Είναι προστατευτικά κωδικών πρόσβασης ασφαλή; Κατάλογος κάθε μεγάλης παραβίασης

Εάν ξοδεύετε οποιαδήποτε στιγμή στο Διαδίκτυο (και ποιος δεν τις κάνει αυτές τις μέρες;), τότε πιθανότατα έχετε πολλούς κωδικούς πρόσβασης.


Χρειάζεστε έναν κωδικό πρόσβασης κάθε φορά που συνδέεστε στους λογαριασμούς κοινωνικών μέσων σας, ελέγχετε το υπόλοιπο του τραπεζικού σας λογαριασμού ή παραγγείλετε κάτι από την Amazon. Εάν ανήκετε σε οποιοδήποτε φόρουμ, τρέξτε έναν ιστότοπο ή απλά γράψτε ένα blog, τότε έχετε ακόμα περισσότερους κωδικούς πρόσβασης.

ανάγκη κωδικού πρόσβασηςΕίναι δελεαστικό να χρησιμοποιείτε τον ίδιο κωδικό πρόσβασης για κάθε έναν από αυτούς τους ιστότοπους. Μετά από όλα, ίσως χρειαστεί να συνδεθείτε σε δεκάδες, αν όχι εκατοντάδες, ιστοσελίδες κατά τη διάρκεια ενός κανονικού έτους. Αν είχατε έναν ισχυρό, μοναδικό κωδικό πρόσβασης για κάθε έναν από αυτούς τους ιστότοπους, πώς θα μπορούσατε ενδεχομένως να τα θυμηθείτε όλα?

Δυστυχώς, πάρα πολλοί άνθρωποι έχουν την εύκολη διέξοδο. Χρησιμοποιούν έναν κωδικό που είναι αρκετά προφανής, λένε "Password123,"Για παράδειγμα, και στη συνέχεια να το χρησιμοποιήσετε για όλες τις online δραστηριότητες. Γιατί είναι αυτή η τόσο φοβερή ιδέα; Επειδή αν ένας χάκερ κατορθώσει να πάρει τον κωδικό πρόσβασής σας σε έναν ακόμη λογαριασμό, τότε έχουν τον κωδικό πρόσβασης για όλους τους λογαριασμούς σας.

Ίσως δεν νομίζετε ότι πρόκειται για μια ιδιαίτερα μεγάλη υπόθεση αν κάποιο κακόβουλο κόμμα είναι σε θέση να συνδεθεί στο προφίλ σας στο Facebook, αν και μπορεί να προκαλέσει όλεθρο, εάν συμβεί αυτό. Ωστόσο, αν αυτός ο κωδικός πρόσβασης τους δίνει πρόσβαση στις τραπεζικές σας πληροφορίες, τους αριθμούς πιστωτικών καρτών σας, τον αριθμό κοινωνικής ασφάλισης ή οτιδήποτε άλλο, τότε σίγουρα θα φροντίσετε.

Γιατί ισχυροί κωδικοί πρόσβασης είναι κρίσιμοι

Τα τελευταία χρόνια, πολλοί ιστότοποι έχουν αρχίσει να θέτουν απαιτήσεις για ολοένα και πιο σύνθετους κωδικούς πρόσβασης. Είναι ένας πόνος για τον χρήστη να βρει και να θυμάται αυτούς τους κωδικούς πρόσβασης, αλλά υπάρχει ένας καλός λόγος για κάτι τέτοιο.

ισχυρός κωδικός πρόσβασηςΌσο πιο σύνθετοι και τυχαίοι είναι οι κωδικοί πρόσβασης, τόσο πιο δύσκολο είναι να διακρίνουν οι χάκερ. Τώρα, φανταστείτε ότι είχατε δεκάδες από αυτούς τους κωδικούς πρόσβασης, έναν για κάθε έναν από τους ιστοτόπους που συχνάζουν. Αυτοί οι χάκερ δεν θα φτάσουν μέχρι στιγμής όταν πρέπει να υπολογίσουν μια εντελώς τυχαία αλυσίδα 12 ή περισσότερων γραμμάτων, αριθμών και ειδικών χαρακτήρων. Τα προβλήματα πολλαπλασιάζονται μόνο με τη χρήση μοναδικών κωδικών πρόσβασης σε όλους τους λογαριασμούς σας στο διαδίκτυο.

