Apakah Pelindung Kata Sandi Aman? Daftar Setiap Pelanggaran Besar

Jika Anda menghabiskan waktu di Internet (dan siapa yang tidak hari ini?), Maka Anda mungkin memiliki banyak kata sandi.


Anda memerlukan kata sandi setiap kali Anda masuk ke akun media sosial Anda, memeriksa saldo akun perbankan Anda atau memesan sesuatu dari Amazon. Jika Anda termasuk dalam forum, jalankan situs web atau bahkan hanya menulis blog, maka Anda memiliki lebih banyak kata sandi.

kebutuhan kata sandiSangat menggoda untuk menggunakan kata sandi yang sama untuk setiap situs web ini. Setelah semua, Anda mungkin perlu masuk ke puluhan, jika tidak ratusan, situs web selama tahun yang normal. Jika Anda memiliki kata sandi yang kuat dan unik untuk masing-masing situs web ini, bagaimana mungkin Anda bisa mengingat semuanya?

Sayangnya, terlalu banyak orang mengambil jalan keluar yang mudah. Mereka menggunakan kata sandi yang cukup jelas, katakan “Kata Sandi123,”Misalnya, dan kemudian menggunakannya untuk semua aktivitas online mereka. Mengapa ini ide yang mengerikan? Karena jika seorang hacker berhasil mendapatkan kata sandi Anda bahkan pada satu akun, maka mereka memiliki kata sandi Anda untuk semua akun Anda.

Mungkin Anda tidak menganggap itu masalah besar jika beberapa pihak jahat dapat masuk ke profil Facebook Anda, meskipun mereka dapat mendatangkan malapetaka jika itu terjadi. Namun, jika kata sandi itu memberi mereka akses ke informasi perbankan Anda, nomor kartu kredit Anda, Nomor Keamanan Sosial atau apa pun, maka Anda pasti akan peduli.

Mengapa Kata Sandi Yang Kuat Sangat Penting

Dalam beberapa tahun terakhir, banyak situs web mulai melembagakan persyaratan untuk kata sandi yang semakin panjang dan kompleks. Sangat merepotkan bagi pengguna untuk mengingat dan mengingat kata sandi ini, tetapi ada alasan bagus untuk melakukannya.

kata sandi yang kuatSemakin rumit dan acak kata sandi Anda, semakin sulit untuk dibedakan oleh peretas. Sekarang, bayangkan Anda memiliki puluhan kata sandi ini, satu untuk setiap situs web yang sering Anda kunjungi. Para peretas itu tidak akan mencapai sejauh ketika mereka harus menemukan rantai 12 huruf atau lebih yang acak, atau karakter khusus. Masalahnya hanya bisa dikalikan dengan penggunaan kata sandi unik Anda di setiap akun online Anda.

Jenis kata sandi ini sangat penting untuk keamanan online Anda. Setelah satu peretas menemukan kata sandi Anda yang terlalu sederhana, mereka dapat menggunakannya sendiri atau menjualnya dengan harga mahal di pasar gelap. Beberapa pembeli ini sangat canggih. Dalam beberapa menit, identitas Anda dicuri, peringkat kredit Anda dibuang dan Anda akan menghabiskan bertahun-tahun dan banyak uang untuk mendapatkan kembali reputasi Anda.

Menurut Tinjauan Teknologi MIT, membuat kata sandi yang benar-benar kuat lebih dari menggunakan satu huruf besar, satu angka dan satu karakter khusus. Semakin lama Anda membuat kata sandi, dan semakin banyak karakter khusus yang digunakan, semakin besar kemungkinan Anda untuk mengacaukan peretas.

Peretas memiliki peranti lunak yang secara terus-menerus dan tanpa lelah berjalan melalui kata sandi "tebakan." Cepat atau lambat, mereka mungkin menempel pada Anda. Namun, jika kata sandi Anda panjang, rumit dan benar-benar acak, maka kemungkinan bagus bahwa peretas akan mencari mangsa yang lebih mudah, yang tersedia berlimpah.

Apa itu Pengelola Kata Sandi?

Masalahnya adalah mengingat semua kata sandi yang sangat panjang, rumit, dan unik ini adalah tugas yang sangat besar. Siapa yang bisa menjaga semuanya tetap lurus? Di situlah pengelola kata sandi masuk.

cara kerja pengelola kata sandiSebagian besar pengelola kata sandi dirancang untuk menghasilkan kata sandi acak kuat dan tak terhitung jumlahnya untuk setiap pengguna. Mereka menyimpan kata sandi ini, dan kemudian mengambilnya saat Anda mengunjungi setiap situs web.

