Чи безпечні у користуванні менеджери паролів?

Ви вже знаєте важливість використання надійних паролів та загроз, з якими ви стикаєтесь, якщо цього не зробите. Для забезпечення надійних паролів багато хто з нас використовує менеджерів паролів. Вони повинні зберігати наші дані в безпеці, але іноді все може бути помилковим почуттям безпеки. Більше того, не всі менеджери паролів пропонують однаковий рівень безпеки. Це може призвести до хакерів використовувати жорстокі напади та вкрасти вашу особу.


Чи безпечні у користуванні менеджери паролів?

Чи безпечні у користуванні менеджери паролів?

Менеджери паролів і чому вони використовуються

Менеджери паролів – це додатки, розширення браузера або інструменти, які використовуються для безпечного зберігання всіх ваших паролів. До них відносяться численні паролі, які ви створюєте на багатьох сайтах, таких як Amazon, Netflix або YouTube під час реєстрації. Так само, можливо, ви створили надійні паролі, які важко запам’ятати для своєї електронної пошти, провайдера Інтернет-послуг, телефонної компанії та інших.

Ви можете зберегти всі ці паролі в додатку та заблокувати їх, створивши інший пароль. По суті, для доступу до всіх ваших даних для входу вам потрібен лише один. Це пароль, який ви маєте для менеджера паролів. Відкрийте додаток, виберіть пароль послуги, яку ви хочете використовувати, скопіюйте та вставте його. Деякі менеджери паролів пропонують додаткову безпеку з такими параметрами, як двофакторна автентифікація. Деякі пропонують легкий доступ до форм автоматичного заповнення, коли вони автоматично вводяться в поля входу служби чи веб-сайту.

Проблеми з менеджерами паролів

Хоча це правда, що програми, що керують паролем, виявляють більше зручності для доступу до мережі, ви не можете ігнорувати загрози, які вони представляють. Особливо, коли ви використовуєте розширення для веб-переглядача, доступне в додатку менеджера паролів, загроз величезна. Відвідування веб-сайту, який може заразити ваш пристрій шкідливим програмним забезпеченням, робить ваші дані вразливими до ряду атак, таких як XSS (міжсайтовий сценарій) або CSRF (підробка між запитами на міжсайтовий сайт).

Справа в тому, що стосується попереднього подвигу безпеки LastPass, де вразливий веб-сайт, ймовірно, був введений за допомогою шпигунського сценарію. Це може перевірити ваш браузер на вказане розширення, якщо ввімкнути його під час відвідування сайту. На сторінці відображатиметься ідентичне повідомлення про LastPass, яке повідомляє, що ваш сеанс закінчився і вам потрібно знову увійти. Якщо ви натиснете на відображене посилання, це переведе вас на фішинг-сайт, схожий на сторінку входу в LastPass.

Коли ви входите в систему, шкідливий сайт перевіряє API LastPass і підтверджує ваші облікові дані. Якщо вони правильні, сайт попросить вас ввести двофакторний маркер аутентифікації. Ще раз перевіривши API LastPass, сайт негайно надсилає ваші дані на сервер хакера. Але якщо дані про вхід виявляться помилковими, скрипт на сайті завантажує повідомлення про помилку з проханням спробувати ще раз.

Інші проблеми безпеки в минулому LastPass передають хакерам повний доступ до своїх внутрішніх привілейованих команд RPC та виконують код. Хакер також може перекрити законні повідомлення та створити подібні фішинг-атаки.

Небезпечний Інтернет

Наведений вище приклад – це не єдине питання менеджерів паролів на основі браузера, що з’явилися на світ. Відповідно до мережевого світу, Keeper, 1Password і Dashlane також виникли проблеми безпеки.

Одна з попередніх вразливих ситуацій безпеки Keeper полягала в тому, що розширення вводило надійний інтерфейс користувача на недовірений сайт. Це залишило його відкритим для таких атак, як CSRF, XSS та інші. Загальна вразливість безпеки XSS зазнала компанія Dashlane, яка дозволила б сайтам нападати один на одного за допомогою подвигів XSS та компрометувати файли cookie, облікові дані та інші дані користувачів. Минулі проблеми безпеки 1Password призвели до відключення локальної моделі безпеки, віртуалізації та пісочниці серед інших функцій.