Αυτός ο τύπος κωδικού πρόσβασης είναι κρίσιμος για την ασφάλεια στο διαδίκτυο. Μόλις ένας χάκερ έχει καταλάβει τον πολύ απλό κωδικό σας, μπορεί να το χρησιμοποιήσει ή να το πουλήσει για μεγάλα δολάρια στη μαύρη αγορά. Μερικοί από αυτούς τους αγοραστές είναι απίστευτα εξελιγμένοι. Μέσα σε λίγα λεπτά, η ταυτότητά σας έχει κλαπεί, η πιστοληπτική σας ικανότητα έχει καταστραφεί και θα περάσετε χρόνια και πολλά χρήματα προσπαθώντας να αποκτήσετε τη φήμη σας πίσω.

Σύμφωνα με την Ανασκόπηση Τεχνολογίας MIT, η δημιουργία ενός πραγματικά ισχυρού κωδικού πρόσβασης είναι κάτι παραπάνω από τη χρήση ενός κεφαλαίου, ενός αριθμού και ενός ειδικού χαρακτήρα. Όσο περισσότερο κάνετε τον κωδικό σας και οι πιο ειδικοί χαρακτήρες που χρησιμοποιεί, τόσο πιο πιθανό είναι να χτυπήσετε τους hackers.

Οι χάκερ έχουν λογισμικό που συνεχώς και ακούραστα διατρέχει τον κωδικό πρόσβασης "εικασίες". Αργά ή αργότερα, μπορεί να μανδαλώσουν το δικό σας. Ωστόσο, εάν ο κωδικός σας είναι μακρύς, πολύπλοκος και εντελώς τυχαίος, τότε οι πιθανότητες είναι καλές ότι ο χάκερ θα ψάξει για πολύ ευκολότερη λεία, το οποίο είναι διαθέσιμο σε αφθονία.

Τι είναι ένας διαχειριστής κωδικών πρόσβασης?

Το πρόβλημα είναι ότι η απομνημόνευση όλων αυτών των απίστευτα μακρών, πολύπλοκων και μοναδικών κωδικών πρόσβασης είναι ένα έργο του Ηρακλή. Ποιος μπορεί να τους κρατήσει ίσους; Εκεί μπαίνουν οι διαχειριστές κωδικών πρόσβασης.

πώς λειτουργεί ο διαχειριστής κωδικών πρόσβασηςΟι περισσότεροι διαχειριστές κωδικών πρόσβασης έχουν σχεδιαστεί για να δημιουργούν αμέτρητους ισχυρούς, τυχαίους κωδικούς πρόσβασης για μεμονωμένους χρήστες. Αποθηκεύουν αυτούς τους κωδικούς πρόσβασης και, στη συνέχεια, τις ανακτούν όταν επισκέπτεστε κάθε ιστότοπο.

Είναι επίσης δυνατό για αυτές τις υπηρεσίες να αποθηκεύουν τους αριθμούς πιστωτικών καρτών σας, συμπεριλαμβανομένου του τριψήφιου κωδικού CVV στο πίσω μέρος, μαζί με τα PIN και τις απαντήσεις σας σε διάφορες ερωτήσεις ασφαλείας. Όλα αυτά τα δεδομένα είναι κρυπτογραφημένα σε μια προσφορά για την εξάλειψη των χάκερ. Πολλές από αυτές τις υπηρεσίες χρησιμοποιούν το hash, το οποίο ουσιαστικά είναι υπεύθυνος για τη μετατροπή απλών δεδομένων σε χορδές αριθμών ή χαρακτήρων προκαθορισμένου μήκους.

Κάθε φορά που θέλετε να επισκεφθείτε έναν ιστότοπο όπου θα χρειαστεί να χρησιμοποιήσετε έναν από τους κωδικούς πρόσβασής σας, συνδέεστε στο "θησαυρό" των δεδομένων που αποθηκεύσατε προηγουμένως με τον διαχειριστή κωδικών πρόσβασης. Η πρόσβαση παρέχεται μέσω ενός ενιαίου κωδικού πρόσβασης για την υπηρεσία διαχειριστή.

