Biztonságosak a jelszóvédők? Minden nagyobb jogsértés listája

Ha időt tölt az interneten (és ki nem manapság?), Akkor valószínűleg sok jelszóval rendelkezik.


Jelszóra van szüksége minden alkalommal, amikor bejelentkezik a közösségi média fiókjaiba, ellenőrzi a bankszámla egyenlegét, vagy rendel valamit az Amazon-tól. Ha valamelyik fórumhoz tartozik, webhelyet működtet, vagy akár csak blogot ír, akkor még több jelszóval rendelkezik.

jelszó szükségességeCsábító ugyanazt a jelszót használni mindegyik webhelyre. Végül is valószínűleg egy rendes év folyamán több tucat, ha nem több száz webhelyre kell bejelentkeznie. Ha minden weboldalhoz erős, egyedi jelszó tartozik, hogyan emlékszel rájuk??

Sajnos túl sok ember választja ki a könnyű utat. Nagyon nyilvánvaló jelszót használnak, mondjuk:Password123,”Például, majd felhasználhatja az összes online tevékenységükre. Miért ilyen szörnyű ötlet? Mert Ha a hackereknek sikerül megszerezni az Ön jelszavát még egy fiókban, akkor az összes fiókjához meg kell adni a jelszavát.

Lehet, hogy nem számít, hogy ez egy különösen nagy ügy, ha valami rosszindulatú fél képes bejelentkezni a Facebook-profilodba, bár tönkreteheti őket, ha ez megtörténik. Ha azonban ez a jelszó hozzáférést biztosít számukra a banki adatokhoz, a hitelkártya számához, a SocialSecurity számhoz vagy bármi máshoz, akkor biztosan érdekel.

Miért kritikusak az erős jelszavak?

Az utóbbi években számos webhely elkezdte követelmények felállítását az egyre hosszabb és összetettebb jelszavakkal kapcsolatban. Fájdalom, hogy a felhasználó ezeket a jelszavakat előállítsa és megjegyezze, de erre jó oka van.

erős jelszóMinél bonyolultabb és véletlenszerűbb a jelszava, annál nehezebben észlelhetők a hackerek. Most képzelje el, hogy tucatnyi jelszava van, mindegyik az Ön által gyakran használt webhelyekhez. Ezek a hackerek nem fognak olyan messzire jutni, ha 12 vagy több betűből, számból és speciális karakterből álló teljesen véletlenszerű láncot kell kitalálniuk. A problémák csak akkor szaporodnak meg, ha az egyedi jelszavakat használják minden online fiókban.

Az ilyen típusú jelszó kritikus az online biztonság szempontjából. Miután egy hacker kitalálta a túlságosan egyszerű jelszavát, maguk is használhatják azt, vagy eladhatják nagyobb áron a fekete piacon. Néhány ilyen vásárló hihetetlenül kifinomult. Perceken belül személyazonosságát ellopják, hitelminősítését eldobják és éveket és sok pénzt költesz annak érdekében, hogy visszaszerezze jó hírnevét.

A MIT Technology Review szerint egy valóban erős jelszó létrehozása több, mint egy nagybetű, egy szám és egy speciális karakter használata. Minél hosszabb ideig adja meg a jelszavát, és minél speciálisabb karaktereket használ, annál valószínűbb, hogy hackereket csonkít.

A hackerek olyan szoftverekkel rendelkeznek, amelyek folyamatosan és fáradhatatlanul futnak a jelszavakkal kapcsolatos „találgatásokon”. Előbb vagy utóbb bekerülhetnek a tiédbe. Ha azonban a jelszava hosszú, összetett és teljesen véletlenszerű, akkor akkor Jó esélyek arra, hogy a hackerek sokkal könnyebb zsákmányt keresnek, amely bőségesen elérhető.

Mi az a Jelszókezelő??

A probléma az, hogy ezen hihetetlenül hosszú, bonyolult és egyedi jelszavak emlékezete Herkules feladat. Ki tarthatja őket egyenesen? Itt jönnek be a jelszókezelők.

hogyan működik a jelszókezelőA legtöbb jelszókezelőt úgy tervezték, hogy számtalan erős, véletlenszerű jelszót generáljon az egyes felhasználók számára. Ezeket a jelszavakat tárolja, majd az egyes webhelyek felkeresésekor lekérdezi azokat.