Layanan ini juga memungkinkan untuk menyimpan nomor kartu kredit Anda, termasuk kode CVV tiga digit di bagian belakang, bersama dengan PIN dan jawaban Anda untuk berbagai pertanyaan keamanan. Semua data ini dienkripsi dalam upaya untuk menggagalkan peretas. Banyak dari layanan ini menggunakan hashing, yang intinya adalah bertanggung jawab atas konversi data biasa menjadi string angka atau karakter dengan panjang yang telah ditentukan.

Setiap kali Anda ingin mengunjungi situs web di mana Anda perlu menggunakan salah satu kata sandi Anda, Anda masuk ke "lemari besi" data yang sebelumnya Anda simpan dengan manajer kata sandi Anda. Akses diberikan melalui satu kata sandi untuk layanan manajer.

Kedengarannya cukup nyaman, tetapi sangat penting bahwa Anda tidak menaruh terlalu banyak kepercayaan pada pengelola kata sandi. Layanan ini bukan peluru ajaib yang akan melindungi Anda dari semua bahaya. Masih bijaksana untuk menggunakan VPN seperti NordVPN untuk semua penjelajahan, otentikasi dua faktor untuk akun tertentu yang sangat berharga dan hanya menggunakan perangkat yang Anda percayai.

Bahkan, Anda mungkin bijaksana untuk tidak menggunakan pengelola kata sandi sama sekali.

Mengapa Pengelola Kata Sandi Dapat Berisiko

Pengelola kata sandi menyimpan semua data sensitif Anda baik secara lokal maupun di cloud. Karenanya, kata sandi Anda berada di lemari besi di drive penyimpanan atau komputer di rumah Anda atau disimpan di server pengelola kata sandi dari jarak jauh.

Pemain-pemain besar di industri ini Suka Dashlane1 kata sandi dan LastPass gunakan server mereka untuk menyimpan informasi pribadi Anda secara default. Ini membuatnya lebih nyaman bagi Anda untuk menyinkronkan data yang tersimpan yang mungkin Anda miliki dengan semua perangkat Anda.

peretasan kata sandiSekarang, perusahaan-perusahaan ini membuat banyak janji tentang langkah-langkah keamanan mereka, tetapi itu tidak membuat semua konsumen nyaman. Bayangkan saja jika semua data yang sangat berharga di server tunggal itu dikompromikan oleh peretasan. Karena Anda telah meletakkan semua telur dalam satu keranjang, Anda baru saja kehilangan kendali atas kehidupan daring Anda.

Kenyataannya adalah bahwa beberapa peretas dapat menahan godaan untuk melewati sistem keamanan canggih. Pikirkan semua data berharga yang bisa mereka kumpulkan hanya dengan satu retasan. Terkadang, konsolidasi bukanlah suatu manuver yang bijak.

Jika Anda benar-benar tidak menyukai pemikiran penyimpanan cloud untuk semua kata sandi Anda, maka mungkin Anda bisa memilih penyimpanan lokal saja. Dashlane memungkinkan hal ini ketika pelanggan memilih untuk menonaktifkan fitur "Sinkronisasi".

1Password memungkinkan pelanggan membeli lisensi perangkat lunak yang memberi mereka kendali atas tempat penyimpanannya. KeePass memungkinkan untuk menyimpan data Anda dalam lemari besi yang dienkripsi di perangkat Anda sendiri.

Namun, sebelum Anda melompat dengan kedua kaki pada opsi ini, tanyakan pada diri sendiri seberapa aman langkah-langkah keamanan elektronik Anda? Mungkinkah peretas dapat melewatinya untuk mengambil semua kata sandi Anda dari perangkat Anda sendiri?

Pelanggaran Keamanan yang Perlu Anda Ketahui

Pelanggaran keamanan yang tercantum tidak teoritis. Banyak dari mereka telah terjadi. Sebelum Anda memutuskan apakah menggunakan pengelola kata sandi masuk akal atau tidak bagi Anda, pertimbangkan pelanggaran ini.

Pelanggaran di OneLogin

Pengelola kata sandi OneLogin mengungkapkan pada bulan Juni 2017 bahwa ia mengalami peretasan. Insiden yang dilaporkan secara luas memengaruhi semua pelanggan perusahaan yang datanya disimpan di pusat data A.S..