Αυτό ακούγεται πολύ βολικό, αλλά είναι πολύ σημαντικό να μην βάλετε υπερβολική εμπιστοσύνη στους διαχειριστές κωδικών πρόσβασης. Αυτές οι υπηρεσίες δεν είναι μια μαγική σφαίρα που θα σας προστατεύσει από κάθε βλάβη. Είναι ακόμα συνετό να χρησιμοποιήσετε ένα VPN όπως NordVPN για κάθε περιήγηση, έλεγχο ταυτότητας δύο παραγόντων για ορισμένους εξαιρετικά πολύτιμους λογαριασμούς και για χρήση μόνο συσκευών που εμπιστεύεστε.

Στην πραγματικότητα, ίσως να είστε σοφό να αποφύγετε τη χρήση ενός διαχειριστή κωδικών πρόσβασης καθόλου.

Γιατί οι διαχειριστές κωδικών πρόσβασης μπορεί να είναι επικίνδυνοι

Οι διαχειριστές κωδικών πρόσβασης αποθηκεύουν όλα τα ευαίσθητα δεδομένα σας είτε τοπικά είτε σε σύννεφο. Ως εκ τούτου, οι κωδικοί πρόσβασης είναι σε ένα σεμινάριο σε μια μονάδα αποθήκευσης ή υπολογιστή στο σπίτι σας ή βρίσκονται μακριά από τους διακομιστές του διαχειριστή κωδικών πρόσβασης.

Μεγάλο όνομα παίκτες στη βιομηχανία αρέσει Dashlane1Password και LastPass χρησιμοποιήστε τους διακομιστές τους για την αποθήκευση των προσωπικών σας πληροφοριών από προεπιλογή. Αυτό σας διευκολύνει να συγχρονίσετε τυχόν αποθηκευμένα δεδομένα που μπορεί να έχετε με όλες τις συσκευές σας.

κωδικό πρόσβασης hackingΤώρα, αυτές οι εταιρείες κάνουν πολλές υποσχέσεις για τα μέτρα ασφαλείας τους, αλλά αυτό δεν κάνει όλους τους καταναλωτές άνετους. Απλώς φανταστείτε αν όλα αυτά τα απίστευτα πολύτιμα δεδομένα σε αυτό το μοναδικό διακομιστή υπονομεύονταν από ένα hack. Επειδή έχετε βάλει όλα τα αυγά σας σε ένα καλάθι, μόλις χάσατε τον έλεγχο της online ζωής σας.

Η πραγματικότητα είναι ότι λίγοι χάκερ μπορούν να αντισταθούν στον πειρασμό να ξεπεράσουν τα προηγμένα συστήματα ασφαλείας. Σκεφτείτε όλα τα ανεκτίμητα στοιχεία που θα μπορούσαν να συγκεντρωθούν με ένα μόνο hack. Μερικές φορές, η ενοποίηση δεν είναι ένας σοφός ελιγμός.

Αν πραγματικά δεν σας αρέσει η σκέψη του cloud storage για όλους τους κωδικούς σας, ίσως θα μπορούσατε να επιλέξετε τοπική αποθήκευση αντί. Dashlane καθιστά αυτό δυνατό όταν οι πελάτες επιλέγουν να απενεργοποιήσουν τη λειτουργία "Συγχρονισμός".

Το 1Password επιτρέπει στους πελάτες να αγοράσουν μια άδεια χρήσης λογισμικού, η οποία τους δίνει τον έλεγχο του τόπου όπου φυλάσσεται ο θησαυρός τους. Το KeePass καθιστά δυνατή την αποθήκευση των δεδομένων σας σε ένα θόλο κρυπτογραφημένο στη δική σας συσκευή.

Ωστόσο, προτού προχωρήσετε και με τα δύο πόδια σε αυτές τις επιλογές, αναρωτηθείτε πόσο ασφαλείς είναι τα δικά σας ηλεκτρονικά μέτρα ασφαλείας; Είναι πιθανό ένας χάκερ να μπορεί να περάσει από αυτούς για να πάρει όλους τους κωδικούς σας από τη δική σας συσκευή?

