли. Прежде чем вы решите, имеет ли смысл использовать менеджер паролей, примите во внимание эти нарушения.

Нарушение в OneLogin

Менеджер паролей OneLogin в июне 2017 года объявил, что его взломали. Широко сообщаемый инцидент затронул всех клиентов компании, чьи данные хранились в центре обработки данных в США.

В пресс-релизе OneLogin пишет, что «с тех пор мы заблокировали этот несанкционированный доступ, сообщили об этом в правоохранительные органы и работаем с независимой охранной фирмой, чтобы определить, как произошел несанкционированный доступ».

LastPass сообщает о нарушении

В LastPass произошел еще один довольно печально известный взлом менеджера паролей. Об этом было сообщено в апреле 2017 года, и компания описала это как «уникальную и очень сложную» проблему. Подразумевается, что LastPass использует такие передовые методы шифрования и меры безопасности, что ситуация практически невозможна и не может произойти снова.

Эта проблема была обнаружена исследователем безопасности Google Project Zero Тависом Орманди. Орманди охарактеризовала проблему как «архитектурную» по своему характеру, сказав, что для ее решения потребуется значительное время..

В то время как LastPass работал над исправлением уязвимости, они советовали клиентам использовать двухфакторная аутентификация и избегать всех подозрительных ссылок.

Однако это не единственное событие, от которого пострадала LastPass. В июне 2015 года компания объявила, что их серверы подверглись вторжению. LastPass сообщил, что ни один из сохраненных паролей не был украден и что хакеры не взяли адреса электронной почты, напоминания пароля или хеши аутентификации.

KeePass получает взломан - вроде

Наличие инструмента под названием «KeeFarce» в 2015 году заставило KeePass выглядеть рискованно. Хотя этот хакерский инструмент был ориентирован на KeePass, вполне возможно, что инструмент может быть изменен для любого менеджера паролей.

По сути, этот инструмент был предназначен для компьютеров пользователей, которые обычно не имеют надежных функций безопасности, которые используют менеджеры паролей. Инструмент был способен расшифровать все имена пользователей и пароли, которые пользователь сохранил с KeePass. Затем все данные были записаны в файл, к которому хакер мог получить доступ.

Этот инструмент был разработан для выявления проблемы, которая есть у всех менеджеров паролей. Зараженный компьютер является уязвимым компьютером. Независимо от того, насколько хорош менеджер паролей, когда компьютер пользователя заражен вирусом или другой проблемой, защита, предлагаемая менеджером, обязательно будет скомпрометирована. Вы должны усилить свою безопасность, если хотите надеяться на использование менеджера паролей.

Хранитель ловит ошибку

обнаружение ошибокВ мае 2018 года Keeper объявил, что они исправили ошибку, обнаруженную исследователем безопасности. Исследователь сказал, что ошибка могла позволить неавторизованным людям получить доступ к личным данным, принадлежащим другому пользователю.

Ошибка была обнаружена через список раскрытия для общественной безопасности. По сути, в листинге говорится, что любой человек, который контролировал сервер API компании, теоретически может получить доступ к ключу расшифровки для хранилища паролей, принадлежащих любому пользователю. Источник проблемы содержался в Keeper Commander, скрипте на Python, который позволяет пользователям поворачивать пароли.

Ошибка хранителя была устранена.

Результаты TeamSIK

В феврале 2017 года исследователи, работающие в Институте безопасных информационных технологий им. Фраунгофера, обнародовали свои выводы после обзора девяти наиболее часто используемых менеджеров паролей. Результаты были совсем не обнадеживающими.

логотип команды сикИсследователи, известные как TeamSIK, назвали свои выводы «чрезвычайно тревожными». Они даже утверждали, что эти компании «злоупотребляют доверием пользователей и подвергают их высоким рискам».

Менеджерами паролей, которые были включены в обзор, были 1Password, пароли Avast, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager и Мои пароли.

У каждого менеджера в обзоре был по крайней мере один недостаток безопасности. Исследователи сообщили каждой из компаний о своих выводах, и многие проблемы были быстро решены. Тем не менее, не кажется ли, что каждая компания должна была понять и исправить эти проблемы, не нуждаясь во внешнем источнике, чтобы убедить их принять меры?

В последствии, пользователям было предложено убедиться, что они были исправлены и используются последние версии программного обеспечения менеджера паролей чтобы они получали все преимущества от обновленных мер безопасности.

Ниже приведены некоторые конкретные детали / отчеты. Для конкретных деталей, пожалуйста, откройте каждый отчет.

MyPasswords 

  • Читать личные данные приложения Мои пароли
  • Мастер расшифровки паролей приложения Мои пароли
  • Бесплатные Премиум функции разблокировки для моих паролей

Informaticore Password Manager 

  • Небезопасное хранение учетных данных в Mirsoft Password Manager

LastPass Password Manager 

  • Мастер-ключ в жестком коде в менеджере паролей LastPass
  • Конфиденциальность, утечка данных в LastPass Browser Search
  • Чтение приватной даты (сохраненного мастер-пароля) из менеджера паролей LastPass

Keeper Passwort-Manager 

  • Keeper Password Manager Обход секретного вопроса
  • Keeper Password Manager Ввод данных без мастер-пароля

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Небезопасное хранилище учетных данных

Dashlane Password Manager 

  • Чтение личных данных из папки приложения в Dashlane Password Manager
  • Утечка информации о поиске Google в браузере диспетчера паролей Dashlane
  • Residue Attack Извлечение мастер-пароля из Dashlane Password Manager
  • Утечка пароля субдомена во внутреннем браузере диспетчера паролей Dashlane

