האם מגני סיסמא בטוחים? רשימת כל הפרה משמעותית

אם אתה מבלה זמן באינטרנט (ומי לא עושה זאת בימינו?), סביר להניח שיש לך הרבה סיסמאות.


אתה זקוק לסיסמא בכל פעם שאתה נכנס לחשבונות המדיה החברתית שלך, בדוק את יתרת החשבון הבנקאי שלך או הזמין משהו מאמזון. אם אתה שייך לפורומים כלשהם, מנהל אתר או אפילו סתם כותב בלוג, יש לך סיסמאות עוד יותר.

הכרח בסיסמהמפתה להשתמש באותה סיסמה עבור כל אחד מאותם אתרים. אחרי הכל, כנראה שאתה צריך להיכנס לעשרות, אם לא מאות, אתרים במהלך שנה רגילה. אם הייתה לך סיסמה חזקה וייחודית לכל אחד מאתרים אלה, איך אפשר לזכור את כולם?

לרוע המזל אנשים רבים מדי מוציאים את הדרך הקלה. הם משתמשים בסיסמה די ברורה, אומרים "סיסמא 123,"למשל ואז השתמש בו לכל הפעילויות המקוונות שלהם. מדוע זה רעיון כל כך נורא? כי אם האקר מצליח להשיג את הסיסמה שלך אפילו על חשבון אחד, אז יש להם את הסיסמה שלך לכל החשבונות שלך.

אולי אתה לא יודע שזה עניין גדול במיוחד אם איזו מפלגה נבזית מסוגלת להיכנס לפרופיל הפייסבוק שלך, אם כי הם יכולים לעורר הרס אם זה יקרה. עם זאת, אם הסיסמה הזו מעניקה להם גישה למידע הבנקאי שלך, למספרי כרטיסי האשראי שלך, מספר SocialSecurity או כל דבר אחר, בוודאי יהיה לך אכפת.

מדוע סיסמאות חזקות הינן קריטיות

בשנים האחרונות אתרי אינטרנט רבים החלו להציב דרישות לסיסמאות ארוכות ומורכבות יותר ויותר. זה כאב למשתמש להמציא את הסיסמאות האלה ולהיזכר בהן, אך יש סיבה טובה לעשות זאת.

סיסמא חזקהככל שהסיסמאות שלך מורכבות ואקראיות כך קשה להבחין בהאקרים. כעת, דמיין שיש לך עשרות מהסיסמאות האלה, אחת לכל אחד מאתרי האינטרנט שאתה תדיר. האקרים אלה לא יגיעו ככל שהם צריכים להבין שרשרת אקראית לחלוטין של 12 אותיות או יותר, מספרים ותווים מיוחדים. הבעיות מוכפלות רק על ידי השימוש שלך בסיסמאות ייחודיות בכל אחד מהחשבונות המקוונים שלך.

סוג זה של סיסמא הוא קריטי לביטחון המקוון שלך. לאחר שהאקר אחד הבין את הסיסמה הפשוטה מדי שלך, הם יכולים להשתמש בזה בעצמם או למכור אותה תמורת דולרים גדולים בשוק השחור. חלק מהקונים האלה מתוחכמים להפליא. תוך דקות, הזהות שלך נגנבת, דירוג האשראי שלך זבל ו תבלה שנים והרבה כסף בניסיון להחזיר את המוניטין שלך.

על פי ה- MIT Technology Review, יצירת סיסמא חזקה באמת היא יותר משימוש באות גדולה, מספר אחד ותו מיוחד. ככל שתספק את הסיסמא שלך זמן רב יותר, וככל שתווים מיוחדים יותר היא תשתמש בה, כך יש סיכוי גבוה יותר שתגבש האקרים.

להאקרים תוכנה הפועלת ללא הפסקה ללא ניחושים באמצעות סיסמאות. במוקדם או במאוחר הם עשויים להיצמד לשלכם. עם זאת, אם הסיסמה שלך ארוכה, מורכבת ואקראית לחלוטין, אז רוב הסיכויים שההאקר ילך לחפש טרף הרבה יותר קל, שזמין בשפע.

מהו מנהל סיסמאות?

הבעיה היא שזכירת כל הסיסמאות הארוכות, המסובכות והייחודיות הללו היא משימה הרקולאית. מי יכול לשמור על כולם ישר? כאן נכנסים מנהלי סיסמאות.

כיצד מנהל הסיסמאות עובדמרבית מנהלי הסיסמאות נועדו ליצור אינספור סיסמאות חזקות ואקראיות למשתמשים בודדים. הם מאחסנים סיסמאות אלה ואז שולפים אותם כשאתה מבקר בכל אתר אינטרנט.

