암호 보호기는 안전합니까? 모든 주요 위반 사항 목록

인터넷에서 시간을 보낸다면 (그리고 요즘 누가 그렇지 않습니까?) 암호가 많을 것입니다.


소셜 미디어 계정에 로그온하거나 은행 계좌 잔고를 확인하거나 Amazon에서 주문할 때마다 비밀번호가 필요합니다. 포럼에 속해 있거나 웹 사이트를 운영하거나 블로그를 작성하는 경우 더 많은 암호가 있습니다..

비밀번호 필요성각 웹 사이트에 동일한 비밀번호를 사용하고 싶어합니다. 결국, 당신은 아마 보통 1 년 동안 수백 개의 웹 사이트에 로그인해야 할 것입니다. 이 웹 사이트 각각에 대해 강력하고 고유 한 비밀번호가있는 경우, 그들 모두를 어떻게 기억할 수 있을까?

불행히도 너무 많은 사람들이 쉽게 벗어날 수 있습니다. 그들은 분명한 비밀번호를 사용합니다.비밀번호 123,예를 들어 모든 온라인 활동에 사용합니다. 이것이 왜 그렇게 끔찍한 생각입니까? 때문에 해커가 하나의 계정으로도 비밀번호를 얻을 수 있다면 모든 계정에 대한 비밀번호를 갖게됩니다..

어쩌면 악의적 인 파티가 Facebook 프로필에 로그인 할 수있는 경우 특히 큰 문제가되지는 않을 것입니다. 그러나 해당 비밀번호로 은행 정보, 신용 카드 번호, 소셜 시큐리티 번호 또는 기타 정보에 액세스 할 수있는 경우.

강력한 암호가 중요한 이유

최근에는 많은 웹 사이트에서 점점 길고 복잡한 암호에 대한 요구 사항을 시작했습니다. 사용자가이 비밀번호를 생각해 내고 기억하는 것은 고통 스럽지만, 그렇게하는 데는 합당한 이유가 있습니다..

강력한 비밀번호암호가 복잡하고 무작위 일수록 해커가 식별하기가 더 어렵습니다.. 이제 자주 사용하는 각 웹 사이트마다 하나씩이 암호가 수십 개 있다고 가정 해보십시오. 이러한 해커는 12 개 이상의 문자, 숫자 및 특수 문자로 구성된 임의의 무작위 체인을 찾아야 할 때 멀지 않습니다. 모든 온라인 계정에서 고유 한 비밀번호를 사용하면 문제가 배가됩니다..

이 유형의 비밀번호는 온라인 보안에 중요합니다. 한 명의 해커가 너무 간단한 암호를 알아 낸 후에는 암호를 직접 사용하거나 암시장에서 큰 돈을 팔 수 있습니다. 이러한 구매자 중 일부는 매우 정교합니다. 몇 분 안에 귀하의 신원이 도난 당하고 신용 등급이 폐기되며 명성을 되찾기 위해 몇 년과 많은 돈을 쓸 것입니다..

MIT 기술 검토에 따르면 진정으로 강력한 암호를 만드는 것은 대문자, 숫자 및 특수 문자를 사용하는 것 이상입니다. 암호를 오래 사용할수록 암호를 사용하는 특수 문자가 많을수록 해커를 막을 가능성이 높습니다.

해커는 암호 "추측"을 통해 지속적으로 지칠 줄 모르는 소프트웨어를 보유하고 있습니다. 조만간 그들은 귀하의 컴퓨터에 잠길 수 있습니다. 그러나 비밀번호가 길고 복잡하며 완전히 무작위 인 경우 해커가 훨씬 더 쉬운 먹이를 찾을 가능성이 높다, 풍부하게 사용할 수있는.

비밀번호 관리자 란??

문제는 엄청나게 길고 복잡하며 고유 한 암호를 모두 기억하는 것이 힘든 일이라는 것입니다. 누가 그들 모두를 똑바로 유지할 수 있습니까? 암호 관리자가 들어오는 곳.

비밀번호 관리자의 작동 방식대부분의 암호 관리자는 개별 사용자를 위해 수많은 강력하고 임의의 암호를 생성하도록 설계되었습니다. 암호를 저장 한 다음 각 웹 사이트를 방문 할 때 검색합니다.

