パスワードプロテクターは安全ですか?すべての重大な違反のリスト

インターネット上で時間を過ごす場合(そして最近誰がそうではないのですか?)、おそらく多くのパスワードを持っているでしょう.


ソーシャルメディアアカウントにログオンしたり、銀行口座の残高を確認したり、Amazonに注文したりするたびにパスワードが必要です。フォーラムに所属している場合、ウェブサイトを運営している、またはブログを書いているだけでも、さらに多くのパスワードがあります.

パスワードの必要性これらの各Webサイトに同じパスワードを使用するのは魅力的です。結局のところ、通常の年の間に、おそらく何百ものウェブサイトにサインインする必要があります。これらのWebサイトごとに強力で一意のパスワードを持っている場合, どのようにしてそれらすべてを覚えているでしょうか?

残念ながら、あまりにも多くの人々が簡単な方法を採用しています。彼らはかなり明白なパスワードを使用し、「パスワード123,」を選択し、すべてのオンラインアクティビティに使用します。なぜこれほどひどい考えですか?なぜなら ハッカーが1つのアカウントでもパスワードを取得できた場合、すべてのアカウントのパスワードを持っています.

たぶん、悪意のあるパーティーがあなたのFacebookプロフィールにログインできれば、それは特に大したことではないでしょう。ただし、そのパスワードが「銀行」情報、クレジットカード番号、「SocialSecurity」番号などにアクセスできるようになっている場合は、必ず気になります.

強力なパスワードが重要な理由

近年、多くのWebサイトが、ますます長く複雑なパスワードの要件を制定し始めています。ユーザーがこれらのパスワードを思いついて覚えるのは苦痛ですが、そうする正当な理由があります.

強力なパスワードパスワードが複雑でランダムであるほど、ハッカーが識別しにくくなります. 今、あなたが頻繁にアクセスするWebサイトごとに1つずつ、これらのパスワードを多数持っていると想像してください。これらのハッカーは、12個以上の文字、数字、特殊文字の完全にランダムなチェーンを把握しなければならない場合、これまでのところ到達しません。問題は、オンラインアカウントごとに一意のパスワードを使用することによってのみ増大します.

このタイプのパスワードは、オンラインセキュリティにとって重要です. ハッカーがあなたの単純すぎるパスワードを見つけたら、彼らはそれを自分で使うか、闇市場で大金のためにそれを売ることができます。これらのバイヤーの一部は非常に洗練されています。数分以内に、あなたの身元が盗まれ、あなたの信用格付けは破壊され、 あなたは評判を取り戻そうとして何年も多くのお金を費やすでしょう.

MIT Technology Reviewによると、真に強力なパスワードを作成することは、1つの大文字、1つの数字、1つの特殊文字を使用するだけではありません。パスワードを長くし、それが使用する特殊文字が多くなるほど、ハッカーを妨害する可能性が高くなります.

ハッカーには、パスワード「推測」を絶え間なく継続的に実行するソフトウェアがあります。遅かれ早かれ、彼らはあなたのものにラッチする可能性があります。ただし、パスワードが長く複雑で完全にランダムな場合は、 ハッカーがはるかに簡単な獲物を探しに行く可能性が高い, 豊富に入手可能です.

パスワードマネージャーとは?

問題は、これらの信じられないほど長く複雑でユニークなパスワードのすべてを覚えることが骨の仕事であるということです。それらをすべてまっすぐに保つことができるのは誰ですかそこでパスワードマネージャーが入ってきます.

パスワードマネージャーの仕組みほとんどの「パスワードマネージャー」は、個々のユーザーに対して無数の強力でランダムなパスワードを生成するように設計されています。これらのパスワードは保存され、各Webサイトにアクセスすると取得されます.

これらのサービスでは、3桁のCVVコードを含むクレジットカード番号を、PINおよびさまざまなセキュリティ質問への回答とともに保存することもできます。これらのデータはすべて、ハッカーを阻止するために暗号化されています。これらのサービスの多くは、ハッシュを使用しています。 プレーンデータを所定の長さの数字または文字列に変換する責任があります.

パスワードの1つを使用する必要があるWebサイトにアクセスするときはいつでも、以前にパスワードマネージャーで保存したデータの「格納域」にログインします。マネージャーサービスの単一のパスワードを介してアクセスが許可されます.

これはかなり便利に聞こえますが、パスワードマネージャーにあまり信頼を置かないことが重要です。. これらのサービスは、すべての損害からあなたを守る魔法の弾丸ではありません. 「VPN」のようなものを使用するのはまだ賢明です NordVPN すべてのブラウジング、特定の非常に貴重なアカウントの2要素認証、および信頼できるデバイスのみの使用.