כמו כן, ניתן לשירותים אלה לאחסן את מספרי כרטיסי האשראי שלך, כולל קוד CVV בן שלוש ספרות מאחור, יחד עם מספר זיהוי אישי ותשובות לשאלות אבטחה שונות. כל הנתונים הללו מוצפנים בהצעה להאקרים לסכל. רבים משירותים אלה משתמשים בחשיפה, שהיא למעשה אחראי להמרת נתונים רגילים למחרוזות של מספרים או תווים באורך קבוע מראש.

בכל פעם שתרצה לבקר באתר בו תצטרך להשתמש באחת מהסיסמאות שלך, אתה נכנס ל"כספת "של נתונים ששמרת בעבר אצל מנהל הסיסמאות שלך. גישה ניתנת באמצעות סיסמה יחידה לשירות המנהל.

זה נשמע די נוח, אבל זה קריטי שלא תשים יותר מדי אמון במנהלי סיסמאות. שירותים אלה אינם כדור קסם שיגן עליך מפני כל נזק. עדיין חכם להשתמש ב- VPN כמו NordVPN עבור כל הגלישה, אימות דו-גורמי עבור חשבונות חשובים במיוחד, ומשתמשים רק במכשירים שאתה בוטח בהם.

למעשה, יתכן שתחכמי לוותר על השימוש במנהל סיסמאות בכלל.

מדוע מנהלי סיסמאות יכולים להיות מסוכנים

מנהלי סיסמאות מאחסנים את כל הנתונים הרגישים שלך באופן מקומי או בענן. בהתאם, הסיסמאות שלך נמצאות בכספת בכונן אחסון או במחשב בביתך או שהן נשמרות מרחוק על שרתי מנהל הסיסמאות..

שחקנים גדולים בתעשייה כמו דשלאן1 סיסמא ו מעבר אחרון השתמש בשרתים שלהם כדי לאחסן את המידע הפרטי שלך כברירת מחדל. זה עושה את זה יותר נוח לך לסנכרן את כל הנתונים המאוחסנים שיש לך עם כל המכשירים שלך.

פריצת סיסמאכעת, חברות אלה מבטיחות המון הבטחות לגבי אמצעי האבטחה שלהן, אך זה לא גורם לכל הצרכנים בנוח. תאר לעצמך אם כל הנתונים החשובים להפליא בשרת יחיד זה נפגעו על ידי גרזן. מכיוון ששמת את כל הביצים שלך בסל אחד, בדיוק איבדת שליטה על חייך המקוונים.

המציאות היא שמעט האקרים יכולים לעמוד בפיתוי לעבור על פני מערכות האבטחה המתקדמות. חשוב על כל הנתונים שלא יסולאו בפז שהם יכלו לאסוף באמצעות גרזן אחד בלבד. לפעמים, איחוד אינו תמרון נבון.

אם אתה באמת לא אוהב את המחשבה על אחסון בענן עבור כל הסיסמאות שלך, אולי אתה יכול לבחור במקום אחסון מקומי. דשלאן מאפשר אפשרות זו כאשר הלקוחות בוחרים להשבית את התכונה "סנכרון".

1Password מאפשרת ללקוחות לקנות רישיון תוכנה המעניק להם שליטה על מקום הכספת שלהם. KeePass מאפשר לאחסן את הנתונים שלך בכספת המוצפנת במכשיר שלך.

עם זאת, לפני שאתה קופץ עם שתי כפות הרגליים על האפשרויות הללו, שאל את עצמך עד כמה אמצעי האבטחה האלקטרוניים שלך בטוחים? האם יתכן שהאקר יוכל לעבור אותם לקחת את כל הסיסמאות שלך מהמכשיר שלך?

הפרות אבטחה שעליך לדעת עליהן

הפרות האבטחה המפורטות אינן תיאורטיות. רבים מהם קרו. לפני שתחליט אם להשתמש במנהל סיסמאות או לא הגיוני עבורך, קח בחשבון את ההפרות הללו.

ההפרה ב- OneLogin

מנהל הסיסמאות OneLogin חשף ביוני 2017 כי היא ספגה פריצה. האירוע המדווח נרחב השפיע על כל לקוחות החברה שהנתונים שלהם אוחסנו במרכז הנתונים בארה"ב.

בהודעה לעיתונות כתב OneLogin כי "מאז חסמנו את הגישה הבלתי מורשית הזו, דיווחנו על הנושא לאכיפת החוק ופועלים עם חברת אבטחה עצמאית כדי לקבוע כיצד התרחשה הגישה הבלתי מורשית."