Ασφάλεια παραβιάσεις που πρέπει να ξέρετε για

Οι παραβιάσεις ασφαλείας που παρατίθενται δεν είναι θεωρητικές. Πολλά από αυτά έχουν συμβεί. Πριν αποφασίσετε αν χρησιμοποιείτε ή όχι έναν διαχειριστή κωδικών πρόσβασης σας έχει νόημα, λάβετε υπόψη αυτές τις παραβιάσεις.

Η παράβαση στο OneLogin

Διαχείριση κωδικών πρόσβασης Η OneLogin αποκάλυψε τον Ιούνιο του 2017 ότι είχε υποστεί κάταγμα. Το περιστατικό που αναφέρθηκε ευρέως επηρέασε όλους τους πελάτες της εταιρείας των οποίων τα δεδομένα αποθηκεύτηκαν στο κέντρο δεδομένων των ΗΠΑ.

Σε ένα δελτίο τύπου, η OneLogin έγραψε ότι: "Από τότε έχουμε αποκλείσει αυτή την μη εξουσιοδοτημένη πρόσβαση, ανέφερα το ζήτημα στις αρχές επιβολής του νόμου και συνεργαζόμαστε με μια ανεξάρτητη εταιρεία ασφαλείας για να καθορίσουμε τον τρόπο που συνέβη η μη εξουσιοδοτημένη πρόσβαση".

Το LastPass αναφέρει μια παραβίαση

Ένας άλλος μάλλον κακόφημος διαχειριστής του κωδικού πρόσβασης συνέβη στο LastPass. Αυτό αναφέρθηκε τον Απρίλιο του 2017 και η εταιρεία το περιέγραψε ως ένα "μοναδικό και εξαιρετικά περίπλοκο" πρόβλημα. Το συμπέρασμα είναι ότι το LastPass χρησιμοποιεί τέτοιες προηγμένες τεχνικές κρυπτογράφησης και μέτρα ασφαλείας ότι η κατάσταση είναι όλα - αλλά αδιανόητη και δεν θα μπορούσε να συμβεί ξανά.

Το πρόβλημα εντοπίστηκε από τον Tavis Ormandy, ερευνητή ασφάλειας για το Project Zero της Google. Ο Ormandy χαρακτήρισε το θέμα ως "αρχιτεκτονικό" στη φύση, συνεχίζοντας να λέει ότι θα χρειαστεί αρκετός χρόνος για να αντιμετωπιστεί.

Ενώ η LastPass εργάστηκε για να διορθώσει το θέμα ευπάθειας, συνέστησε στους πελάτες να χρησιμοποιήσουν επαλήθευση δύο παραγόντων και για να αποφευχθούν όλες οι ύποπτες συνδέσεις.

Ωστόσο, αυτό δεν είναι το μοναδικό περιστατικό που υπέστη το LastPass. Τον Ιούνιο του 2015, η εταιρεία ανακοίνωσε ότι οι διακομιστές τους είχαν βιώσει μια εισβολή. Η LastPass ανέφερε ότι δεν έχουν κλαπεί αποθηκευμένοι κωδικοί πρόσβασης και ότι η οι χάκερ δεν έλαβαν διευθύνσεις ηλεκτρονικού ταχυδρομείου, υπενθυμίσεις κωδικού πρόσβασης ή hashes ελέγχου ταυτότητας.

KeePass παίρνει Hacked - είδος

Η διαθεσιμότητα ενός εργαλείου με το ψευδώνυμο "KeeFarce" το 2015 έκανε τα πράγματα να φαίνονται δυσάρεστα για το KeePass. Αν και αυτό το εργαλείο χάκερ στοχεύει στο KeePass, είναι εφικτό το εργαλείο να μπορεί να τροποποιηθεί για να στοχεύσει οποιονδήποτε διαχειριστή κωδικών πρόσβασης.

Ουσιαστικά, το εργαλείο αυτό σχεδιάστηκε για να στοχεύει τους υπολογιστές των χρηστών, οι οποίοι γενικά δεν διαθέτουν τα ισχυρά χαρακτηριστικά ασφαλείας που χρησιμοποιούν οι διαχειριστές κωδικών πρόσβασης. Το εργαλείο ήταν ικανό να αποκρυπτογραφήσει όλα τα ονόματα χρηστών και τους κωδικούς πρόσβασης που ο χρήστης είχε αποθηκεύσει με το KeePass. Όλα τα δεδομένα ήταν στη συνέχεια γραμμένα σε ένα αρχείο που ο χάκερ μπορούσε να έχει πρόσβαση.