Dalam siaran pers, OneLogin menulis bahwa, "Kami telah memblokir akses yang tidak sah ini, melaporkan masalah ini kepada penegak hukum, dan bekerja dengan perusahaan keamanan independen untuk menentukan bagaimana akses tidak sah terjadi."

LastPass Melaporkan Pelanggaran

Peretasan pengelola kata sandi yang agak terkenal terjadi di LastPass. Ini dilaporkan pada April 2017, dan perusahaan menggambarkannya sebagai masalah "unik dan sangat canggih". Implikasinya adalah bahwa LastPass menggunakan teknik-teknik enkripsi dan langkah-langkah keamanan yang sedemikian canggih sehingga situasinya tidak terpikirkan dan tidak mungkin terjadi lagi..

Masalahnya diidentifikasi oleh Tavis Ormandy, seorang peneliti keamanan untuk Project Zero Google. Ormandy menggambarkan masalah ini sebagai "arsitektur" di alam, selanjutnya mengatakan bahwa itu akan membutuhkan waktu yang signifikan untuk mengatasinya.

Sementara LastPass bekerja untuk memperbaiki kerentanan, mereka menyarankan klien untuk menggunakannya otentikasi dua faktor dan untuk menghindari semua tautan yang mencurigakan.

Namun, ini bukan satu-satunya kejadian yang diderita LastPass. Pada Juni 2015, perusahaan mengumumkan bahwa server mereka telah mengalami gangguan. LastPass melaporkan bahwa tidak ada kata sandi tersimpan yang dicuri dan bahwa peretas tidak mengambil alamat email, pengingat kata sandi atau hash otentikasi.

KeePass Akan Diretas - Sortir Dari

Ketersediaan alat yang dijuluki "KeeFarce" pada 2015 membuat segalanya tampak tidak pasti untuk KeePass. Meskipun alat hacker ini ditargetkan untuk KeePass, layak bahwa alat dapat dimodifikasi untuk menargetkan pengelola kata sandi apa pun.

Pada dasarnya, alat ini dirancang untuk menargetkan komputer pengguna, yang umumnya tidak memiliki fitur keamanan yang kuat yang digunakan pengelola kata sandi. Alat ini mampu mendekripsi semua nama pengguna dan kata sandi yang telah disimpan pengguna dengan KeePass. Semua data kemudian ditulis ke file yang dapat diakses oleh peretas.

Alat ini dirancang untuk menyoroti masalah yang dimiliki semua pengelola kata sandi. Komputer yang terinfeksi adalah komputer yang rentan. Tidak peduli seberapa bagus manajer kata sandi ketika komputer pengguna terinfeksi virus atau masalah lain, perlindungan yang ditawarkan oleh manajer pasti akan terganggu. Anda harus meningkatkan keamanan Anda sendiri jika ingin memiliki harapan mendapat manfaat dari pengelola kata sandi.

Keeper Catches a Bug

deteksi bugPada Mei 2018, Keeper mengumumkan bahwa mereka telah memperbaiki bug yang diidentifikasi oleh peneliti keamanan. Peneliti mengatakan itu bug mungkin memungkinkan orang yang tidak berwenang untuk mengakses data pribadi milik pengguna lain.

Bug ini terungkap melalui daftar pengungkapan untuk keamanan publik. Pada dasarnya, daftar itu mengatakan bahwa setiap orang yang mengendalikan server API perusahaan secara teoritis dapat mengakses kunci dekripsi ke brankas kata sandi milik pengguna mana pun. Sumber masalahnya ada pada Keeper Commander, sebuah skrip yang didukung oleh Python yang memungkinkan pengguna untuk memutar kata sandi.

Bug Keeper telah dieliminasi.

Temuan TeamSIK

Pada bulan Februari 2017, para peneliti yang bekerja di Institut Fraunhofer untuk Teknologi Informasi Aman mengumumkan kepada publik temuan mereka setelah meninjau sembilan manajer kata sandi yang paling sering digunakan. Hasilnya sama sekali tidak meyakinkan.

logo tim sikPara peneliti, yang dikenal sebagai TeamSIK, menyebut temuan mereka "sangat mengkhawatirkan." Mereka bahkan menyatakan bahwa perusahaan-perusahaan ini "menyalahgunakan kepercayaan pengguna dan membuat mereka berisiko tinggi."

Pengelola kata sandi yang dimasukkan dalam ulasan adalah 1 Kata Sandi, Kata Sandi Avast, Sembunyikan Gambar Simpan Brankas Aman, Dashlane, KUNCI F-Secure, Penjaga, LastPass, Informaticore Pengelola Kata Sandi dan Kata Sandi Saya.