Ezeknek a szolgáltatásoknak az is lehetséges, hogy tárolja a hitelkártya-számokat, ideértve a hátulján lévő háromjegyű CVV-kódot, valamint a PIN-kódot és a válaszokat a különféle biztonsági kérdésekre. Ezen adatok mindegyike titkosítva van a hackerek fóliázására. Ezeknek a szolgáltatásoknak sok része hashizálást használ, ami lényegében az a sima adatok előre meghatározott hosszúságú szám- vagy karakterláncokká történő konvertálásáért.

Bármikor, amikor meglátogat egy webhelyet, ahol a jelszavainak valamelyikét kell használnia, be kell jelentkeznie az adatok „tárolójába”, amelyet korábban a jelszókezelővel tárolt. A hozzáférést egyetlen jelszóval biztosítják a menedzser szolgáltatáshoz.

Ez nagyon kényelmesnek hangzik, de kritikus fontosságú, hogy ne bíztasson túl sok jelszókezelőt. Ezek a szolgáltatások nem egy mágikus golyó, amely megóvja Önt minden káros hatástól. Még mindig bölcs dolog olyan VPN-t használni, mint a NordVPN minden böngészéshez kétfaktoros hitelesítés bizonyos rendkívül értékes fiókokhoz, és csak olyan eszközök használatához, amelyekben megbízunk.

Valójában bölcs dolog lehet egy jelszókezelő használatával elhagyni.

Miért lehet kockázatos a jelszókezelők?

A jelszókezelők az összes érzékeny adatot helyben vagy felhőn tárolják. Ennek megfelelően a jelszavak tárolóban vannak az otthoni tárolómeghajtón vagy számítógépen, vagy távolról vannak tárolva a jelszókezelő kiszolgálóin.

Nagy nevezett szereplők az iparban mint Dashlane1Password és LastPass alapértelmezés szerint a szervereikkel tárolják személyes adatait. Ez kényelmesebbé teszi az esetlegesen tárolt adatok szinkronizálását az összes eszközzel.

jelszó feltöréseMost ezek a cégek sokat ígérnek biztonsági intézkedéseikkel kapcsolatban, de ez nem minden fogyasztót teszi kényelmessé. Képzelje el, ha az egyetlen kiszolgálón levő hihetetlenül értékes adatok veszélybe kerülnek-e egy hack által. Mivel az összes tojását egy kosárba helyezte, elvesztette az irányítást az online életében.

A valóság az, hogy kevés hackerek tudnak ellenállni a kísértésnek, hogy megkerüljék a fejlett biztonsági rendszereket. Gondoljon azokra a felbecsülhetetlen értékű adatokra, amelyeket egyetlen hackel összegyűjthetnek. Időnként a konszolidáció nem bölcs manőver.

Ha valóban nem szereti az összes jelszó felhőalapú tárolását, akkor inkább a helyi tárolást választhatja. Dashlane lehetővé teszi ezt, amikor az ügyfelek úgy döntnek, hogy letiltják a „Szinkronizálás” funkciót.

Az 1Password lehetővé teszi az ügyfeleknek, hogy szoftverlicencet vásároljanak, amely ellenőrzést ad nekik a boltozat tartása felett. A KeePass lehetővé teszi az adatok tárolását a saját eszközén titkosított tárolóban.

Mielőtt azonban ezekkel a lehetőségekkel mindkét lábát felugrná, kérdezd meg magadtól, mennyire biztonságosak a saját elektronikus biztonsági intézkedései? Lehetséges, hogy egy hacker átjuthat rajta, hogy az összes jelszavát a saját eszközéről elkapja?

Biztonsági megsértések, amelyekről tudnia kell

A felsorolt ​​biztonsági szabálysértések nem elméleti jellegűek. Sokuk történt. Mielőtt eldöntené, hogy a jelszókezelő használata ésszerű-e vagy sem, vegye figyelembe ezeket a jogsértéseket.

A OneLogin megsértése

A OneLogin jelszókezelő 2017. júniusában kiderítette, hogy csapást szenvedett. A széles körben bejelentett esemény az összes olyan ügyfelet érintette, akinek az adatait az USA adatközpontjában tárolták.

A OneLogin sajtóközleményében azt mondta: "Azóta blokkoltuk ezt az illetéktelen hozzáférést, beszámoltuk az ügyről a rendészeti szerveknek, és együtt dolgozunk egy független biztonsági céggel, hogy meghatározzuk, hogyan történt az illetéktelen hozzáférés."