Αυτό το εργαλείο σχεδιάστηκε για να επισημάνει ένα πρόβλημα που έχουν όλοι οι διαχειριστές κωδικών πρόσβασης. Ένας μολυσμένος υπολογιστής είναι ένας ευάλωτος υπολογιστής. Ανεξάρτητα από το πόσο καλός είναι ο διαχειριστής κωδικών πρόσβασης όταν ο υπολογιστής του χρήστη έχει μολυνθεί από ιό ή άλλο πρόβλημα, η προστασία που προσφέρει ο διαχειριστής είναι αναπόφευκτη. Πρέπει να βελτιώσετε την ασφάλειά σας εάν επιθυμείτε να επωφεληθείτε από έναν διαχειριστή κωδικών πρόσβασης.

Ο καπετάνιος τραβάει ένα σφάλμα

ανίχνευση σφαλμάτωνΤον Μάιο του 2018, ο Keeper ανακοίνωσε ότι είχε διορθώσει ένα σφάλμα που εντοπίστηκε από έναν ερευνητή ασφαλείας. Ο ερευνητής το είπε το σφάλμα ενδέχεται να έχει επιτρέψει σε μη εξουσιοδοτημένους χρήστες να έχουν πρόσβαση στα ιδιωτικά δεδομένα που ανήκουν σε άλλο χρήστη.

Το σφάλμα παρουσιάστηκε μέσω ενός καταλόγου δημοσιοποίησης για τη δημόσια ασφάλεια. Στην ουσία, η καταχώριση ανέφερε ότι κάθε άτομο που ελέγχει τον διακομιστή API της εταιρείας θα μπορούσε θεωρητικά να έχει πρόσβαση στο κλειδί αποκρυπτογράφησης στη θήκη των κωδικών πρόσβασης που ανήκουν σε οποιονδήποτε χρήστη. Η πηγή του προβλήματος περιέχεται στο Keeper Commander, ένα σενάριο που υποστηρίζεται από την Python και επιτρέπει στους χρήστες να περιστρέφουν τους κωδικούς πρόσβασης.

Το bug bugger έχει έκτοτε εξαλειφθεί.

Τα ευρήματα της TeamSIK

Τον Φεβρουάριο του 2017, οι ερευνητές του Fraunhofer Institute for Secure Information Technology δημοσίευσαν τα ευρήματά τους μετά από μια ανασκόπηση των εννέα πιο διαδεδομένων διαχειριστών κωδικών πρόσβασης. Τα αποτελέσματα δεν ήταν παρά καθησυχαστικά.

λογότυπο ομάδας sikΟι ερευνητές, γνωστοί ως TeamSIK, κάλεσαν τα ευρήματά τους "εξαιρετικά ανησυχητικά". Υποστήριξαν ακόμη ότι αυτές οι εταιρείες «καταχρώνται την εμπιστοσύνη των χρηστών και τους εκθέτουν σε υψηλό κίνδυνο».

Οι διαχειριστές κωδικών πρόσβασης που συμπεριελήφθησαν στην αναθεώρηση ήταν 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager και My Passwords.

Κάθε διαχειριστής της αναθεώρησης είχε τουλάχιστον ένα ελάττωμα ασφαλείας. Οι ερευνητές ενημέρωσαν καθεμία από τις εταιρείες για τα ευρήματά τους και τα προβλήματα αντιμετώπισαν γρήγορα. Ακόμα, δεν φαίνεται ότι κάθε εταιρεία θα έπρεπε να έχει συνειδητοποιήσει και να διορθώσει αυτά τα προβλήματα χωρίς να χρειάζεται μια εξωτερική πηγή για να τους βοηθήσει να αναλάβουν δράση?

Στη συνέχεια, οι χρήστες ενθαρρύνθηκαν να διασφαλίσουν ότι έχουν τροποποιηθεί και χρησιμοποιούν τις τελευταίες εκδόσεις του λογισμικού διαχείρισης κωδικών πρόσβασης ώστε να επωφεληθούν πλήρως από τα αναβαθμισμένα μέτρα ασφαλείας.

