Безопасни ли са защитниците на пароли? Списък на всяко голямо нарушение

Ако прекарате някакво време в Интернет (а кой няма в наши дни?), Вероятно имате много пароли.


Нуждаете се от парола всеки път, когато влизате в своите акаунти в социалните медии, проверете баланса на банковата си сметка или поръчайте нещо от Amazon. Ако принадлежите към някакви форуми, пускате уебсайт или дори просто пишете блог, тогава имате още повече пароли.

необходимост от паролаПримамливо е да използвате една и съща парола за всеки от тези уебсайтове. В края на краищата вероятно трябва да влезете в десетки, ако не и стотици, уебсайтове през нормалната година. Ако имате силна, уникална парола за всеки от тези уебсайтове, как е възможно да си спомняш всички тях?

За съжаление, прекалено много хора поемат по лесния път. Те използват парола, която е доста очевидна, кажете „Password123,Например, и след това го използват за всички свои онлайн дейности. Защо това е толкова ужасна идея? защото ако хакер успее да получи паролата ви дори в един акаунт, тогава те имат вашата парола за всички ваши акаунти.

Може би не знаете, че е особено голяма работа, ако някоя нечестива партия е в състояние да влезе във вашия Facebook профил, въпреки че може да доведе до поразия, ако това се случи. Ако обаче тази парола им даде достъп до банковата ви информация, номерата на кредитните ви карти, номера на SocialSecurity или нещо друго, тогава със сигурност ще ви пука.

Защо силните пароли са критични

През последните години много уебсайтове започнаха да налагат изисквания за все по-дълги и сложни пароли. За потребителя е болка да измисли и запомни тези пароли, но има основателна причина за това.

силна паролаКолкото по-сложни и произволни са вашите пароли, толкова по-трудно са те да разберат хакерите. А сега си представете, че сте имали десетки тези пароли, по една за всеки от уебсайтовете, които често посещавате. Тези хакери няма да стигнат, когато трябва да измислят напълно произволна верига от 12 или повече букви, цифри и специални знаци. Проблемите се умножават само с използването на уникални пароли за всеки един от вашите онлайн акаунти.

Този тип парола е от решаващо значение за вашата онлайн сигурност. След като един хакер измисли твърде простата ви парола, може сам да я използва или да я продаде за големи долари на черния пазар. Някои от тези купувачи са невероятно сложни. Само за минути вашата идентичност се открадне, кредитният ви рейтинг се развали и ще прекарате години и много пари в опит да си върнете репутацията.

Според MIT Technology Review създаването на наистина силна парола е повече от използване на главна буква, едно число и един специален символ. Колкото по-дълго правите паролата си и колкото по-специални символи използват, толкова по-голяма е вероятността да спънете хакери.

Хакерите имат софтуер, който непрекъснато и неуморно минава през „догадки на парола“. Рано или късно те могат да се придържат към вашата. Ако обаче вашата парола е дълга, сложна и напълно случайна, тогава шансовете са добри, че хакерът ще продължи да търси много по-лесна плячка, който се предлага в изобилие.

Какво е мениджър на пароли?

Проблемът е, че запомнянето на всички тези невероятно дълги, сложни и уникални пароли е херкулесова задача. Кой може да ги поддържа всички прави? Точно там влизат мениджърите на пароли.

как работи мениджърът на паролиПовечето мениджъри на пароли са създадени да генерират безброй силни, случайни пароли за отделни потребители. Те съхраняват тези пароли и след това ги извличат, когато посетите всеки уебсайт.

Възможно е също така тези услуги да съхраняват номера на кредитната ви карта, включително трицифрения CVV код на гърба, заедно с ПИН кодове и вашите отговори на различни въпроси за сигурност. Всички тези данни са криптирани в оферта за фолиране на хакери. Много от тези услуги използват хеширане, което по същество е отговорен за преобразуването на обикновени данни в низове от числа или знаци с предварително определена дължина.

Всеки път, когато искате да посетите уебсайт, където ще трябва да използвате една от вашите пароли, влизате в „трезор“ от данни, които преди това сте съхранявали с вашия мениджър на пароли. Достъпът се предоставя чрез една-единствена парола за мениджърската услуга.

Това звучи доста удобно, но е изключително важно да не влагате твърде много доверие в мениджърите на пароли. Тези услуги не са вълшебен куршум, който ще ви предпази от всякаква вреда. Все още е разумно да използвате VPN като NordVPN за всички сърфиране, двуфакторна автентификация за определени изключително ценни акаунти и да използвате само устройства, на които имате доверие.