LastPass מדווח על הפרה

גרזן נוסף של מנהל סיסמאות לשמצה למדי התרחש ב- LastPass. כך דווח באפריל 2017 והחברה תיארה זאת כבעיה "ייחודית ומתוחכמת מאוד". המשמעות היא ש- LastPass משתמש בטכניקות הצפנה מתקדמות כאלה ובאמצעי אבטחה שהמצב הוא הכל - אך לא ניתן להעלות על הדעת ולא יכול היה להתרחש שוב.

הבעיה זוהתה על ידי טאוויס אורמנדי, חוקר אבטחה עבור פרויקט אפס של גוגל. אורמנדי תיאר את הנושא כ"ארכיטקטוני "באופיו, והמשיך ואמר כי יידרש זמן משמעותי להתייחסות אליו.

בעוד LastPass פעל לתיקון הפגיעות, הם יעצו ללקוחות להשתמש אימות דו-גורמי וכדי להימנע מכל הקישורים החשודים.

עם זאת, זה לא המקרה היחיד שסבל מ- LastPass. ביוני 2015 הודיעה החברה כי השרתים שלהם חוו פריצה. LastPass דיווח כי לא נגנבו סיסמאות שמורות וכי ה- האקרים לא לקחו כתובות דוא"ל, תזכורות לסיסמאות או חשיפת אימות.

KeePass מקבל פרוצים -

הזמינות של כלי שכונה "KeeFarce" בשנת 2015 גרמה לדברים להיראות קשים עבור KeePass. למרות שכלי האקרים זה היה ממוקד ל- KeePass, זה אפשרי כי ניתן לשנות את הכלי כך שהוא ממקד לכל מנהל סיסמאות.

בעיקרו של דבר, כלי זה נועד למקד למחשבי המשתמשים, שלרוב אין להם את תכונות האבטחה החזקות בהן משתמשים מנהלי הסיסמאות. הכלי היה מסוגל לפענח את כל שמות המשתמש והסיסמאות שאחסן המשתמש ב- KeePass. כל הנתונים נכתבו אז לקובץ שההאקר יכול היה לגשת אליו.

כלי זה נועד להדגיש בעיה שיש לכל מנהלי הסיסמאות. מחשב נגוע הוא מחשב פגיע. לא משנה כמה מנהל סיסמאות טוב כשמחשב המשתמש נגוע בנגיף או בבעיה אחרת, יש צורך לפגוע בהגנה שמציע המנהל. אתה צריך להרגיע את ביטחונך אם תהיה לך תקווה ליהנות ממנהל סיסמאות.

השומר תופס באג

איתור באגיםבמאי 2018 הודיע ​​Keeper כי תיקנו באג שזוהה על ידי חוקר אבטחה. החוקרת אמרה זאת יתכן שהבאג איפשר לאנשים בלתי מורשים לגשת לנתונים הפרטיים השייכים למשתמש אחר.

הבאג הובא לאור דרך רשימת גילוי נאות לביטחון הציבור. בעיקרו של דבר, ברשימה נאמר כי כל אדם ששולט בשרת ה- API של החברה יכול תיאורטי לגשת למפתח הפענוח לכספת הסיסמאות השייכות לכל משתמש. מקור הבעיה נמצא ב- Keeper Commander, סקריפט מופעל על ידי Python המאפשר למשתמשים לסובב סיסמאות.

הבאג של Keeper בוטל מאז.

ממצאי TeamSIK

בפברואר 2017, חוקרים העובדים במכון Fraunhofer לטכנולוגיית מידע מאובטחת פרסמו את ממצאיו לאחר סקירה של תשעת מנהלי הסיסמאות הנפוצים ביותר. התוצאות היו הכל מלבד הרגעה.

צוות סיק לוגו - -החוקרים, המכונים TeamSIK, כינו את ממצאיהם "מדאיגים ביותר". הם אף טענו כי חברות אלה "מנצלות לרעה את אמון המשתמשים וחושפות אותם לסיכונים גבוהים."

מנהלי הסיסמאות שנכללו בסקירה היו 1Password, Avast Passwords, Hide Pictures Keep Safe Vault, Dashlane, F-Secure KEY, Keeper, LastPass, Informaticore Manager Password and My Passwords.

לכל מנהל בסקירה היה לפחות פגם ביטחוני אחד. החוקרים הודיעו לכל אחת מהחברות על ממצאיהן, ובמהירות טופלו בעיות. ובכל זאת, לא נראה כאילו כל חברה הייתה צריכה להבין ולתקן את הבעיות הללו מבלי להזדקק למקור חיצוני שיוכל לגרום להם לפעולה?

