Ar slaptažodžių apsaugos priemonės yra saugios? Kiekvieno pagrindinio pažeidimo sąrašas

Jei praleidžiate laiką internete (o kas šių dienų neturi?), Tada tikriausiai turite daug slaptažodžių.


Jums reikia slaptažodžio kiekvieną kartą, kai prisijungiate prie savo socialinės žiniasklaidos paskyrų, patikrinate savo banko sąskaitos likutį arba užsisakote ką nors iš „Amazon“. Jei priklausote kokiems nors forumams, naudojatės svetaine ar net tiesiog rašote tinklaraštį, tuomet turite dar daugiau slaptažodžių.

slaptažodžio būtinumasVilioja naudoti tą patį slaptažodį visose šiose svetainėse. Galų gale, jums tikriausiai reikia prisijungti prie kelių dešimčių, jei ne šimtų svetainių per įprastus metus. Jei turėtumėte tvirtą, unikalų kiekvienos iš šių svetainių slaptažodį, kaip tu galėjai juos visus atsiminti?

Deja, per daug žmonių pasirenka lengvą kelią. Jie naudojasi gana akivaizdžiu slaptažodžiu, sakydami „Slaptažodis123,Pavyzdžiui, ir naudokite ją visai savo internetinei veiklai. Kodėl tai tokia baisi idėja? Nes Jei įsilaužėlis sugeba gauti jūsų slaptažodį net vienoje paskyroje, tada jis turi jūsų slaptažodį visose jūsų paskyrose.

Galbūt jums nesvarbu, kad tai yra ypač didelis dalykas, jei kokia nors nesąžininga šalis gali prisijungti prie jūsų „Facebook“ profilio, nors jei tai įvyksta, jie gali sugadinti. Tačiau jei šis slaptažodis suteikia jiems prieigą prie jūsų bankininkystės informacijos, jūsų kreditinių kortelių numerių, socialinio saugumo numerio ar dar ko nors, tada jums tikrai rūpi.

Kodėl griežti slaptažodžiai yra kritiški

Pastaraisiais metais daugelis svetainių pradėjo reikalauti vis ilgesnių ir sudėtingesnių slaptažodžių. Sugalvoti ir atsiminti šiuos slaptažodžius vartotojui yra skaudu, tačiau tam yra rimtų priežasčių.

stiprus slaptažodisKuo sudėtingesni ir atsitiktiniai slaptažodžiai, tuo sunkiau juos atpažinti įsilaužėliams. Dabar įsivaizduokite, kad turėjote dešimtis šių slaptažodžių, po vieną kiekvienai iš jūsų dažnai naudojamų svetainių. Tie įsilaužėliai nepateks tiek toli, kai turės išsiaiškinti visiškai atsitiktinę 12 ar daugiau raidžių, skaičių ir specialiųjų simbolių grandinę. Problemos tik padaugėja, kai kiekvienoje internetinėje paskyroje naudojate unikalius slaptažodžius.

Šio tipo slaptažodis yra labai svarbus jūsų internetinei saugai. Kai vienas įsilaužėlis išsiaiškino per daug paprastą slaptažodį, jie gali juo naudotis patys arba parduoti didesnėms kainoms juodojoje rinkoje. Kai kurie iš šių pirkėjų yra nepaprastai rafinuoti. Per kelias minutes pavogta jūsų tapatybė, panaikintas jūsų kredito reitingas ir praleisite daug metų ir daug pinigų bandydami susigrąžinti savo reputaciją.

Anot MIT technologijos apžvalgos, sukurti tikrai stiprų slaptažodį reikia ne tik naudojant vieną didžiąją raidę, vieną skaičių ir vieną specialųjį ženklą. Kuo ilgiau rašysite slaptažodį ir kuo daugiau specialiųjų simbolių jis naudos, tuo didesnė tikimybė, kad suklupsite įsilaužėlius.

Piratai turi programinę įrangą, kuri nuolat ir nenuilstamai vykdo „spėliones“ slaptažodžiu. Anksčiau ar vėliau jie gali užsiblokuoti. Tačiau jei jūsų slaptažodis yra ilgas, sudėtingas ir visiškai atsitiktinis, tada Yra tikimybė, kad įsilaužėlis ieškos daug lengvesnio grobio, kurio gausu.