Всъщност може би ще бъдете разумни да се откажете от използването на мениджър на пароли.

Защо мениджърите на пароли могат да бъдат рискови

Мениджърите на пароли съхраняват всички ваши чувствителни данни локално или в облак. Съответно, вашите пароли са в трезор на устройство за съхранение или компютър в дома ви или се съхраняват дистанционно на сървърите на мениджъра на пароли.

Играчи с големи имена в бранша като Dashlane1Password и LastPass използват сървърите си, за да съхраняват вашата лична информация по подразбиране. Това ви прави по-удобно да синхронизирате всички съхранени данни, които може да имате с всичките си устройства.

хакерство с паролаСега тези компании дават много обещания относно мерките си за сигурност, но това не прави всички потребители удобни. Само си представете дали всички тези невероятно ценни данни на този единствен сървър са били компрометирани от хак. Тъй като сте сложили всичките си яйца в една кошница, току-що сте загубили контрол над своя онлайн живот.

Реалността е, че малко хакери могат да устоят на изкушението да преминат покрай модерните системи за сигурност. Помислете за всички безценни данни, които биха могли да съберат само с един хак. Понякога консолидацията не е мъдра маневра.

Ако наистина не ви харесва мисълта за облачно съхранение за всички ваши пароли, тогава може би можете да изберете вместо това местно съхранение. Dashlane прави това възможно, когато клиентите решат да деактивират функцията „Sync“.

1Password позволява на клиентите да купуват лиценз за софтуер, който им дава контрол къде се съхранява техният трезор. KeePass дава възможност да съхранявате данните си в свод, който е криптиран на вашето собствено устройство.

Преди обаче да влезете с двата крака на тези опции, запитайте се колко са сигурни вашите собствени електронни мерки за сигурност? Възможно ли е хакер да премине през тях, за да вземе всички ваши пароли от вашето собствено устройство?

Нарушения на сигурността, за които трябва да знаете

Изброените нарушения на сигурността не са теоретични. Много от тях са се случили. Преди да решите дали използването на парола мениджър има смисъл за вас, вземете предвид тези нарушения.

Нарушението при OneLogin

Мениджърът на пароли OneLogin разкри през юни 2017 г., че е претърпял хак. Широко отчетеният инцидент засегна всички клиенти на компанията, чиито данни се съхраняваха в центъра за данни на САЩ.

В съобщение за пресата OneLogin написа, че „Оттогава блокираме този неоторизиран достъп, докладваме въпроса на органите на реда и работим с независима охранителна фирма, за да определи как се е случил неоторизиран достъп.“

LastPass съобщава за нарушение

Друг доста скандален хак мениджър на пароли се случи в LastPass. Това беше докладвано през април 2017 г., а компанията го определи като „уникален и изключително сложен“ проблем. Импликацията е, че LastPass използва такива усъвършенствани техники за криптиране и мерки за сигурност, че ситуацията е всичко друго, но немислима и евентуално не би могла да се появи отново.

Проблемът бе идентифициран от Тавис Орманди, изследовател по сигурността на Google Zero Project Zero. Орманди описа въпроса като „архитектурен“ по природа, като продължи да казва, че ще се изисква значително време за справяне.

Докато LastPass работи за коригиране на уязвимостта, те съветват клиентите да използват двуфакторна автентификация и да се избегнат всички подозрителни връзки.

Това обаче не е единственото събитие, което LastPass претърпя. През юни 2015 г. компанията обяви, че сървърите им са претърпели проникване. LastPass съобщи, че не са откраднати запазени пароли и че хакерите не взеха имейл адреси, напомняния за парола или хеши за удостоверяване.

KeePass получава хакер - Sort Of

Наличието на инструмент, наречен „KeeFarce“ през 2015 г., направи нещата да изглеждат скучни за KeePass. Въпреки че този хакерски инструмент е бил насочен към KeePass, възможно е инструментът да бъде променен, за да се насочи към всеки мениджър на пароли.

По същество този инструмент е създаден да насочва към компютрите на потребители, които обикновено нямат надеждни функции за защита, които мениджърите на пароли използват. Инструментът е в състояние да дешифрира всички потребителски имена и пароли, които потребителят е съхранявал с KeePass. След това всички данни бяха записани във файл, до който хакерът имаше достъп.