Setiap manajer dalam ulasan memiliki setidaknya satu kelemahan keamanan. Para peneliti memberi tahu masing-masing perusahaan tentang temuan mereka, dan masalah dengan cepat ditangani. Namun, tidakkah masing-masing perusahaan seharusnya menyadari dan memperbaiki masalah ini tanpa membutuhkan sumber luar untuk membujuk mereka agar mengambil tindakan.?

Setelahnya, pengguna didorong untuk memastikan bahwa mereka ditambal dan menggunakan versi terbaru dari perangkat lunak pengelola kata sandi sehingga mereka mendapatkan manfaat penuh dari langkah-langkah keamanan yang ditingkatkan.

Berikut adalah beberapa detail / laporan spesifik. Untuk detail spesifik, harap buka setiap laporan.

MyPasswords 

  • Baca Data Pribadi dari Aplikasi Kata Sandi Saya
  • Dekripsi Kata Sandi Utama dari Aplikasi Kata Sandi Saya
  • Fitur Premium Gratis Buka untuk Kata Sandi Saya

Informaticore Password Manager 

  • Penyimpanan Kredensial Tidak Aman di Mirsoft Password Manager

Pengelola Kata Sandi LastPass 

  • Hardcoded Master Key di LastPass Password Manager
  • Privasi, kebocoran data dalam Pencarian Browser LastPass
  • Baca Tanggal Pribadi (Masterpassword Tersimpan) dari LastPass Password Manager

Keeper Passwort-Manager 

  • Bypass Pertanyaan Keamanan Keeper Password Manager
  • Injeksi Data Keeper Password Manager tanpa Master Password

F-Secure KEY Password Manager 

  • F-Secure KEY Password Manager Penyimpanan Kredensial Tidak Aman

Dashlane Password Manager 

  • Baca Data Pribadi Dari Folder Aplikasi di Dashlane Password Manager
  • Kebocoran Informasi Pencarian Google di Dashlane Password Manager Browser
  • Residue Attack Mengekstrak Masterpassword Dari Dashlane Password Manager
  • Kebocoran Kata Sandi Subdomain di Browser Dashlan Internal Password Manager

Sembunyikan Gambar Keep Vault Aman 

  • Penyimpanan Kata Sandi Plaintext SKeepsafe

Kata Sandi Avast 

  • Pencurian Kata Sandi Aplikasi dari Avast Password Manager
  • Pencurian Kata Sandi oleh Situs Spoofed dari Avast Password Manager
  • URL Default Tidak Aman untuk Situs Populer di Avast Password Manager
  • Kebocoran Kata Sandi Subdomain di Avast Password Manager
  • Implementasi Komunikasi Aman Rusak di Avast Password Manager
  • URL Pengujian Internal di Avast Password Manager

1 Kata sandi - Pengelola Kata Sandi 

  • Kebocoran Kata Sandi Subdomain di 1Password Internal Browser
  • Https downgrade ke URL http secara default di 1Password Internal Browser
  • Judul dan URL Tidak Dienkripsi dalam Database 1Password
  • Baca Data Pribadi Dari Folder Aplikasi di 1Password Manager
  • Masalah Privasi, Informasi yang Bocor ke Vendor 1Password Manager

Jenis Pelanggaran Keamanan

Kenyataannya adalah bahwa semua manajer kata sandi utama telah mengalami pelanggaran keamanan yang serius pada satu waktu atau yang lain. Bahkan jika mereka memperbaiki masalah saat mereka ditemukan, sepertinya skema baru selalu terjadi. Ini adalah beberapa pelanggaran keamanan yang rentan terhadap pengelola kata sandi.

Pengelabuan - Kebanyakan orang telah mendengar tentang skema phishing. Mereka melibatkan email atau pesan teks yang konon dikirim oleh entitas atau individu yang memiliki reputasi baik. Tujuannya adalah untuk mendapatkan korban yang tidak curiga untuk mengungkapkan data sensitif seperti nomor rekening bank, nomor kartu kredit dan Nomor Jaminan Sosial untuk tujuan menipu penerima..

aliran serangan phishing

Phishing telah digunakan untuk menipu pelanggan pengelola kata sandi. Dalam skema ini, pelanggan diminta untuk masuk ke situs web karena sesi kedaluwarsa. Ketika mereka melakukannya, situs web phishing yang membingungkan serupa sebenarnya di mana mereka memasukkan data pribadi mereka. Pengguna baru saja dengan sukarela menyerahkan kata sandi rahasia mereka kepada seorang hacker.