Kas yra slaptažodžių tvarkyklė?

Problema ta, kad prisiminti visus šiuos neįtikėtinai ilgus, sudėtingus ir unikalius slaptažodžius yra Herculean užduotis. Kas gali išlaikyti juos visus tiesiai? Čia įsitraukia slaptažodžių tvarkytojai.

kaip veikia slaptažodžio tvarkyklėDaugelis slaptažodžių tvarkytuvių yra sukurtos daugybei stiprių, atsitiktinių slaptažodžių individualiems vartotojams. Jie saugo šiuos slaptažodžius ir tada juos nuskaito, kai lankotės kiekvienoje svetainėje.

Šiose tarnybose taip pat galima saugoti jūsų kreditinių kortelių numerius, įskaitant trijų skaitmenų CVV kodą gale, kartu su PIN kodais ir atsakymais į įvairius saugos klausimus. Visi šie duomenys yra užšifruoti siekiant įsilaužti kompiuterius. Daugelis iš šių paslaugų naudoja maišos, kurios iš esmės yra atsakingas už paprastų duomenų konvertavimą į iš anksto nustatyto ilgio skaičių ar simbolių eilutes.

Kiekvieną kartą norėdami apsilankyti svetainėje, kurioje turėsite naudoti vieną iš savo slaptažodžių, prisijungiate prie duomenų saugyklos, kurią anksčiau saugojote savo slaptažodžių tvarkytuvėje. Prieiga suteikiama naudojantis vienu valdytojo paslaugos slaptažodžiu.

Tai atrodo gana patogu, tačiau labai svarbu, kad per daug nepasitikėtumėte slaptažodžių tvarkytojais. Šios paslaugos nėra stebuklinga kulka, apsauganti jus nuo bet kokios žalos. Vis dar protinga naudoti tokį VPN kaip „NordVPN“ visam naršymui - dviejų veiksnių autentifikavimas tam tikroms ypač vertingoms paskyroms ir naudoti tik patikimais įrenginiais.

Tiesą sakant, jums gali būti protinga atsisakyti slaptažodžio tvarkyklės.

Kodėl slaptažodžių tvarkytojai gali būti rizikingi

Slaptažodžio valdytojai saugo visus jūsų neskelbtinus duomenis vietoje arba debesyje. Atitinkamai jūsų slaptažodžiai yra saugyklos įrenginio arba kompiuterio saugykloje arba jie nuotoliniu būdu saugomi slaptažodžių tvarkyklės serveriuose..

Didelės prabos žaidėjai Kaip Dashlane1Pardas ir „LastPass“ naudokite jų serverius savo asmeninei informacijai saugoti pagal numatytuosius nustatymus. Tai leidžia jums patogiau sinchronizuoti visus saugomus duomenis, kuriuos galite turėti su visais savo įrenginiais.

slaptažodžių įsilaužimasDabar šios įmonės daug žada apie savo saugumo priemones, tačiau tai ne visiems vartotojams suteikia patogumo. Įsivaizduokite, jei visi šie neįtikėtinai vertingi duomenys tame pačiame serveryje buvo pažeisti įsilaužimo. Kadangi visus kiaušinius sudėjote į vieną krepšį, tiesiog praradote savo internetinio gyvenimo kontrolę.

Realybė yra tokia, kad nedaug įsilaužėlių gali atsispirti pagundai praeiti iš pažangių saugumo sistemų. Pagalvokite apie visus neįkainojamus duomenis, kuriuos jie galėtų surinkti tik vienu įsilaužimu. Kartais konsolidacija nėra protingas manevras.

Jei jums tikrai nepatinka mintis apie visų savo slaptažodžių saugojimą debesyje, galbūt galėtumėte pasirinkti vietinę saugyklą. Dashlane tai tampa įmanoma, kai klientai nusprendžia išjungti funkciją „Sinchronizuoti“.