Παρακάτω παρατίθενται ορισμένες από τις συγκεκριμένες λεπτομέρειες / αναφορές. Για συγκεκριμένες λεπτομέρειες, ανοίξτε κάθε αναφορά.

MyPasswords 

  • Διαβάστε τα ιδιωτικά δεδομένα των εφαρμογών μου κωδικών πρόσβασης
  • Κύριος κωδικός αποκρυπτογράφησης των κωδικών πρόσβασης μου
  • Δωρεάν Χαρακτηριστικά Premium Ξεκλείδωμα για τους Κωδικούς μου

Διαχείριση κωδικού πρόσβασης Informaticore 

  • Μη ασφαλής αποθήκευση διαπιστευτηρίων στο Mirsoft Password Manager

Διαχείριση κωδικού πρόσβασης LastPass 

  • Πλήκτρο κλειδιού σκληρού κώδικα στο LastPass Password Manager
  • Προστασία προσωπικών δεδομένων, διαρροή δεδομένων στην Αναζήτηση προγράμματος περιήγησης του LastPass
  • Ανάγνωση ιδιωτικής ημερομηνίας (αποθηκευμένη κύρια λέξη-κλειδί) από το LastPass Password Manager

Διαχειριστής Passwort-Keeper 

  • Αρχείο ασφαλείας του διαχειριστή κωδικού πρόσβασης κατόχου
  • Διαχείριση εισερχομένων δεδομένων διαχειριστή κωδικού πρόσβασης χωρίς κύριο κωδικό πρόσβασης

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Μη ασφαλής αποθήκευση διαπιστευτηρίων

Dashlane Password Manager 

  • Διαβάστε τα ιδιωτικά δεδομένα από τον φάκελο εφαρμογής στο Dashlane Password Manager
  • Διαρροή πληροφοριών αναζήτησης Google στο πρόγραμμα περιήγησης διαχειριστή κωδικών Dashlane
  • Απόσπασμα επίθεσης Απόσπαση κύριου παλμού από τον διαχειριστή κωδικών Dashlane
  • Υποκεφάλαιο διαρροή κωδικού πρόσβασης στο εσωτερικό Dashlane Password Manager Browser

Απόκρυψη εικόνων Κρατήστε ασφαλές θόλο 

  • Αποθήκευση κωδικού πρόσβασης SKeepsafe Plaintext

Avast Passwords 

  • Κερδίστε κωδικό πρόσβασης εφαρμογών από το Avast Password Manager
  • Κλοπή κωδικού πρόσβασης από την ιστοσελίδα Spoofed από το Avast Password Manager
  • Ασφαλείς προεπιλεγμένες διευθύνσεις URL για δημοφιλείς ιστότοπους στο Avast Password Manager
  • Υποχρεωτική διαρροή κωδικού πρόσβασης στο Avast Password Manager
  • Διακεκομμένη Ασφαλής Εφαρμογή Επικοινωνίας στο Avast Password Manager
  • Διευθύνσεις εσωτερικού ελέγχου στο Avast Password Manager

1Password - Διαχείριση κωδικών πρόσβασης 

  • Υποδιαίρεση διαρροής κωδικού πρόσβασης στο 1Password Εσωτερικό πρόγραμμα περιήγησης
  • Υποβάθμιση Https στο http URL από προεπιλογή στο 1Password Internal Browser
  • Οι τίτλοι και οι διευθύνσεις URL δεν είναι κρυπτογραφημένες στη βάση δεδομένων 1Password
  • Διαβάστε τα ιδιωτικά δεδομένα από τον φάκελο εφαρμογής στο 1Password Manager
  • Προβλήματα απορρήτου, πληροφορίες που διαρρέουν στο Διαχειριστή του Passer 1 του πωλητή

Τύποι παραβιάσεων ασφαλείας

Η πραγματικότητα είναι ότι όλοι οι μεγάλοι διαχειριστές κωδικών πρόσβασης είχαν σοβαρές παραβιάσεις ασφαλείας σε μια ή την άλλη στιγμή. Ακόμα κι αν διορθώνουν τα προβλήματα όπως αποκαλύπτονται, φαίνεται ότι τα νέα σχήματα είναι πάντα ψηλά. Αυτές είναι μερικές από τις παραβιάσεις ασφαλείας στις οποίες οι διαχειριστές κωδικών πρόσβασης είναι ευάλωτοι.