이 서비스는 뒷면에 3 자리 CVV 코드를 포함한 신용 카드 번호와 PIN 및 다양한 보안 질문에 대한 답변을 저장하는 것도 가능합니다. 이러한 모든 데이터는 해커를 보호하기 위해 암호화됩니다. 이러한 서비스 중 다수는 해싱을 사용하는데 이는 본질적으로 일반 데이터를 미리 정해진 길이의 숫자 또는 문자로 변환하는 기능.

비밀번호 중 하나를 사용해야하는 웹 사이트를 방문 할 때마다 비밀번호 관리자와 함께 이전에 저장 한 데이터의 "볼트"에 로그인합니다. 관리자 서비스에 대한 단일 비밀번호를 통해 액세스 권한이 부여됩니다..

매우 편리하게 들리지만 암호 관리자를 너무 신뢰하지 않는 것이 중요합니다.. 이 서비스는 모든 피해로부터 당신을 보호하는 마법의 총알이 아닙니다.. 여전히 VPN을 사용하는 것이 현명합니다 NordVPN 매우 중요한 특정 계정에 대한 모든 탐색, 2 단계 인증 및 신뢰할 수있는 장치 만 사용.

사실, 비밀번호 관리자를 전혀 사용하지 않는 것이 현명 할 수 있습니다.

비밀번호 관리자가 위험한 이유

암호 관리자는 모든 중요한 데이터를 로컬 또는 클라우드에 저장합니다. 따라서 비밀번호는 집의 스토리지 드라이브 또는 컴퓨터에있는 볼트에 있거나 비밀번호 관리자의 서버에 원격으로 유지됩니다..

업계의 유명 플레이어 처럼 대쉬 레인1 비밀번호 과 LastPass 서버를 사용하여 기본적으로 개인 정보를 저장하십시오. 이렇게하면 저장된 모든 데이터를 모든 장치와보다 편리하게 동기화 할 수 있습니다.

비밀번호 해킹이제이 회사들은 보안 조치에 대해 많은 약속을하지만 모든 소비자를 편안하게 해주지는 않습니다.. 단 하나의 서버에있는 매우 귀중한 데이터가 모두 해킹에 의해 손상된 경우를 상상해보십시오.. 모든 계란을 한 바구니에 담았으므로 온라인 생활에 대한 통제력을 상실했습니다..

실제로는 해커가 고급 보안 시스템을 뛰어 넘는 유혹에 저항 할 수있는 사람이 거의 없습니다. 단 하나의 핵으로 수집 할 수있는 모든 귀중한 데이터를 생각해보십시오. 때때로, 통합은 현명한 행동이 아닙니다.

모든 암호에 대해 클라우드 저장소에 대한 생각이 정말로 마음에 들지 않으면 대신 로컬 저장소를 선택할 수 있습니다. 대쉬 레인 고객이 '동기화'기능을 사용하지 않도록 선택할 때 가능.

1 비밀번호를 사용하면 고객이 볼트 보관 위치를 제어 할 수있는 소프트웨어 라이센스를 구매할 수 있습니다. KeePass를 사용하면 자신의 기기에서 암호화 된 볼트에 데이터를 저장할 수 있습니다.

그러나 이러한 옵션에 대해 두 발로 뛰어 들기 전에 자신의 전자 보안 조치가 얼마나 안전한지 스스로에게 물어보십시오. 해커가 자신의 기기에서 모든 비밀번호를 가져 오기 위해 침입 할 수 있습니까??

알아야 할 보안 위반

나열된 보안 위반은 이론이 아닙니다. 그들 중 많은 사람들이 일어났습니다. 암호 관리자 사용이 자신에게 적합한 지 결정하기 전에 이러한 위반을 고려하십시오..

OneLogin의 위반

비밀번호 관리자 인 OneLogin은 2017 년 6 월에 해킹을 당했다고 밝혔습니다. 널리보고 된 사건 데이터가 미국 데이터 센터에 저장된 회사의 모든 고객에게 영향을 미침.

보도 자료에서 OneLogin은 다음과 같이 말했습니다.