A LastPass megsértést jelent

Egy újabb meglehetősen hírhedt jelszókezelő-csapkod történt a LastPasson. Erről 2017 áprilisában számoltak be, és a vállalat „egyedi és nagyon kifinomult” problémaként jellemezte. Ennek az a következménye, hogy a LastPass olyan fejlett titkosítási technikákat és biztonsági intézkedéseket alkalmaz, hogy a helyzet mindazonáltal elképzelhetetlen, és esetleg nem fordulhat elő újra..

A problémát Tavis Ormandy, a Google Zero Project biztonsági kutatója azonosította. Ormandia a kérdést „építészeti” jellegűnek írta le, azt állítva, hogy jelentős időbe telik a kezelése.

Míg a LastPass a biztonsági rés kijavításán dolgozott, javasolta az ügyfeleknek, hogy használják két tényezős hitelesítés és minden gyanús link elkerülése érdekében.

Ez azonban nem az egyetlen olyan eset, amelyben a LastPass szenvedett. 2015 júniusában a cég bejelentette, hogy szervereik behatolást tapasztaltak. A LastPass arról számolt be, hogy nem tárolt jelszavakat loptak el, és hogy a a hackerek nem vették fel e-mail címeket, jelszó-emlékeztetőket vagy hitelesítési kivonatokat.

A KeePass megtörtént - fajta

A „KeeFarce” elnevezésű eszköz 2015-ben elérhetővé tette a dolgok szégyenlősségét a KeePass számára. Bár ezt a hacker eszközt a KeePass célozta meg, megvalósítható, hogy az eszköz módosítható legyen bármely jelszókezelő célzására.

Alapvetően ezt az eszközt olyan felhasználók számítógépére célozták meg, amelyek általában nem rendelkeznek a robusztus biztonsági szolgáltatásokkal, amelyeket a jelszókezelők használnak. Az eszköz képes visszafejteni az összes felhasználónevet és jelszót, amelyeket a felhasználó a KeePass-szal tárolt. Az összes adatot ezután egy fájlba írta, amelyhez a hackert hozzáférhetett.

Ezt az eszközt annak a problémának a kiemelésére fejlesztették ki, amely minden jelszókezelőnél felmerült. A fertőzött számítógép sebezhető számítógép. Nem számít, mennyire jó a jelszókezelő, ha a felhasználó számítógépe vírussal vagy más problémával fertőzött meg, a kezelő által biztosított védelmet feltétlenül veszélyeztetni kell. Meg kell tennie a saját biztonságát, ha reménykedni szeretne a jelszókezelő előnyeiből.

A Keeper hibát észlel

hibakeresés2018 májusában a Keeper bejelentette, hogy kijavítottak egy hibát, amelyet egy biztonsági kutató azonosított. A kutató ezt mondta a hiba valószínűleg lehetővé tette illetéktelen személyek számára, hogy hozzáférjenek egy másik felhasználóhoz tartozó személyes adatokhoz.

A hibát a közbiztonság érdekében egy nyilvánosságra hozatali listán hozták nyilvánosságra. Alapvetően a felsorolás azt mondta, hogy bárki, aki a társaság API-szerverét irányította, elméletileg hozzáférhet a visszafejtési kulcshoz bármely felhasználóhoz tartozó jelszavak tárolójához. A probléma forrása a Keeper Commander, a Python által támogatott szkript, amely lehetővé teszi a felhasználók számára a jelszavak elforgatását..

Az Keeper hibáját azóta megszüntették.

A TeamSIK eredmények

2017. februárban a Fraunhofer Biztonságos Információs Technológia Intézetében dolgozó kutatók a kilenc leggyakrabban használt jelszókezelő áttekintése után közzétették eredményeiket. Az eredmények nem csak megnyugtatóak.

team sik logóA kutatók, a TeamSIK néven rendkívül aggasztónak nevezték eredményeiket. Azt is állították, hogy ezek a vállalatok „visszaélnek a felhasználók bizalmával és magas kockázatnak teszik ki őket”.

A felülvizsgálatba bevitt jelszókezelők a következők voltak: 1 Jelszó, Avast Jelszavak, Képek elrejtése, Biztonságos tároló, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Jelszókezelő és Saját jelszavak.