実際、パスワードマネージャーを使用するのを控える方が賢明かもしれません。.

パスワードマネージャーが危険な理由

パスワードマネージャーは、すべての機密データをローカルまたはクラウドに保存します。したがって、パスワードは自宅のストレージドライブまたはコンピューターの格納域にあるか、パスワードマネージャーのサーバーにリモートで保持されます.

業界の有名企業 お気に入り ダシュレーン1パスワード そして ラストパス サーバーを使用してデフォルトで個人情報を保存する. これにより、保存されているデータをすべてのデバイスと同期するのがより便利になります.

パスワードハッキング現在、これらの企業はセキュリティ対策について多くの約束をしていますが、それはすべての消費者を快適にするものではありません. その単一サーバー上の信じられないほど貴重なデータのすべてがハッキングによって侵害された場合を想像してください. すべての卵を1つのバスケットに入れたので、オンラインライフをコントロールできなくなった.

現実には、少数のハッカーが高度なセキュリティシステムを通過する誘惑に抵抗することはできません。 1回のハックで収集できる貴重なデータをすべて考える. 時々、統合は賢明な操作ではありません.

すべてのパスワードにクラウドストレージを使用したくない場合は、代わりにローカルストレージを選択できます. ダシュレーン お客様が「同期」機能を無効にすることを選択した場合、これが可能になります.

1Passwordは、顧客がボールトの保管場所を制御できるソフトウェアライセンスを購入できるようにします。 KeePassを使用すると、自分のデバイスで暗号化されたボールトにデータを保存できます.

ただし、これらのオプションに両足を踏み入れる前に、自分の電子セキュリティ対策の安全性を自問してください。ハッカーがそれらを通り抜けて、自分のデバイスからすべてのパスワードを取得する可能性はありますか?

知っておくべきセキュリティ違反

リストされているセキュリティ違反は理論的なものではありません. それらの多くが起こっています。パスワードマネージャーを使用することが理にかなっているかどうかを判断する前に、これらの違反を考慮してください.

OneLoginでの違反

パスワードマネージャーであるOneLoginは、2017年6月にハッキングを受けたことが明らかになりました。広く報告された事件 データが米国のデータセンターに保存されている会社のすべての顧客に影響を与えた.

プレスリリースで、OneLoginは次のように書いています。「私たちはその後、この不正アクセスをブロックし、法執行機関に問題を報告し、独立したセキュリティ会社と協力して不正アクセスの発生方法を特定しています。」

LastPassが違反を報告

別のやや悪名高いパスワードマネージャーハックがLastPassで発生しました。これは2017年4月に報告され、同社はそれを「ユニークで高度に洗練された」問題として説明しました。これは、LastPassが高度な暗号化技術とセキュリティ対策を使用しているため、状況は考えられないものの、再び発生する可能性がないことを意味しています。.

この問題は、GoogleのProject Zeroのセキュリティ研究者であるTavis Ormandyによって特定されました。オーマンディは、この問題を本質的に「建築的」であると説明し、対処するにはかなりの時間を要すると述べた.

LastPassはこの脆弱性を修正するために働きましたが、クライアントに 二要素認証 すべての疑わしいリンクを避けるため.

ただし、LastPassが被害を受けたのはこれだけではありません。 2015年6月、同社は、サーバーに侵入が発生したことを発表しました。 LastPassは、保存されたパスワードが盗まれることはなく、 ハッカーはメールアドレス、パスワードリマインダー、認証ハッシュを取得しませんでした.

KeePassがハッキングされる–並べ替え

2015年に「KeeFarce」と呼ばれるツールが利用可能になったことで、KeePassにとって物事は危険に思われました。このハッカーツールはKeePass, パスワードマネージャーを対象とするようにツールを変更できる可能性があります.

基本的に、このツールは、パスワードマネージャーが使用する堅牢なセキュリティ機能を一般的に持たないユーザーのコンピューターを対象とするように設計されています。このツールは、ユーザーがKeePassに保存したすべてのユーザー名とパスワードを解読できました。その後、データはすべて、ハッカーがアクセスできるファイルに書き込まれました.

このツールは、すべてのパスワードマネージャーが抱えている問題を強調するために設計されました. 感染したコンピューターは脆弱なコンピューターです. ユーザーのコンピューターがウイルスやその他の問題に感染しているときのパスワードマネージャーがどれほど優れていても、マネージャーによって提供される保護は危険にさらされます。パスワードマネージャーの恩恵を受けるには、独自のセキュリティを強化する必要があります。.