Скрыть картинки Keep Safe Vault 

  • SKeepsafe Хранение незашифрованных паролей

Пароли Avast 

  • Кража паролей приложения из Avast Password Manager
  • Кража паролей с помощью поддельного веб-сайта из Avast Password Manager
  • Небезопасные URL-адреса по умолчанию для популярных сайтов в Avast Password Manager
  • Утечка пароля субдомена в Avast Password Manager
  • Сломанная реализация защищенной связи в Avast Password Manager
  • Внутренние URL-адреса тестирования в Avast Password Manager

1Password - Менеджер паролей 

  • Утечка пароля субдомена во внутреннем браузере 1Password
  • Https понижает до http URL по умолчанию в 1Password Internal Browser
  • Заголовки и URL-адреса, не зашифрованные в базе данных 1Password
  • Чтение личных данных из папки приложения в 1Password Manager
  • Проблема конфиденциальности, информация просочилась к продавцу 1Password Manager

Типы нарушений безопасности

Реальность такова, что все основные менеджеры паролей в тот или иной момент имели серьезные нарушения безопасности. Даже если они исправляют проблемы по мере их обнаружения, кажется, что новые схемы всегда в движении. Вот некоторые из нарушений безопасности, к которым уязвимы менеджеры паролей.

Фишинг - Большинство людей слышали о фишинговых схемах. Они включают в себя электронную почту или текстовое сообщение, которое якобы отправлено авторитетным лицом или частным лицом. Цель состоит в том, чтобы заставить ничего не подозревающую жертву раскрыть конфиденциальные данные, такие как номера банковских счетов, номера кредитных карт и номера социального страхования, с целью обмана получателя..

поток фишинг-атак

Фишинг был использован для обмана клиентов менеджера паролей. В этой схеме клиентов просят войти в веб-сайт из-за истекшего сеанса. Когда они это делают, похожий на фишинг веб-сайт на самом деле является местом, где они вводят свои личные данные. Пользователь просто охотно предложил свой секретный пароль хакеру.

Подделка межсайтовых запросов - Часто называемая CSRF, эта схема обманом заставляет людей предпринимать непреднамеренные действия в Интернете. Он используется для пользователей, прошедших проверку подлинности в веб-приложении. Подлая сторона часто отправляет ссылку по электронной почте, чтобы побудить жертву перевести средства или предпринять другие потенциально опасные действия.

Межсайтовый скриптинг - Эта атака, известная как XSS, включает внедрение вредоносного кода на другие известные и надежные веб-сайты..

Атаки грубой силы - Это нарушение безопасности включает в себя автоматическое программное обеспечение, которое пробует различные комбинации, пока не попадет на золотую жилу данных, например на сервер вашего менеджера паролей..

пароль автозаполненияУязвимость функции автозаполнения - Использование функции автозаполнения в вашем веб-браузере или менеджере паролей заманчиво, потому что, кажется, все намного проще. В действительности вы только облегчаете жизнь своим киберпреступникам по всему миру.. Он даже используется рекламодателями.

Хранение мастер-пароля в виде простого текста - Доказав, что менеджеры паролей не обязательно являются лучшими привратниками ваших конфиденциальных данных, один исследовательский проект обнаружил тот факт, что некоторые менеджеры паролей хранили мастер-пароли клиентов в виде простого текста без какого-либо шифрования..

Код приложения, содержащий ключи шифрования - По сути, собственный код приложения предоставляет ключи шифрования внутри самого кода. Это уязвимый день для хакеров, когда эта уязвимость обнаружена.

Буфер обмена нюхает или угон - Это нарушение позволяет преступникам захватывать учетные данные, которые были скопированы в память компьютера, чтобы их можно было вставить в интерфейс для ввода пароля.

Встроенные недостатки веб-браузера - Некоторые менеджеры паролей также являются браузерами, использование которых должно обеспечивать безопасность клиентов в Интернете. Однако с помощью несовершенного менеджера паролей - что все они, возможность для недостатков увеличивается.

Атака остатков данных - Пользователи, которые удаляют приложения со своих устройств, не обязательно удаляют все его следы. Некоторые хакеры атакуют «остаток», который остается позади. Только действительно надежные меры безопасности на самом деле не позволяют преступникам.

кибератаки со стороны инсайдеровИнсайдерская взлом - Не думайте, что вы в безопасности только потому, что используете компьютер компании. Некоторые взломы - это внутренняя работа, которую выполняет коллега. Это так же верно в офисах менеджеров паролей. Откуда вы знаете, что можете доверять сотрудникам своего провайдера??

Утечка информации через обменную память - Большинство компьютеров имеют основную память и вторичное хранилище. Каждый процесс, который выполняет компьютер, получает столько памяти, сколько ему требуется. Активные процессы хранятся в основной памяти. Бездействующие процессы выталкиваются во вторичное хранилище. Когда определенный процесс начинает поглощать тонны памяти, все больше элементов помещается во вторичное хранилище. Производительность системы ухудшается, и завершение процесса утечки может не означать, что процессы, которые были перенесены во вторичное хранилище, немедленно возвращаются обратно. Все, что было передано на вторичное хранилище, может быть уязвимо для атаки.

Что день грядущий?

Как уже отмечалось, девять самых известных менеджеров паролей с тех пор исправили все эти проблемы. Однако какие еще проблемы могут скрываться? Некоторые из уязвимостей, которые были обнаружены TeamSIK, должны были быть совершенно очевидными, но ни одна из этих компаний не знала о них. Потребовалась независимая третья сторона, чтобы раскрыть эти проблемы и выявить их. Можете ли вы действительно доверять менеджеру паролей ваши самые конфиденциальные данные?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me