„1Password“ leidžia klientams nusipirkti programinės įrangos licenciją, kuri suteikia jiems galimybę valdyti, kur yra jų skliautas. „KeePass“ suteikia galimybę saugoti jūsų duomenis saugykloje, užšifruotoje jūsų pačių įrenginyje.

Tačiau prieš įšokdami abiem kojomis į šias parinktis, paklauskite savęs, ar jūsų elektroninės saugos priemonės yra saugios? Ar įmanoma, kad įsilaužėlis gali patekti į juos, kad paimtų visus slaptažodžius iš savo įrenginio?

Saugumo pažeidimai, apie kuriuos reikia žinoti

Išvardyti saugumo pažeidimai nėra teoriniai. Daugelis jų įvyko. Prieš nuspręsdami, ar slaptažodžių tvarkyklė jums naudinga, atsižvelkite į šiuos pažeidimus.

„OneLogin“ pažeidimas

„Password manager“ „OneLogin“ 2017 m. Birželio mėn. Atskleidė, kad patyrė įsilaužimą. Plačiai praneštas incidentas paveikė visus įmonės klientus, kurių duomenys buvo saugomi JAV duomenų centre.

Pranešime spaudai „OneLogin“ rašė, kad „nuo to laiko mes užblokavome šią neteisėtą prieigą, pranešėme apie tai teisėsaugai ir bendradarbiaujame su nepriklausoma apsaugos įmone siekdami nustatyti, kaip nutiko neteisėta prieiga“.

„LastPass“ praneša apie pažeidimą

Kitas gana liūdnai pagarsėjęs slaptažodžių tvarkyklės įsilaužimas įvyko „LastPass“. Apie tai pranešta 2017 m. Balandžio mėn., Ir bendrovė apibūdino tai kaip „unikalią ir labai modernią“ problemą. Tai reiškia, kad „LastPass“ naudoja tokius patobulintus šifravimo metodus ir saugumo priemones, kad padėtis yra visa kita, bet neįsivaizduojama ir negalėjo pasikartoti..

Problemą nustatė Tavisas Ormandy, „Google“ projekto „Zero“ saugumo tyrėjas. Ormandy apibūdino problemą kaip „architektūrinio“ pobūdžio, sakydamas, kad jai spręsti reikės nemažai laiko.

Nors „LastPass“ stengėsi ištaisyti pažeidžiamumą, jie patarė klientams naudotis dviejų veiksnių autentifikavimas ir išvengti visų įtartinų nuorodų.

Tačiau tai nėra vienintelis įvykis, kurį patyrė „LastPass“. 2015 m. Birželio mėn. Įmonė paskelbė, kad jų serveriai patyrė įsilaužimą. „LastPass“ pranešė, kad jokie saugomi slaptažodžiai nebuvo pavogti ir kad įsilaužėliai nesiėmė el. pašto adresų, slaptažodžio priminimų ar autentifikavimo maišos.

„KeePass“ įsilaužė - tarsi

Dėl galimybės įsigyti įrankį, pravarde „KeeFarce“ 2015 m., „KeePass“ viskas atrodė niūriai. Nors šis įsilaužėlių įrankis buvo nukreiptas į „KeePass“, įmanoma, kad įrankį būtų galima modifikuoti taip, kad jis būtų nukreiptas į bet kurį slaptažodžių tvarkytuvą.

Iš esmės šis įrankis buvo skirtas nukreipti į vartotojų kompiuterius, kurie paprastai neturi patikimų saugos funkcijų, kurias naudoja slaptažodžių valdytojai. Įrankis galėjo iššifruoti visus vartotojo vardus ir slaptažodžius, kuriuos vartotojas išsaugojo „KeePass“. Tada visi duomenys buvo surašyti į failą, kurį įsilaužėlis galėjo pasiekti.

Šis įrankis buvo skirtas pabrėžti problemą, kurią turi visi slaptažodžių tvarkytojai. Užkrėstas kompiuteris yra pažeidžiamas kompiuteris. Nepaisant to, koks slaptažodžių tvarkytuvas yra geras, kai vartotojo kompiuteris yra užkrėstas virusu ar kita problema, valdytojo siūloma apsauga gali būti pažeista. Jei norite viltis, kad naudositės slaptažodžių tvarkytuve, turite pasirūpinti savo saugumu.