キーパーがバグをキャッチ

バグ検出2018年5月、Keeperは、セキュリティ研究者によって特定されたバグを修正したことを発表しました。研究者は言った このバグにより、許可されていないユーザーが別のユーザーの個人データにアクセスすることが許可された可能性があります.

このバグは、公安のための開示リストを通じて明らかにされました。本質的に、このリストは、会社のAPIサーバーを制御した個人は、理論的には、任意のユーザーに属するパスワードの保管庫の解読キーにアクセスできると述べています。問題の原因は、Keeper Commanderに含まれていました。これは、ユーザーがパスワードを変更できるPythonを搭載したスクリプトです。.

Keeperのバグはその後除去されました.

TeamSIKの調査結果

2017年2月、フラウンホーファー安全情報技術研究所で働く研究者は、最も頻繁に使用される9つのパスワードマネージャーをレビューした後、調査結果を公表しました。結果は心強いものではなかった.

チームsikロゴ「TeamSIK」として知られる研究者は、調査結果を「非常に心配している」と呼びました。さらに、これらの企業は「ユーザーの自信を乱し、高いリスクにさらす」と主張しました。

レビューに含まれていたパスワードマネージャーは、1Password、Avast Passwords、Hide Pictures Keep Safe Vault、Dashlane、F-Secure KEY、Keeper、LastPass、Informaticore Password ManagerおよびMy Passwordsでした。.

レビューの各マネージャーには、少なくとも1つのセキュリティ上の欠陥がありました。研究者は各企業に調査結果を通知し、mot問題はすぐに対処されました。それでも、各企業がこれらの問題を認識し、修正するべきであるとは思えません。?

余波で, ユーザーは、パッチが適用され、パスワードマネージャーソフトウェアの最新バージョンを使用していることを確認することが推奨されました。 アップグレードされたセキュリティ対策のメリットを最大限に活用できるように.

特定の詳細/レポートの一部を以下に示します。具体的な詳細については、各レポートを開いてください。.

MyPasswords 

  • パスワードアプリのプライベートデータを読み取る
  • パスワードアプリのマスターパスワード復号化
  • 無料のプレミアム機能でパスワードのロックを解除

Informaticore Password Manager 

  • Mirsoft Password Managerの安全でない資格情報ストレージ

LastPass Password Manager 

  • LastPass Password Managerのハードコードされたマスターキー
  • プライバシー、LastPass Browser Searchのデータ漏洩
  • LastPass Password Managerからプライベート日付(保存されたマスターパスワード)を読み取ります

キーパーパスワートマネージャー 

  • Keeper Password Managerセキュリティ質問バイパス
  • マスターパスワードなしのKeeper Password Managerデータインジェクション

F-Secure KEYパスワードマネージャー 

  • F-Secure KEY Password Manager安全でない資格情報ストレージ

Dashlane Password Manager 

  • Dashlane Password Managerのアプリフォルダーからプライベートデータを読み取る
  • Dashlane Password ManagerブラウザでのGoogle検索情報の漏洩
  • Dashlane Password Managerからマスターパスワードを抽出する残留攻撃
  • 内部Dashlane Password Managerブラウザーでのサブドメインパスワードの漏洩

写真を隠す 

  • SKeepsafeプレーンテキストパスワードストレージ

アバストパスワード 

  • アバストパスワードマネージャーからアプリのパスワードを盗む
  • アバストパスワードマネージャーからのなりすましWebサイトによるパスワードの盗難
  • アバストパスワードマネージャーの人気サイトの安全でないデフォルトURL
  • アバストパスワードマネージャーでのサブドメインパスワードの漏洩
  • アバストパスワードマネージャーでの壊れたセキュア通信の実装
  • アバストパスワードマネージャーの内部テストURL

1Password –パスワードマネージャー 

  • 1Password内部ブラウ​​ザでのサブドメインパスワードの漏洩
  • 1Password Internal BrowserのHTTPはデフォルトでhttp URLにダウングレードします
  • 1Passwordデータベースで暗号化されていないタイトルとURL
  • 1Password Managerのアプリフォルダからプライベートデータを読む
  • プライバシーの問題、ベンダー1Password Managerに漏洩した情報

セキュリティ違反の種類

現実には、主要なパスワードマネージャーのすべてが、重大なセキュリティ侵害を一度も何度か受けていることがあります。明らかになったときに問題を修正しても、新しいスキームが常に進行しているようです. これらは、パスワードマネージャーが脆弱なセキュリティ侵害の一部です。.