Pemalsuan Permintaan Lintas Situs - Sering disebut sebagai CSRF, skema ini menipu orang untuk mengambil tindakan yang tidak diinginkan secara online. Ini digunakan pada pengguna yang diautentikasi dalam aplikasi web. Pihak jahat sering mengirimkan tautan melalui email untuk membujuk korban untuk mentransfer dana atau mengambil tindakan berbahaya lainnya.

Script Lintas Situs - Dikenal sebagai XSS, serangan ini melibatkan pengenalan kode berbahaya ke situs web yang dikenal dan tepercaya.

Serangan Brute-Force - Pelanggaran keamanan ini melibatkan perangkat lunak otomatis yang mencoba berbagai kombinasi hingga mencapai tambang emas data, seperti server pengelola kata sandi Anda.

kata sandi autofilKerentanan Fitur Isi Otomatis - Menggunakan fitur isi-otomatis di browser web atau pengelola kata sandi Anda tergoda karena sepertinya membuat semuanya jadi lebih mudah. Pada kenyataannya, Anda hanya membuat segalanya menjadi lebih mudah bagi penjahat cyber Anda di seluruh dunia. Bahkan digunakan oleh pengiklan.

Menyimpan Kata Sandi Utama dalam Teks Biasa - Membuktikan bahwa pengelola kata sandi tidak selalu menjadi penjaga gerbang terbaik dari data sensitif Anda, satu proyek penelitian mengungkap fakta bahwa beberapa pengelola kata sandi menyimpan kata sandi utama pelanggan dalam teks biasa tanpa enkripsi apa pun..

Kode Enkripsi yang Mengandung Kunci Enkripsi Aplikasi - Intinya, kode aplikasi itu sendiri memaparkan kunci enkripsi dalam kode itu sendiri. Ini adalah hari lapangan bagi peretas ketika kerentanan ini ditemukan.

Clipboard Sniffing atau Hijacking - Pelanggaran ini memungkinkan penjahat untuk mengambil kredensial yang telah disalin ke dalam memori PC sehingga mereka dapat disisipkan ke antarmuka untuk entri kata sandi.

Bawaan Peramban Web Bawaan - Beberapa pengelola kata sandi juga adalah peramban, yang penggunaannya diharapkan membuat pelanggan lebih aman saat online. Namun, dengan pengelola kata sandi yang tidak sempurna — semuanya, kemungkinan kesalahannya berlipat ganda.

Serangan Residu Data - Pengguna yang menghapus aplikasi dari perangkat mereka tidak serta merta menghapus semua jejaknya. Beberapa peretas menyerang "residu" yang tertinggal. Hanya langkah-langkah keamanan yang benar-benar solid yang benar-benar mencegah penjahat.

serangan cyber oleh orang dalamPeretasan Orang Dalam - Jangan berasumsi bahwa Anda aman hanya karena Anda menggunakan komputer perusahaan. Beberapa peretasan adalah pekerjaan orang dalam yang dilakukan oleh seorang rekan kerja. Itu juga berlaku di kantor pengelola kata sandi. Bagaimana Anda tahu Anda bisa mempercayai karyawan penyedia Anda?

Informasi Bocor Melalui Memori Tukar - Sebagian besar komputer memiliki memori utama dan penyimpanan sekunder. Setiap proses yang dilakukan komputer mendapat memori sebanyak yang diminta. Proses aktif disimpan dalam memori utama. Proses tidak aktif didorong ke penyimpanan sekunder. Ketika proses tertentu mulai memakan banyak memori, lebih banyak item didorong ke penyimpanan sekunder. Kinerja sistem memburuk, dan menghentikan proses kebocoran mungkin tidak berarti bahwa proses yang didorong ke penyimpanan sekunder segera diganti. Apa pun yang telah di-outsource ke penyimpanan sekunder mungkin rentan terhadap serangan.

Apa yang ada di masa depan?

Seperti dicatat, sembilan pengelola kata sandi paling terkenal sejak itu telah memperbaiki semua masalah ini. Namun, masalah apa lagi yang mungkin mengintai? Beberapa kerentanan yang ditemukan oleh TeamSIK seharusnya sudah cukup jelas, namun tidak ada perusahaan yang menyadarinya. Butuh pihak ketiga yang independen untuk mengungkap masalah ini dan membawanya ke cahaya. Bisakah Anda benar-benar mempercayai pengelola kata sandi dengan data Anda yang paling sensitif?

David Gewirtz Administrator
Sorry! The Author has not filled his profile.
follow me