Laikytojas sugauna klaidą

klaidų aptikimas2018 m. Gegužės mėn. „Keeper“ paskelbė, kad jie ištaisė klaidą, kurią nustatė saugumo tyrinėtojas. Tyrėjas teigė, kad dėl klaidos pašaliniams asmenims galėjo būti suteikta prieiga prie privačių duomenų, priklausančių kitam vartotojui.

Ši klaida buvo išaiškinta per viešojo saugumo sąrašą. Iš esmės sąraše teigiama, kad kiekvienas asmuo, valdęs įmonės API serverį, teoriškai galėjo pasiekti iššifravimo raktą bet kurio vartotojo slaptažodžių saugyklai. Problemos šaltinis buvo „Keeper Commander“ - scenarijus, kurį maitina „Python“ ir kuris leidžia vartotojams pasukti slaptažodžius.

Laikytojo klaida nuo to laiko buvo pašalinta.

„TeamSIK“ radiniai

2017 m. Vasario mėn. „Fraunhofer“ saugių informacinių technologijų institute dirbantys tyrėjai paskelbė savo išvadas po devynių dažniausiai naudojamų slaptažodžių tvarkytojų apžvalgos. Rezultatai buvo ne kas džiuginantys.

komandos sik logotipasTyrėjai, žinomi kaip „TeamSIK“, savo išvadas pavadino „ypač nerimą keliančiais“. Jie net tvirtino, kad šios bendrovės „piktnaudžiauja vartotojų pasitikėjimu ir kelia jiems didelę riziką“.

Į apžvalgą įtraukti slaptažodžių tvarkytojai buvo „1Password“, „Avast“ slaptažodžiai, „Slėpti paveikslėlius“, „Dashlane“, „F-Secure KEY“, „Keeper“, „LastPass“, „Informatikos“ slaptažodžių tvarkyklė ir „Mano slaptažodžiai“..

Kiekvienas apžvalgos vadovas turėjo bent vieną saugumo trūkumą. Tyrėjai informavo kiekvieną iš kompanijų apie savo išvadas, ir greitos problemos buvo išspręstos. Vis dėlto neatrodo, kad kiekviena įmonė turėjo suvokti ir ištaisyti šias problemas nereikalaudama išorinio šaltinio, kad jie galėtų priversti juos imtis veiksmų?

Paskui, vartotojai buvo raginami įsitikinti, kad jie buvo pataisyti ir naudoti naujausias slaptažodžio tvarkyklės programinės įrangos versijas kad jie galėtų naudotis visomis atnaujintų saugumo priemonių teikiamomis galimybėmis.

Žemiau yra tam tikra informacija / ataskaitos. Norėdami gauti konkrečią informaciją, prašome atidaryti kiekvieną ataskaitą.

„MyPasswords“ 

  • Perskaitykite programos „Mano slaptažodžiai“ asmeninius duomenis
  • Mano slaptažodžių pagrindinio slaptažodžio iššifravimas
  • Nemokamas „Premium“ funkcijų atrakinimas mano slaptažodžiams

Informacinio slaptažodžio tvarkyklė 

  • Nesaugus kredencialų saugojimas „Mirsoft Password Manager“

„LastPass“ slaptažodžių tvarkyklė 

  • Kietas kodas „LastPass“ slaptažodžių tvarkytuvėje
  • Privatumas, duomenų nutekėjimas „LastPass“ naršyklės paieškoje
  • Perskaitykite asmeninę datą (saugomą pagrindinį slaptažodį) iš „LastPass“ slaptažodžio tvarkyklės

Keeper Passwort-Manager 

  • Laikytojo slaptažodžių tvarkytojo saugos klausimas apeinamas
  • Keeper Password Manager duomenų įvedimas be pagrindinio slaptažodžio