LastPass는 위반을보고

또 다른 악명 높은 암호 관리자 해킹이 LastPass에서 발생했습니다. 이것은 2017 년 4 월에보고되었으며 회사는이를 "고유하고 매우 정교한"문제라고 설명했습니다. 이는 LastPass가 이러한 고급 암호화 기술과 보안 조치를 사용하여 상황이 예상 할 수없고 다시 발생할 수 없다는 의미입니다..

Google Project Zero의 보안 연구원 인 Tavis Ormandy가이 문제를 확인했습니다. Ormandy는이 문제를 본질적으로 "건축 적"이라고 설명하면서 문제를 해결하는 데 상당한 시간이 걸릴 것이라고 말했습니다..

LastPass는 취약점을 해결하기 위해 노력했지만 클라이언트는 이중 인증 모든 의심스러운 링크를 피하기 위해.

그러나 이것이 LastPass가 겪은 유일한 사건은 아닙니다. 2015 년 6 월, 회사는 서버에 침입이 발생했다고 발표했습니다. LastPass는 저장된 비밀번호를 도난 당하지 않았으며 해커는 이메일 주소, 비밀번호 알림 또는 인증 해시를받지 않았습니다.

KeePass가 해킹 당합니다 – 일종의

2015 년에“KeeFarce”라는 별명을 가진 도구는 PKeePass에 문제가 생겼습니다. 이 해커 도구는 P 키 패스를 목표로했지만, 비밀번호 관리자를 타겟팅하도록 도구를 수정할 수 있습니다..

기본적으로이 도구는 일반적으로 암호 관리자가 사용하는 강력한 보안 기능이없는 사용자 컴퓨터를 대상으로하도록 설계되었습니다. 이 도구는 사용자가 KeePass와 함께 저장 한 모든 사용자 이름과 암호를 해독 할 수있었습니다. 그런 다음 모든 데이터는 해커가 액세스 할 수있는 파일에 기록되었습니다..

이 도구는 모든 암호 관리자가 가지고있는 문제를 강조하기 위해 설계되었습니다. 감염된 컴퓨터는 취약한 컴퓨터입니다. 사용자 컴퓨터가 바이러스 나 다른 문제에 감염된 경우 암호 관리자의 상태에 상관없이 관리자가 제공하는 보호 기능이 손상 될 수 있습니다. 비밀번호 관리자의 혜택을 누리려면 자신의 보안을 강화해야합니다.

파수꾼은 벌레를 잡는다

버그 탐지Keeper는 2018 년 5 월 보안 연구원이 확인한 버그를 수정했다고 발표했습니다. 연구원은 말했다 이 버그로 인해 권한이없는 사람들이 다른 사용자의 개인 데이터에 액세스 할 수 있습니다.

공공 보안을 위해 공개 목록을 통해 버그가 밝혀졌습니다. 기본적으로 회사의 API 서버를 제어하는 ​​개인은 이론적으로 모든 사용자의 암호 저장소에 해독 키에 액세스 할 수 있다고합니다. 문제의 원인은 사용자가 암호를 회전 할 수있게 해주는 Python이 제공하는 스크립트 인 Keeper Commander.

파수꾼의 버그가 제거되었습니다.

TeamSIK 결과

2017 년 2 월, 프라운호퍼 보안 정보 기술 연구소 (Fraunhofer Institute for Secure Information Technology)에서 일하는 연구원들은 가장 많이 사용되는 9 개의 암호 관리자를 검토 한 후 조사 결과를 공개했습니다. 결과는 안심이 아닌 것입니다.

팀 식 로고SITeamSIK로 알려진 연구원들은 자신들의 연구 결과를 "매우 걱정 스럽다"고 말했다.

검토에 포함 된 암호 관리자는 1Password, Avast Passwords, 사진 숨기기 안전 금고, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Password Manager 및 내 암호입니다..

검토에서 각 관리자는 최소한 하나의 보안 결함을 가지고있었습니다. 연구원들은 각 회사에 조사 결과를 알려 주었고 mot 문제는 ​​신속하게 해결되었습니다. 그럼에도 불구하고, 각 회사가 외부의 조치를 취하지 않고 조치를 취할 필요없이 이러한 문제를 깨닫고 해결해야 한 것 같지 않습니다?