Ці питання – лише поради Айсберга

З кожним днем ​​хакери знаходять розумніші способи нападу, а фішинг-сайти стають кращими, коли їх не можна виявити. Ми бачили, що у кількох менеджерів паролів увімкнена функція автоматичного заповнення. За даними Wired, найбільша вразливість безпеки – заповнення форми для входу на веб-сторінку зі збереженими обліковими даними. Відповідно до Центру політики інформаційних технологій в Принстоні, хакери, що використовують ці давні вразливості в розширеннях веб-браузерів для менеджерів паролів, – це лише початок.

Просунуті сценарії хакерів можуть відстежувати цю функцію автоматичного заповнення та викрадати ваші дані для входу. Хоча цифри показують, що подібні напади до цього часу траплялися лише на одній тисячі сайтів, ми можемо бути впевнені, що вони лише готуються. Виявивши порушення безпеки, ви можете змінити свій пароль. Однак при цих уразливості ваші дані користувачів будуть вкрадені без вашого відома. Менеджери паролів не зможуть врятувати вас, як тільки це станеться.

Захист ваших паролів

Тож, чи не будуть веб-сайти повідомляти вас, якщо вони були взломані? Якщо це питання вам належить, ви повинні знати, що було чимало випадків, коли веб-сайти не робили нічого, щоб інформувати своїх користувачів. Навіть коли великі компанії, такі як Yahoo! і Uber мали порушення даних, користувачі не отримували повідомлення. Отже, навіть якщо ви довіряєте захищеному менеджеру паролів, розумійте, що ваші дані не можуть бути безпечними від веб-сайтів або компаній, які не мають належної безпеки на своїх сайтах.

Думка людей щодо менеджерів паролів

Є багато людей, які не згодні з тим, що адміністратори паролів захищені. Наприклад, давайте подивимося на думку Дейва, який є програмістом програмної фірми, вважає, що «Використовувати локальний менеджер паролів краще, оскільки хмарний сервіс можна легко зламати. Крім того, має сенс використовувати клієнта управління паролем, якщо вам потрібно зберегти сотні облікових даних для входу, як я, для ділових цілей “.

Однак, на думку Метта, який є бухгалтером, це також не є безпечним способом. Він каже, що любить залежати від власної пам’яті, а не довіряти якомусь пристрою, щоб зберегти свої цінні паролі. За його словами, всі пристрої є вразливими, і дані можуть бути викрадені тим, хто має фізичний доступ до ваших пристроїв.

Аналогічну точку зору висловлює студентка Розі, яка вважає: «У мене є звичка зберігати свої паролі на захищеному робочому аркуші в MS Excel. Я використовую парольну фразу понад 20 символів, яку, напевне, досить важко зламати. Я не вірю ні на хмарному, ні на локальному пристрої, ніж на власній пам’яті, щоб захистити свою найчутливішу інформацію “.  

Якщо ви використовуєте диспетчер паролів?

Тепер, коли ви знаєте про всі можливі вразливості безпеки менеджерів паролів, вам варто припинити його використання? Справа в тому, що якщо у вас більше облікових записів, краще використовувати один, оскільки ви отримаєте додатковий рівень захисту. Це набагато краще, ніж взагалі його немає; не економити їх становить значно більші ризики, ніж мати один. Але переконайтеся, що ви використовуєте захищений менеджер паролів, і він часто оновлює свою безпеку від жорстоких атак.   

У будь-якому випадку ніколи не використовуйте розширення веб-переглядача чи вбудовані програми для керування паролем, як те, що ви отримуєте з Chrome. Замість цього використовуйте будь-який варіант на робочому столі, оскільки вони забезпечують найбільшу безпеку та поворот функції автоматичного заповнення. В якості резервної копії ви також можете зберігати свої паролі на зашифрованому пристрої чи файлі.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
Adblock
detector
map