„F-Secure“ KEY slaptažodžio tvarkyklė 

  • „F-Secure“ KEY Password Manager nesaugus kredencialų saugojimas

„Dashlane“ slaptažodžio tvarkyklė 

  • Perskaitykite asmeninius duomenis iš programos aplanko „Dashlane“ slaptažodžio tvarkytuvėje
  • „Google“ paieškos informacijos nutekėjimas „Dashlane“ slaptažodžio tvarkyklės naršyklėje
  • Likučių ataka Pagrindinio slaptažodžio išgavimas iš „Dashlane Password Manager“
  • Subdomeno slaptažodžio nutekėjimas vidinėje „Dashlane“ slaptažodžio tvarkyklės naršyklėje

Slėpti paveikslėlius. Saugokite skliautą 

  • „SKeepsafe“ paprasto teksto slaptažodžių saugykla

„Avast“ slaptažodžiai 

  • Programos slaptažodžio vagystė iš „Avast“ slaptažodžio tvarkyklės
  • Slaptažodžių vagystė, kurią suklastojo svetainė iš „Avast“ slaptažodžių tvarkytojo
  • Nesaugūs numatytųjų populiarių svetainių URL adresai „Avast Password Manager“
  • Potencialinio slaptažodžio nutekėjimas „Avast“ slaptažodžių tvarkytuvėje
  • Sugadintas saugaus ryšio diegimas „Avast Password Manager“
  • Vidiniai tikrinimo URL adresai „Avast“ slaptažodžių tvarkytuvėje

„1Password“ - slaptažodžių tvarkyklė 

  • Potencialinio domeno slaptažodžio nutekėjimas vidiniame „1“ slaptažodžio naršyklėje
  • Pagal numatytuosius nustatymus „1Password“ vidinėje naršyklėje atsinaujina iki http URL
  • Pavadinimai ir URL neužšifruoti „1Password“ duomenų bazėje
  • Perskaitykite asmeninius duomenis iš programos aplanko „1Password Manager“
  • Privatumo klausimas, informacija nutekėjo pardavėjui „1Password Manager“

Saugumo pažeidimų rūšys

Realybė yra tokia, kad visi pagrindiniai slaptažodžių valdytojai vienu ar kitu metu yra padarę rimtų saugumo pažeidimų. Net jei jie ištaisys problemas, kai jos nėra atskleistos, atrodo, kad naujos schemos visada veikia. Tai yra keletas saugumo pažeidimų, nuo kurių slaptažodžių tvarkytojai yra pažeidžiami.

Sukčiavimas - Dauguma žmonių yra girdėję apie sukčiavimo schemas. Jie apima el. Laišką ar tekstinį pranešimą, kurį tariamai atsiuntė gerbiamas subjektas ar asmuo. Tikslas - priversti neįtariančią auką atskleisti neskelbtinus duomenis, tokius kaip banko sąskaitų numeriai, kreditinių kortelių ir socialinio draudimo numeriai, siekiant apgauti gavėją..

sukčiavimo apsimetant srautas

Sukčiavimas buvo naudojamas apgaunant slaptažodžių tvarkyklės klientus. Pagal šią schemą klientų prašoma prisijungti prie svetainės, nes pasibaigė sesija. Kai jie tai daro, klaidinančiai panaši sukčiavimo svetainė yra ten, kur jie įveda savo asmeninius duomenis. Vartotojas tiesiog noriai pasiūlė savo slaptą slaptažodį įsilaužėliui.

Užklausa dėl klastojimo kitose vietose - Ši schema, dažnai vadinama CSRF, priversti žmones imtis netyčinių veiksmų internete. Jis naudojamas vartotojams, kurie yra autentifikuoti žiniatinklio programoje. Nelaiminga šalis dažnai siunčia nuorodą el. Paštu, norėdama paskatinti auką pervesti lėšas ar imtis kitų galimai kenksmingų veiksmų.

Skirtingų svetainių scenarijų rašymas - Žinomas kaip XSS, ši ataka apima kenksmingo kodo įvedimą į kitaip žinomas ir patikimas svetaines.