Phishing - Οι περισσότεροι άνθρωποι έχουν ακούσει για τα προγράμματα phishing. Περιλαμβάνουν ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα μήνυμα κειμένου που υποτίθεται ότι έχει αποσταλεί από μια αξιόπιστη οντότητα ή άτομο. Ο στόχος είναι να αποκτήσετε ένα ανυποψίαστο θύμα για να αποκαλύψετε ευαίσθητα δεδομένα όπως αριθμούς τραπεζικών λογαριασμών, αριθμούς πιστωτικών καρτών και αριθμούς κοινωνικής ασφάλισης με σκοπό την εξαπάτηση του παραλήπτη.

ροή επίθεσης phishing

Το ηλεκτρονικό "ψάρεμα" έχει χρησιμοποιηθεί για να εξαπατήσει τους πελάτες διαχείρισης κωδικών πρόσβασης. Σε αυτό το σχήμα, οι πελάτες καλούνται να συνδεθούν σε έναν ιστότοπο λόγω μιας περιόδου που έχει λήξει. Όταν το κάνουν, ένας συγχέοντας παρόμοιος ιστότοπος ηλεκτρονικού "ψαρέματος" είναι στην πραγματικότητα όπου εισάγουν τα προσωπικά τους δεδομένα. Ο χρήστης μόλις πρόθυμα προσέφερε τον μυστικό κωδικό πρόσβασης σε έναν χάκερ.

Διαμαρτυρία αιτήσεων μεταξύ των ιστότοπων - Συχνά αναφερόμενο ως CSRF, αυτό το σχέδιο εξαπατά τους ανθρώπους να κάνουν αθέλητες ενέργειες στο διαδίκτυο. Χρησιμοποιείται σε χρήστες που έχουν πιστοποιηθεί σε μια εφαρμογή ιστού. Το κακόβουλο κόμμα στέλνει συχνά ένα σύνδεσμο μέσω ηλεκτρονικού ταχυδρομείου για να αναγκάσει το θύμα να μεταφέρει κεφάλαια ή να προβεί σε άλλες δυνητικά βλαβερές ενέργειες.

Scripting μεταξύ ιστοτόπων - Γνωστή ως XSS, αυτή η επίθεση συνεπάγεται την εισαγωγή κακόβουλου κώδικα σε αλλιώς γνωστούς και αξιόπιστους ιστότοπους.

Βίαιες επιθέσεις - Αυτή η παραβίαση ασφαλείας περιλαμβάνει αυτοματοποιημένο λογισμικό που δοκιμάζει διάφορους συνδυασμούς μέχρι να χτυπήσει ένα goldmine, όπως το διακομιστή του διαχειριστή κωδικών σας.

κωδικό πρόσβασης αυτόματου φίλτρουΑυτόματη συμπλήρωση χαρακτηριστικών ευπάθειας - Η χρήση της δυνατότητας αυτόματης πλήρωσης στο πρόγραμμα περιήγησης ιστού ή στο διαχειριστή κωδικών πρόσβασης είναι δελεαστικό επειδή φαίνεται ότι κάνει τα πάντα πολύ πιο εύκολα. Στην πραγματικότητα, απλά κάνετε τα πράγματα ευκολότερα για τους κυβερνητικούς σας εγκληματίες σε όλο τον κόσμο. Χρησιμοποιείται ακόμη και από διαφημιζόμενους.

Αποθήκευση κύριου κωδικού πρόσβασης σε απλό κείμενο - Αποδεικνύοντας ότι οι διαχειριστές κωδικών πρόσβασης δεν είναι αναγκαστικά οι καλύτεροι gatekeepers των ευαίσθητων δεδομένων σας, ένα ερευνητικό πρόγραμμα αποκάλυψε το γεγονός ότι ορισμένοι διαχειριστές κωδικών πρόσβασης αποθηκεύουν τους κύριους κωδικούς πρόσβασης του πελάτη σε απλό κείμενο χωρίς κρυπτογράφηση.