Този инструмент е предназначен да подчертае проблем, който имат всички мениджъри на пароли. Заразеният компютър е уязвим компютър. Без значение колко добър е мениджърът на пароли, когато компютърът на потребителя е заразен с вирус или друг проблем, защитата, предлагана от мениджъра, е длъжна да бъде компрометирана. Трябва да увеличите сигурността си, ако искате да се възползвате от мениджъра на паролите.

Keeper хваща грешка

откриване на грешкиПрез май 2018 г. Keeper обяви, че са отстранили грешка, която е била идентифицирана от изследовател по сигурността. Изследователят каза това грешката може да е позволила на неоторизирани хора да имат достъп до личните данни, принадлежащи на друг потребител.

Грешката бе изведена на бял свят чрез списък за оповестяване за обществена сигурност. По същество в списъка се казва, че всеки индивид, който контролира API сървъра на компанията, може теоретично да получи достъп до ключа за декриптиране до трезора на пароли, принадлежащи на всеки потребител. Източникът на проблема се съдържаше с Keeper Commander, скрипт, задвижван от Python, който позволява на потребителите да въртят паролите.

Грешката на Keeper оттогава е елиминирана.

Констатациите на TeamSIK

През февруари 2017 г. изследователи, работещи в Института за сигурна информационна технология Fraunhofer, публикуваха своите открития след преглед на деветте най-често използвани мениджъри на пароли. Резултатите бяха всичко друго, но не и успокояващи.

лого на екип sikИзследователите, известни като TeamSIK, нарекоха своите открития „изключително тревожни.“ Те дори твърдят, че тези компании „злоупотребяват с доверието на потребителите и ги излагат на висок риск“.

Мениджърите на пароли, които бяха включени в рецензията, бяха 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager и My Passwords.

Всеки мениджър в прегледа имаше поне един недостатък в сигурността. Изследователите информираха всяка от компаниите за техните открития и проблемите с мотовете бързо бяха решени. Все пак не изглежда ли, че всяка компания би трябвало да е осъзнала и коригирала тези проблеми, без да се нуждае от външен източник, който да ги принуди да предприеме действия?

В резултат, потребителите се насърчаваха да гарантират, че са кръпка и използват най-новите версии на софтуера за управление на пароли така че те да се възползват изцяло от модернизираните мерки за сигурност.

По-долу са някои от конкретните подробности / доклади. За конкретни подробности, моля, отворете всеки доклад.

MyPasswords 

  • Прочетете лични данни на приложението My Passwords
  • Дешифриране на главна парола на приложението My Passwords
  • Безплатни Premium функции Отключи за моите пароли

Informaticore Мениджър на пароли 

  • Несигурно съхранение на доверие в Mirsoft Password Manager

LastPass Password Manager 

  • Твърд кодиран главен ключ в LastPass Password Manager
  • Поверителност, изтичане на данни в Търсене на браузър LastPass
  • Прочетете частна дата (съхранена Masterpassword) от LastPass Password Manager

Keeper Passwort-Manager 

  • Пазител за защита на мениджъра на парола
  • Почистване на парола Мениджър на данни без главна парола

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Несигурно съхранение на поверителност

Dashlane Мениджър на пароли 

  • Прочетете лични данни от папката на приложението в Dashlane Password Manager
  • Изтичане на информация за Google в браузъра Dashlane Password Manager
  • Residue Attack Извличане на Masterpassword от Dashlane Manager Manager
  • Изтичане на парола в поддомейн във вътрешния браузър Dashlane Password Manager

Скриване на картини Запазете безопасен сейф 

  • SKeepsafe Plaintext Съхранение на парола

Avast Пароли 

  • Кражба на парола на приложението от Avast Password Manager
  • Кражба на парола от Spoofed Website от Avast Password Manager
  • Несигурни URL адреси по подразбиране за популярни сайтове в Avast Password Manager
  • Изтичане на поддомейн парола в Avast Password Manager
  • Счупена сигурност на комуникацията в Avast Password Manager
  • Вътрешни тестови URL адреси в Avast Password Manager

1Password - Мениджър на пароли 

  • Изтичане на парола в поддомейн в 1Password Internal Browser
  • Https понижаване до http URL по подразбиране в 1Password Internal Browser
  • Заглавия и URL адреси не са шифровани в базата данни на 1Password
  • Прочетете лични данни от папката на приложението в 1Password Manager
  • Въпрос на поверителност, информация изтекла до дистрибутор на 1Password на доставчик

Видове нарушения на сигурността

Реалността е, че всички основни мениджъри на пароли са имали сериозни нарушения на сигурността в един или друг момент. Дори и да коригират проблемите, тъй като са разкрити, изглежда, че новите схеми винаги са на крака. Това са някои от нарушенията на сигурността, към които мениджърите на пароли са уязвими.