여파, 사용자는 패치되어 최신 버전의 비밀번호 관리자 소프트웨어를 사용하도록 권장되었습니다 업그레이드 된 보안 조치를 최대한 활용할 수 있도록.

다음은 특정 세부 정보 / 보고서 중 일부입니다. 자세한 내용은 각 보고서를 열어주십시오.

마이 패스워드 

  • 내 비밀번호 앱의 개인 데이터 읽기
  • 내 비밀번호 앱의 마스터 비밀번호 해독
  • 무료 프리미엄 기능으로 비밀번호 잠금 해제

Informaticore 비밀번호 관리자 

  • Mirsoft Password Manager의 안전하지 않은 자격 증명 저장소

LastPass 비밀번호 관리자 

  • LastPass Password Manager의 하드 코드 된 마스터 키
  • LastPass 브라우저 검색시 ​​개인 정보, 데이터 유출
  • LastPass Password Manager에서 개인 날짜 읽기 (저장된 마스터 비밀번호)

파수꾼 암호 관리자 

  • Keeper Password Manager 보안 질문 우회
  • 마스터 비밀번호가없는 Keeper Password Manager 데이터 주입

F- 보안 키 비밀번호 관리자 

  • F-Secure KEY Password Manager 안전하지 않은 자격 증명 저장소

Dashlane 비밀번호 관리자 

  • Dashlane Password Manager의 앱 폴더에서 개인 데이터 읽기
  • Dashlane Password Manager 브라우저의 Google 검색 정보 유출
  • Dashlane Password Manager에서 마스터 암호를 추출하는 잔류 공격
  • 내부 Dashlane Password Manager 브라우저의 하위 도메인 암호 유출

사진 숨기기 금고 보관 

  • SKeepsafe 일반 텍스트 비밀번호 저장

Avast 비밀번호 

  • Avast Password Manager에서 앱 비밀번호 도용
  • Avast Password Manager의 스푸핑 된 웹 사이트를 통한 비밀번호 도난
  • Avast Password Manager에서 인기있는 사이트에 대한 안전하지 않은 기본 URL
  • Avast Password Manager의 하위 도메인 암호 유출
  • Avast Password Manager에서 손상된 보안 통신 구현
  • Avast Password Manager의 내부 테스트 URL

1 비밀번호 – 비밀번호 관리자 

  • 1 비밀번호 내부 브라우저의 하위 도메인 비밀번호 유출
  • 1Password 내부 브라우저에서 기본적으로 HTTP가 http URL로 다운 그레이드 됨
  • 1Password 데이터베이스에서 제목과 URL이 암호화되지 않음
  • 1Password Manager의 앱 폴더에서 개인 데이터 읽기
  • 개인 정보 보호 문제, 공급 업체 1로 유출 된 정보

보안 위반의 유형

실제로 모든 주요 암호 관리자는 한 번에 심각한 보안 침해를당했습니다. 그들이 밝혀진대로 문제를 해결하더라도 새로운 계획은 항상 발걸음처럼 보입니다.. 이는 암호 관리자가 취약한 일부 보안 위반입니다..

피싱 – 대부분의 사람들은 "피싱"체계에 대해 들었습니다. 여기에는 평판이 좋은 단체 나 개인이 보낸 전자 메일 또는 문자 메시지가 포함됩니다. 목표는 의심의 여지가없는 피해자가 은행 계좌 번호, 신용 카드 번호 및 주민등록번호와 같은 민감한 데이터를받는 사람을 속이려는 목적으로 공개하도록하는 것입니다..

피싱 공격 흐름

피싱은 암호 관리자 고객을 사기 위해 사용되었습니다. 이 체계에서 고객은 세션이 만료되어 웹 사이트에 로그인해야합니다. 그들이 할 때, 혼란스럽게 유사한 피싱 웹 사이트는 실제로 개인 데이터를 입력하는 곳입니다. 사용자는 방금 해커에게 비밀 암호를 제공했습니다..

사이트 간 요청 위조 –CSRF라고도하는이 체계는 사람들이 의도하지 않은 온라인 행동을하도록 속입니다. 웹 애플리케이션에서 인증 된 사용자에게 적용됩니다. 악당은 종종 피해자가 자금을 이체하거나 다른 잠재적으로 유해한 행동을하도록 유도하기 위해 이메일을 통해 링크를 보냅니다..