לאחר מכן, משתמשים עודדו להבטיח שהם טופלים ומשתמשים בגרסאות האחרונות של תוכנת מנהל הסיסמאות כך שהם קיבלו את מלוא התועלת מאמצעי האבטחה המשודרגים.

להלן כמה מהפרטים / הדוחות הספציפיים. לפרטים ספציפיים אנא פתח את כל הדוחות.

MyPasswords 

  • קרא נתונים פרטיים של אפליקציית הסיסמאות שלי
  • פענוח ראשי בסיסמה של אפליקציית הסיסמאות שלי
  • נעילת תכונות פרימיום בחינם עבור הסיסמאות שלי

מנהל סיסמאות מידע 

  • אחסון אישורי מאובטח במנהל הסיסמאות של מירסופט

מנהל הסיסמאות של LastPass 

  • מפתח מאסטר מקודד קשיח במנהל הסיסמאות של LastPass
  • פרטיות, דליפת נתונים בחיפוש דפדפני LastPass
  • קרא תאריך פרטי (מאוחסן סיסמת מאסטר) ממנהל הסיסמאות של LastPass

מנהל שומר סיסמא 

  • מנהל סיסמאות מנהל סיסמאות עקיפת שאלה
  • הזנת נתונים של מנהל שומר סיסמאות ללא סיסמת אב

מנהל סיסמאות F-Secure KEY 

  • אחסון אישורי מאובטח של F-Secure KEY KEY

מנהל הסיסמאות של דשלאן 

  • קרא נתונים פרטיים מתיקיית אפליקציות במנהל הסיסמאות של דשלאן
  • דליפת מידע על חיפוש בגוגל בדפדפן מנהל הסיסמאות של דשליין
  • התקפת שאריות חילוץ סיסמת מאסטר ממנהל סיסמאות דשלאן
  • דליפת סיסמא של תת-דומיין בדפדפן מנהל הסיסמאות הפנימי של דשליין

הסתר תמונות שמור על כספת 

  • SKeepsafe אחסון סיסמא רגיל

סיסמאות אווסט 

  • גניבת סיסמא לאפליקציה ממנהל סיסמאות Avast
  • גניבת סיסמא מאת אתר מזויף ממנהל סיסמאות Avast
  • כתובות ברירת מחדל לא בטוחות עבור אתרים פופולריים במנהל סיסמאות Avast
  • דליפת סיסמא של תת-דומיין במנהל סיסמאות Avast
  • יישום תקשורת מאובטח שבור במנהל סיסמאות Avast
  • כתובות אתרים פנימיות לבדיקה במנהל הסיסמאות של Avast

1 סיסמא - מנהל סיסמאות 

  • דליפת סיסמא של תת-דומיין בדפדפן הפנימי של 1 סיסמא
  • Https מוריד ל- URL URL כברירת מחדל בדפדפן הפנימי 1Password
  • כותרות וכתובות אתרים שלא מוצפנות במסד נתונים 1Password
  • קרא נתונים פרטיים מתיקיית אפליקציות במנהל סיסמאות 1
  • נושא פרטיות, מידע שהודלף לספק מנהל הסיסמאות 1

סוגי הפרות אבטחה

המציאות היא שכל מנהלי הסיסמאות הגדולים עברו הפרות אבטחה חמורות בזמן זה או אחר. גם אם הם מתקנים את הבעיות בזמן שהם נחשפים, נראה כאילו תמיד תוכניות חדשות מרחוק. אלה כמה מהפרות האבטחה אליהם מנהלי סיסמאות חשופים.

דיוג - רוב האנשים שמעו על תוכניות דיוג. הם כוללים דוא"ל או הודעת טקסט שנשלחים כביכול על ידי גורם או אדם בעל מוניטין. המטרה היא לגרום לקורבן ללא חשד לחשוף נתונים רגישים כמו מספרי חשבון בנק, מספרי כרטיסי אשראי ומספרי ביטוח לאומי לצורך הונאת הנמען.

זרימת התקפת דיוג

הדיוג שימש להונאת לקוחות מנהל הסיסמאות. בתכנית זו, הלקוחות מתבקשים להיכנס לאתר בגלל הפג תוקף. כאשר הם עושים זאת, אתר דיוג דומה לבלבול הוא למעשה המקום בו הם מכניסים את הנתונים הפרטיים שלהם. המשתמש פשוט הציע ברצון את הסיסמה הסודית שלו להאקר.