Phishing - Повечето хора са чували за фишинг схеми. Те включват имейл или текстово съобщение, което се твърди, че е изпратено от уважавано лице или физическо лице. Целта е да се накара нищо неподозиращо жертва да разкрие чувствителни данни като номера на банкови сметки, номера на кредитни карти и номера на социалното осигуряване с цел измама на получателя.

фишинг атака поток

Фишинг е използван за измама на клиенти, управляващи пароли. В тази схема клиентите са помолени да влязат в уебсайт поради изтекла сесия. Когато го правят, объркващо подобен фишинг уебсайт всъщност е мястото, където въвеждат своите лични данни. Потребителят просто е предложил тайната си парола на хакер.

Изпращане на искания за различни сайтове - Често наричана CSRF, тази схема подмамва хората да предприемат нежелани действия онлайн. Използва се за потребители, които са удостоверени в уеб приложение. Коварната страна често изпраща връзка по имейл, за да накара жертвата да превежда средства или да предприема други потенциално вредни действия.

Изписване на кръстосани сайтове - позната като XSS, тази атака включва въвеждане на злонамерен код в иначе известни и надеждни уебсайтове.

Брутални атаки - Това нарушение на сигурността включва автоматизиран софтуер, който изпробва различни комбинации, докато удари златна мина, като сървъра на вашия мениджър на пароли.

парола за автофилУязвимост на функцията за автоматично попълване - Използването на функцията за автоматично попълване на вашия уеб браузър или мениджър на пароли е изкушаващо, защото изглежда всичко прави толкова по-лесно. В действителност само улеснявате нещата за своите киберпрестъпници по целия свят. Той дори се използва от рекламодатели.

Съхраняване на главна парола в обикновен текст - Доказвайки, че мениджърите на пароли не са непременно най-добрите вратари на вашите чувствителни данни, един изследователски проект разкри факта, че някои мениджъри на пароли съхраняват главните пароли на клиента в обикновен текст, без каквото и да е криптиране..

Код на приложението, съдържащ клавиши за шифроване - По същество, самият код на приложението излага ключове за криптиране в самия код. Денят на полето е за хакерите, когато бъде открита тази уязвимост.

Буфер в клипборд Смъркане или отвличане - Това нарушение позволява на престъпниците да вземат идентификационни данни, които са копирани в паметта на компютъра, така че да могат да бъдат поставени в интерфейс за въвеждане на парола.

Вградени недостатъци на уеб браузъра - Някои мениджъри на пароли също са браузъри, използването на които трябва да поддържа клиентите по-сигурни в интернет. Въпреки това, с несъвършен мениджър на пароли - каквито са всички, възможността за недостатъци се умножава.

Атака с остатъчни данни - Потребителите, които изтриват приложения от устройствата си, не премахват непременно всички следи от него. Някои хакери атакуват „остатъка“, който остава зад. Само истински мерки за сигурност всъщност предпазват престъпниците.

кибератаки от вътрешни лицаВътрешно хакерство - Не приемайте, че сте в безопасност само защото използвате фирмен компютър. Някои хакове са вътрешна работа, която се извършва от колега. Това е точно така в офисите на мениджърите на пароли. Как знаете, че можете да се доверите на служителите на вашия доставчик?

Информацията изтича през суап памет - Повечето компютри имат основна памет и вторична памет. Всеки процес, който компютърът извършва, получава толкова памет, колкото изисква. Активният процес се съхранява в основната памет. Неустойчивите процеси се изтласкват към вторичното съхранение. Когато определен процес започне да изяжда тонове памет, повече предмети се избутват във вторичното хранилище. Производителността на системата се влошава и прекратяването на процеса на изтичане може да не означава, че процесите, които са били преместени във вторичното хранилище, се сменят обратно веднага. Всичко, което е възложено на вторичното хранилище, може да бъде уязвимо за атака.

Какво притежава бъдещето?

Както бе отбелязано, деветте най-известни мениджъри на пароли отстраниха всички тези проблеми. Какви други проблеми обаче могат да ви дебнат? Някои от уязвимостите, които бяха разкрити от TeamSIK, трябваше да са съвсем очевидни, но никоя от тези компании не ги знаеше. Необходима бе независима трета страна да разкрие тези проблеми и да ги разкрие. Можете ли наистина да се доверите на мениджъра на пароли с най-чувствителните си данни?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me