사이트 간 스크립팅 – XSS라고도 알려진이 공격은 악의적 인 코드를 다른 알려진 신뢰할 수있는 웹 사이트에 도입하는 것입니다..

무차별 대입 –이 보안 침해에는 비밀번호 관리자 서버와 같이 데이터 골드 마인에 도달 할 때까지 다양한 조합을 시도하는 "자동화 된 소프트웨어"가 포함됩니다..

자동 파일 비밀번호자동 완성 기능 취약점 – 웹 브라우저 또는 비밀번호 관리자에서 자동 완성 기능을 사용하면 모든 것이 훨씬 쉬워지기 때문에 유혹적입니다.. 실제로는 전 세계 사이버 범죄자들에게 더 쉬운 일을하고 있습니다.. 심지어 광고주가 사용하고 있습니다.

일반 텍스트로 마스터 비밀번호 저장 – 비밀번호 관리자가 중요한 데이터의 게이트 키퍼 일 필요는 없음을 입증 한 한 연구 프로젝트에서 일부 비밀번호 관리자가 암호화없이 고객의 마스터 비밀번호를 일반 텍스트로 저장했다는 사실을 밝혀 냈습니다..

암호화 키를 포함하는 앱의 코드 – 본질적으로 앱의 자체 코드는 코드 자체 내에 암호화 키를 노출합니다. 이 취약점이 발견 된 해커들에게는 현장의 날입니다.

클립 보드 스니핑 또는 하이재킹 –이 위반으로 인해 범죄자는 PC 메모리에 복사 된 자격 증명을 가져와 암호 입력을위한 인터페이스에 붙여 넣을 수 있습니다.

내장 웹 브라우저 결함 – 일부 암호 관리자도 브라우저이며,이를 사용하면 고객을 온라인에서 안전하게 보호 할 수 있습니다. 그러나 불완전한 암호 관리자 (모두 있음)를 사용하면 결함 가능성이 배가됩니다..

데이터 잔류 공격 – 기기에서 앱을 삭제 한 사용자가 반드시 그 흔적을 모두 제거하지는 않습니다. 일부 해커는 남은 "잔여 물"을 공격합니다. 실제로 확실한 보안 조치 만이 실제로 범죄자를 차단합니다.

내부자에 의한 사이버 공격내부자 해킹 – 회사 컴퓨터를 사용한다고해서 안전하다고 가정하지 마십시오. 일부 해킹은 동료가 저지르는 내부 작업입니다. 암호 관리자의 사무실에서도 마찬가지입니다. 제공자의 직원을 신뢰할 수 있다는 것을 어떻게 알 수 있습니까?

스왑 메모리를 통한 정보 유출 – 대부분의 컴퓨터에는 주 메모리와 보조 저장소가 있습니다. 컴퓨터가 수행하는 각 프로세스는 원하는만큼의 메모리를 얻습니다. 활성 프로세스는 주 메모리에 저장됩니다. 휴면 프로세스는 보조 스토리지로 푸시됩니다. 특정 프로세스가 많은 양의 메모리를 차지하기 시작하면 더 많은 항목이 보조 스토리지로 푸시됩니다. 시스템 성능이 저하되고 누출 프로세스가 종료되었다고해서 보조 스토리지로 푸시 된 프로세스가 즉시 스왑되는 것은 아닙니다. 보조 스토리지로 아웃소싱 된 모든 것은 공격에 취약 할 수 있습니다.

미래는 무엇을 유지 하는가?

언급 한 바와 같이, 가장 잘 알려진 9 개의 암호 관리자가이 모든 문제를 해결했습니다. 그러나 어떤 다른 문제가 숨어있을 수 있습니까? TeamSIK에 의해 발견 된 취약점 중 일부는 명백했지만, 이들 회사 중 어느 것도이를 인식하지 못했습니다. 독립적 인 제 3자가 이러한 문제를 밝혀 내고 조명을 가져 왔습니다. 가장 민감한 데이터로 비밀번호 관리자를 신뢰할 수 있습니까??

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me