A felülvizsgálat minden vezetőjének legalább egy biztonsági hibája volt. A kutatók minden vállalatot tájékoztatták eredményeikről, és a mot problémákra gyorsan megoldást találtak. Mégis nem úgy tűnik, hogy minden vállalatnak meg kellett volna vallania és kijavítania ezeket a problémákat anélkül, hogy külső forrásra kellene volna rávenni őket, hogy cselekedjenek?

Utóhatásaként, A felhasználókat arra buzdították, hogy biztosítsák javításukat és a jelszókezelő szoftver legújabb verzióinak használatát úgy, hogy teljes mértékben kihasználják a továbbfejlesztett biztonsági intézkedések előnyeit.

Az alábbiakban bemutatjuk a konkrét részleteket / jelentéseket. A részletekért kérjük, nyissa meg az egyes jelentéseket.

MyPasswords 

  • Olvassa el a Saját jelszavaim alkalmazás személyes adatait
  • A jelszavak visszafejtése a Saját jelszavak alkalmazásból
  • Ingyenes prémium szolgáltatások feloldása a jelszavaimhoz

Informatikai Jelszókezelő 

  • Nem biztonságos hitelesítő adatok tárolása a Mirsoft Password Manager alkalmazásban

LastPass jelszókezelő 

  • Merevkódú főkulcs a LastPass Jelszókezelőben
  • Adatvédelem, adatszivárgás a LastPass böngészőben
  • Olvassa el a Privát dátumot (Tárolt fő jelszó) a LastPass Jelszókezelőből

Keeper Passwort-Manager 

  • Keeper Password Manager biztonsági kérdés megkerülése
  • Keeper Password Manager adatbevitel mesterjelszó nélkül

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager nem biztonságos hitelesítő adatok tárolása

Dashlane jelszókezelő 

  • Olvassa el a személyes adatokat az alkalmazásmappából a Dashlane Password Manager alkalmazásban
  • A Google Search információszivárgása a Dashlane Password Manager böngészőben
  • Maradványtámadás A jelszó kinyerése a Dashlane Password Managerből
  • Aldomain jelszószivárgás a belső adatkezelő jelszókezelő böngészőjében

Képek elrejtése Tartsa biztonságos tárolót 

  • SKeepsafe egyszerű szöveges jelszó tárolása

Avast jelszavak 

  • App Jelszólopás az Avast Password Manager alkalmazásból
  • Jelszó lopás hamis webhely által az Avast Password Manager alkalmazásból
  • Nem biztonságos alapértelmezett URL-ek a népszerű webhelyek számára az Avast Password Manager alkalmazásban
  • Aldomain jelszószivárgás az Avast Password Manager alkalmazásban
  • Megszakadt biztonságos kommunikáció megvalósítása az Avast Password Manager alkalmazásban
  • Belső teszt URL-ek az Avast Password Manager alkalmazásban

1Password - Jelszókezelő 

  • Az aldomain jelszó szivárgása az 1Padword belső böngészőben
  • A Https alapértelmezett értékre csökkenti a http URL-t az 1Password belső böngészőben
  • Az 1Password adatbázisban nem titkosított címek és URL-ek
  • Olvassa el a privát adatokat az alkalmazásmappából az 1Password Manager alkalmazásban
  • Adatvédelmi probléma, az információ kiszivárgott az 1Password Manager-hez

A biztonság megsértésének típusai

A valóság az, hogy az összes fő jelszókezelő komoly biztonsági szabálysértéseket szenvedett egyszerre. Még akkor is, ha kijavítják a problémákat, amikor feltárják őket, úgy tűnik, hogy az új rendszerek mindig folyamatban vannak. Ez néhány biztonsági rés, amelyre a jelszókezelők sebezhetők.

Adathalászat - A legtöbb ember hallott az adathalász rendszerekről. Ezek e-mailt vagy szöveges üzenetet tartalmaznak, amelyet állítólag egy jó hírű szervezet vagy egyén küldött. A cél az, hogy egy gyanútlan áldozat olyan érzékeny adatokat tárja fel, mint a bankszámlaszámok, hitelkártya-számok és társadalombiztosítási számok a címzett megtévesztése céljából..

adathalász támadás folyamata

Az adathalászatot a jelszókezelő ügyfelek megtévesztésére használják. Ebben a rendszerben az ügyfeleket felkérjük, hogy jelentkezzenek be egy weboldalra a lejárt munkamenet miatt. Amikor megteszik, egy megtévesztően hasonló adathalász webhely valójában ott adja meg személyes adatait. A felhasználó éppen önként felajánlotta titkos jelszavát a hackerek számára.