フィッシング –ほとんどの人はフィッシング詐欺について聞いたことがある。評判の良い団体または個人から送信されたとされるメールまたはテキストメッセージが含まれます。目的は、疑いを持たない被害者に、銀行口座番号、クレジットカード番号、社会保障番号などの機密データを明らかにさせ、受信者を詐欺することです。.

フィッシング攻撃の流れ

フィッシングは、パスワードマネージャーの顧客を詐欺するために使用されています。このスキームでは、セッションの有効期限が切れているため、顧客はWebサイトにログインするように求められます。そうした場合、紛らわしいほど類似したフィッシングWebサイトが実際に個人データを入力しています。ユーザーは自分の秘密のパスワードをハッカーに喜んで提供しました。.

クロスサイトリクエストフォージェリ –しばしば「CSRF」と呼ばれるこのスキームは、人をだまして意図しないアクションをオンラインで実行させます。 Webアプリケーションで認証されたユーザーに使用されます。悪意のある当事者は、被害者に資金を転送したり、他の潜在的に有害な行動をとるように誘導するために、リンクをメールで送信することがよくあります.

クロスサイトスクリプティング –「XSS」として知られているこの攻撃には、既知の信頼できるWebサイトへの悪意のあるコードの導入が含まれます。.

ブルートフォース攻撃 –このセキュリティ侵害には、パスワードマネージャーのサーバーのように、データの宝庫に到達するまでさまざまな組み合わせを試みる「自動化ソフトウェア」が含まれます。.

autofilパスワード自動入力機能の脆弱性 – Webブラウザーまたはパスワードマネージャーで自動入力機能を使用すると、すべてが非常に簡単になるため、魅力的です. 実際には、世界中のサイバー犯罪者にとって物事を簡単にするだけです。. 広告主によっても使用されています.

マスターパスワードをプレーンテキストで保存する –パスワードマネージャーが機密データの最高のゲートキーパーであるとは限らないことを証明する調査プロジェクトでは、一部のパスワードマネージャーが顧客のマスターパスワードを暗号化せずにプレーンテキストで保存しているという事実を明らかにしました。.

暗号化キーを含むアプリのコード –本質的に、アプリ独自のコードは、コード自体内で暗号化キーを公開します。この脆弱性が発見されたときは、「ハッカー」にとっての実地日です.

クリップボードスニッフィングまたはハイジャック –この侵害により、犯罪者はPCのメモリにコピーされた資格情報を取得し、パスワード入力用のインターフェイスに貼り付けることができます。.

組み込みのWebブラウザの欠陥 –一部のパスワードマネージャーはブラウザーでもあり、その使用により、顧客はオンラインでより安全に保つことができます。ただし、不完全なパスワードマネージャーでは、すべてがそうであるため、欠陥の可能性が増大します。.

データ残留攻撃 –デバイスからアプリを削除するユーザーは、必ずしもすべての痕跡を削除するとは限りません。一部のハッカーは、残っている「残留物」を攻撃します。本当に強固なセキュリティ対策のみが実際に犯罪者を排除します.

インサイダーによるサイバー攻撃インサイダーハッキング –会社のコンピューターを使用しているからといって、安全だと思い込まないでください。一部のハッキングは、同僚によって実行される内部の仕事です。パスワードマネージャーのオフィスでも同様です。プロバイダーの従業員を信頼できることをどのように知っていますか?

スワップメモリ​​を介した情報漏洩 –ほとんどのコンピューターには、メインメモリとセカンダリストレージがあります。コンピュータが実行する各プロセスは、要求されただけのメモリを取得します。アクティブなプロセスはメインメモリに保存されます。休止プロセスはセカンダリストレージにプッシュされます。特定のプロセスが大量のメモリを消費し始めると、より多くのアイテムがセカンダリストレージにプッシュされます。システムのパフォーマンスが低下し、リークしているプロセスを終了しても、セカンダリストレージにプッシュされたプロセスがすぐにスワップバックされるわけではありません。セカンダリストレージに外部委託されたものはすべて、攻撃に対して脆弱である可能性があります.

未来は何を保持しますか?

前述のように、9人の最も有名なパスワードマネージャーは、これらの問題をすべて修正しました。しかし、他にどんな問題が潜んでいるのでしょうか? TeamSIKによって発見された脆弱性の一部は非常に明白であるはずでしたが、これらの企業は誰もそれらを認識していませんでした。これらの問題を明らかにし、それらを明らかにするためには、独立した第三者が必要でした。最も機密性の高いデータでパスワードマネージャーを本当に信頼できますか?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me