Κώδικας εφαρμογής που περιέχει κλειδιά κρυπτογράφησης - Στην ουσία, ο ίδιος κώδικας της εφαρμογής εκθέτει κλειδιά κρυπτογράφησης στον ίδιο τον κώδικα. Είναι μια ημέρα πεδίου για τους χάκερ όταν ανακαλύπτεται αυτή η ευπάθεια.

Πρόχειρο Sniffing ή αεροπειρατεία - Αυτή η παραβίαση επιτρέπει στους εγκληματίες να αρπάξουν διαπιστευτήρια που έχουν αντιγραφεί στη μνήμη του υπολογιστή, ώστε να μπορούν να επικολληθούν σε μια διεπαφή για την εισαγωγή κωδικού πρόσβασης.

Ενσωματωμένα ελαττώματα του προγράμματος περιήγησης στο Web - Ορισμένοι διαχειριστές κωδικών πρόσβασης είναι επίσης προγράμματα περιήγησης, η χρήση των οποίων υποτίθεται ότι διατηρεί τους πελάτες ασφαλέστερους στο διαδίκτυο. Ωστόσο, με έναν ατελή διαχειριστή κωδικών - που όλοι είναι, πολλαπλασιάζεται η πιθανότητα για ελαττώματα.

Επίθεση κατάλοιπων δεδομένων - Οι χρήστες που διαγράφουν εφαρμογές από τις συσκευές τους δεν αφαιρούν απαραίτητα όλα τα ίχνη τους. Ορισμένοι χάκερ επιτίθενται στο "υπόλειμμα" που παραμένει πίσω. Μόνο πραγματικά σταθερά μέτρα ασφαλείας κρατούν πραγματικά εγκληματίες.

επιθέσεις στον κυβερνοχώροΕικονική Hacking - Μην υποθέσετε ότι είστε ασφαλείς μόνο και μόνο επειδή χρησιμοποιείτε υπολογιστή εταιρείας. Ορισμένες αμυχές είναι μια εσωτερική δουλειά που διαπράττεται από έναν συνάδελφο. Αυτό είναι εξίσου αληθινό στα γραφεία των διαχειριστών κωδικών πρόσβασης. Πώς ξέρετε ότι μπορείτε να εμπιστευτείτε τους υπαλλήλους του παροχέα σας?

Διαρροές πληροφοριών μέσω μνήμης ανταλλαγής - Οι περισσότεροι υπολογιστές έχουν κύρια μνήμη και δευτερεύουσα αποθήκευση. Κάθε διαδικασία που εκτελεί ο υπολογιστής λαμβάνει την ίδια μνήμη που ζητάει. Η ενεργή διαδικασία αποθηκεύεται στην κύρια μνήμη. Οι ανενεργές διαδικασίες ωθούνται προς τη δευτερεύουσα αποθήκευση. Όταν μια συγκεκριμένη διαδικασία αρχίζει να τρώει τόνους μνήμης, περισσότερα στοιχεία ωθούνται στη δευτερεύουσα αποθήκευση. Η απόδοση του συστήματος επιδεινώνεται και ο τερματισμός της διαδικασίας διαρροής μπορεί να μην σημαίνει ότι οι διαδικασίες που προωθήθηκαν στη δευτερεύουσα αποθήκευση θα αντικατασταθούν αμέσως. Οτιδήποτε έχει ανατεθεί στην δευτερεύουσα αποθήκευση ενδέχεται να είναι ευάλωτος σε επίθεση.

Τι σημαίνει το μέλλον?

Όπως σημειώθηκε, οι εννέα πιο γνωστούς διαχειριστές κωδικών πρόσβασης έχουν διορθώσει από τότε όλα αυτά τα θέματα. Ωστόσο, ποια άλλα προβλήματα μπορεί να κρύβονται; Ορισμένα από τα τρωτά σημεία που αποκάλυψε η TeamSIK θα έπρεπε να ήταν αρκετά προφανή, όμως καμία από αυτές τις εταιρείες δεν τους γνώριζε. Χρειάστηκε ένα ανεξάρτητο τρίτο μέρος για να ανακαλύψει αυτά τα θέματα και να τα φέρει στο φως. Μπορείτε να εμπιστευτείτε πραγματικά έναν διαχειριστή κωδικών πρόσβασης με τα πιο ευαίσθητα δεδομένα σας?

David Gewirtz
David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me