Telephelyközi hamisítási kérés - Ezt a rendszert gyakran nevezik CSRF-nek, és az emberek arra készteti az embereket, hogy online nem kívánt tevékenységeket hajtsanak végre. A webes alkalmazásban hitelesített felhasználók számára használható. A rosszindulatú fél e-mailben gyakran küld egy linket, hogy ösztönözze az áldozatot pénzátutalásra vagy más potenciálisan káros cselekedetekre.

Webhelyek közötti szkriptek - Ismert nevén XSS, ez a támadás rosszindulatú kódok bevezetését foglalja magában az egyébként ismert és megbízható webhelyekre.

Nyers erőszakos támadások - Ez a biztonsági megsértés olyan automatizált szoftvert érint, amely különféle kombinációkat próbál meg, amíg el nem éri az adatkábelot, mint például a jelszókezelő szervere.

autofil jelszóAz automatikus kitöltés funkció biztonsági rése - Az automatikus kitöltés funkció használata a böngészőben vagy a jelszókezelőben csábító, mert úgy tűnik, hogy mindent megkönnyít. A valóságban csak a világ minden részéről megkönnyíti a számítógépes bűnözőket. Még a hirdetők is használják.

Mesterjelszó tárolása egyszerű szövegben - Bizonyítva, hogy a jelszókezelők nem feltétlenül a legjobb az adatkezelők, az egyik kutatási projekt felfedte azt a tényt, hogy néhány jelszókezelő az ügyfelek fő jelszavait egyszerű szövegben tárolta, bármiféle titkosítás nélkül..

Az alkalmazás kódja, amely titkosító kulcsokat tartalmaz - Lényegében az alkalmazás saját kódja titkosítási kulcsokat fed le magában a kódban. A hackerek számára szántóföldi nap ez a sebezhetőség felfedezésekor.

A vágólap szippantása vagy eltérítése - Ez a megsértés lehetővé teszi a bűnözők számára, hogy megragadják a PC memóriájába másolt hitelesítő adatokat, hogy beilleszthetők a jelszó megadására szolgáló felületbe..

Beépített böngésző hibák - Néhány jelszókezelő szintén böngésző, amelynek használata állítólag biztonságosabbá teszi az ügyfeleket az interneten. A nem tökéletes jelszókezelővel - amely mindannyian is vannak - megsokszorozódik a hibák lehetősége.

Data Residue Attack - Azok a felhasználók, akik alkalmazásokat törölnek eszközükről, nem feltétlenül távolítják el az alkalmazás minden nyomát. Egyes hackerek megtámadják a hátralevő „maradékot”. Csak a valóban szilárd biztonsági intézkedések tartják fenn a bűnözőket.

a bennfentesek kibertámadásaBennfentes hackelés - Ne gondold, hogy biztonságban vagy csak azért, mert vállalati számítógépet használ. Néhány hack egy belső munka, amelyet egy kolléga elkövet. Ugyanez igaz a jelszókezelők irodáiban. Honnan tudja, hogy bízhat szolgáltatója alkalmazottaiban?

Az információ szivárog a swap memórián keresztül - A legtöbb számítógép rendelkezik fő memóriával és másodlagos tárolóval. A számítógép által elvégzett minden folyamat annyi memóriát igényel, amennyit igényel. Az aktív folyamatot a fő memóriában tárolják. A nyugalmi folyamatok a másodlagos tárolásra kerülnek. Amikor egy adott folyamat rengeteg memóriát fogyaszt, több elem kerül a másodlagos tárolásra. A rendszer teljesítménye romlik, és a szivárgásos folyamat leállítása nem jelenti azt, hogy a másodlagos tárolásra átvitt folyamatokat azonnal visszaváltják. Bármi, amelyet kiszereltek a másodlagos tárolóhelyre, támadásoknak lehet kitéve.

Mit tart a jövő??

Mint megjegyeztük, a kilenc legismertebb jelszókezelő azóta javította ezeket a kérdéseket. Milyen más problémákat rejthet azonban el? A TeamSIK által felfedezett néhány sebezhetőségnek nyilvánvalónak kellett volna lennie, ám ezeknek a vállalatoknak egyik sem volt tisztában. Független harmadik félnek volt szüksége ezeknek a kérdéseknek a feltárására és a felvilágosításra. Bízhat-e tényleg egy jelszókezelőben a legérzékenyebb adataival?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me