Žiaurios jėgos išpuoliai - Šis saugumo pažeidimas susijęs su automatizuota programine įranga, kuri išbando įvairius derinius, kol pasiekia duomenų aukso kasyklą, pavyzdžiui, jūsų slaptažodžio tvarkyklės serverį.

automatinio filmo slaptažodisAutomatinio užpildymo funkcijos pažeidžiamumas - Naudoti automatinio užpildymo funkciją žiniatinklio naršyklėje ar slaptažodžių tvarkytuvėje yra viliojanti, nes atrodo, kad viskas taip palengvėja. Tiesą sakant, jūs tik palengvinate savo veiksmus elektroniniais nusikaltėliais visame pasaulyje. Tai netgi naudoja reklamuotojai.

Pagrindinio slaptažodžio saugojimas paprastame tekste - Įrodžius, kad slaptažodžių tvarkytojai nebūtinai yra geriausi jūsų slaptų duomenų saugotojai, vienas tyrimų projektas atskleidė faktą, kad kai kurie slaptažodžių tvarkytojai saugojo pagrindinius kliento slaptažodžius paprastu tekstu be jokio šifravimo..

Programos kodas, kuriame yra šifravimo raktai - Iš esmės pačios programos kodas atskleidžia šifravimo raktus pačiame kode. Tai yra diena, skirta įsilaužėliams, kai aptinkamas šis pažeidžiamumas.

Mainų siužetai arba jų užgrobimas - Dėl šio pažeidimo nusikaltėliai gali paimti kredencialus, nukopijuotus į kompiuterio atmintį, kad juos būtų galima įklijuoti į slaptažodžio įvedimo sąsają..

Integruotos interneto naršyklės trūkumai - Kai kurie slaptažodžių tvarkytojai taip pat yra naršyklės, kurių naudojimas turėtų užtikrinti klientų saugumą internete. Tačiau naudojant netobulą slaptažodžių tvarkyklę - tokia, kokia ji yra, - padidėja trūkumų galimybė.

Duomenų likučių puolimas - Naudotojai, kurie pašalina programas iš savo įrenginių, nebūtinai pašalina visus jų pėdsakus. Kai kurie įsilaužėliai užpuola „liekanas“, kurios liko. Tik tikrai solidžios saugumo priemonės iš tikrųjų sulaiko nusikaltėlius.

viešai neatskleistų asmenų kibernetinės atakosViešai neatskleista informacija - Nemanykite, kad esate saugūs vien todėl, kad naudojate įmonės kompiuterį. Kai kurie įsilaužimai yra darbas, kurį daro kolega. Lygiai taip yra ir slaptažodžių tvarkytojų biuruose. Kaip jūs žinote, kad galite pasitikėti savo teikėjo darbuotojais?

Informacija nutekėja per keičiamąją atmintį - Daugelis kompiuterių turi pagrindinę atmintį ir antrinę atmintį. Kiekvienas kompiuterio atliekamas procesas užima tiek atminties, kiek jo reikia. Aktyvus procesas saugomas pagrindinėje atmintyje. Neaktyvus procesas yra perkeliamas į antrinį saugojimą. Kai tam tikras procesas pradeda sunaudoti daug atminties, daugiau elementų perkeliami į antrinę saugyklą. Sistemos veikimas blogėja, o nutekėjimo proceso nutraukimas gali nereikšti, kad procesai, kurie buvo perkelti į antrinę saugyklą, bus nedelsiant pakeisti. Viskas, kas buvo perduota antrinei saugyklai, gali būti pažeidžiama.

Ką laiko ateitis?

Kaip pažymėta, devynios geriausiai žinomos slaptažodžių tvarkyklės nuo to laiko ištaisė visas šias problemas. Tačiau kokias kitas problemas gali užklupti? Kai kurie „TeamSIK“ atskleisti pažeidžiamumai turėjo būti gana akivaizdūs, tačiau nė viena iš šių kompanijų apie juos nežinojo. Šiems klausimams atskleisti ir išaiškinti prireikė nepriklausomos trečiosios šalies. Ar tikrai galite pasitikėti slaptažodžių tvarkytuve, turėdami savo slapčiausius duomenis?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me