זיוף בקשר חוצה-אתרים - תכונה זו מכונה לעתים קרובות CSRF, תכנית זו גורמת לאנשים לנקוט בפעולות לא מכוונות באופן מקוון. זה משמש למשתמשים המאומתים ביישום אינטרנט. המפלגה הגרועה שולחת לעיתים קרובות קישור באמצעות דואר אלקטרוני בכדי לגרום לקורבן להעביר כספים או לנקוט בפעולות אחרות שעלולות להזיק.

סקריפטים חוצה אתרים - הידוע בשם XSS, התקפה זו כוללת הכנסת קוד זדוני לאתרים ידועים ואמינים אחרים.

התקפות כוח אמיץ הפרת אבטחה זו כוללת תוכנה אוטומטית שמנסה שילובים שונים עד שהיא פוגעת במכרה זהב, כמו השרת של מנהל הסיסמאות שלך..

סיסמה אוטומטיתפגיעות של מילוי אוטומטי - השימוש בתכונת המילוי האוטומטי בדפדפן האינטרנט או במנהל הסיסמאות שלך מפתה מכיוון שנראה שמקל על הכל. במציאות, אתה רק מקל על פושעי הסייבר שלך ברחבי העולם. זה אפילו משמש מפרסמים.

אחסון סיסמת אב בטקסט רגיל - בהוכחה שמנהלי סיסמאות אינם בהכרח שומרי הסף הטובים ביותר של הנתונים הרגישים שלך, פרויקט מחקר אחד חשף את העובדה כי מנהלי סיסמאות אחסנו את סיסמאות האב של הלקוח בטקסט רגיל ללא קידוד כלשהו..

קוד של אפליקציה המכיל מפתחות הצפנה - בעיקרון הקוד של האפליקציה חושף מפתחות הצפנה בתוך הקוד עצמו. זהו יום שדה עבור האקרים כאשר הפגיעות הזו מתגלה.

לוח לרחרח או לחטוף - הפרה זו מאפשרת לפושעים לתפוס אישורים שהועתקו לזיכרון המחשב כך שניתן להדביק אותם בממשק להזנת סיסמה..

ליקויים מובנים בדפדפן האינטרנט - חלק ממנהלי הסיסמאות הם גם דפדפנים שהשימוש בהם אמור לשמור על לקוחות בטוחים יותר באינטרנט. עם זאת, עם מנהל סיסמאות לא מושלם - כפי שכולן הן, האפשרות לפגמים מוכפלת.

התקפת שאריות נתונים - משתמשים שמוחקים אפליקציות מהמכשירים שלהם לא בהכרח מסירים את כל העקבות שלהם. כמה האקרים תוקפים את "המשקעים" שנשארו מאחור. רק אמצעי ביטחון מוצקים באמת מונעים פושעים.

התקפות סייבר על ידי מבפניםפריצה פנימית - אל תניח שאתה בטוח רק בגלל שאתה משתמש במחשב של החברה. פריצות מסוימות הן עבודה פנימית שמבוצעת על ידי עמית. זה נכון באותה מידה במשרדי מנהלי סיסמאות. איך אתה יודע שאתה יכול לסמוך על עובדי הספק שלך?

מידע מדליף בזיכרון החלפה - ברוב המחשבים יש זיכרון ראשי ואחסון משני. כל תהליך שהמחשב מבצע מקבל זיכרון רב כפי שהוא מבקש. תהליך פעיל מאוחסן בזיכרון הראשי. תהליכים רדומים נדחקים לאחסון משני. כאשר תהליך מסוים מתחיל לאכול טונות של זיכרון, פריטים נוספים נדחפים לאחסון משני. ביצועי המערכת מתדרדרים והפסקת תהליך הדליפה עלולה לא לומר שתהליכים שנדחפו לאחסון משני יוחלפו מייד. כל דבר שהוצב במיקור חוץ לאחסון המשני עשוי להיות פגיע להתקפה.

מה צופן העתיד?

כאמור, תשעת מנהלי הסיסמאות הידועים ביותר תיקנו מאז את כל הבעיות הללו. עם זאת, אילו בעיות אחרות אולי אורבות? חלק מהפגיעויות שנחשפו על ידי TeamSIK היו צריכות להיות די ברורות, ובכל זאת אף אחת מהחברות הללו לא הייתה מודעת להן. נדרש גורם שלישי עצמאי לחשוף את הנושאים הללו ולהביא אותם לאור. האם אתה באמת יכול לסמוך על מנהל סיסמאות עם הנתונים הרגישים ביותר שלך?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me