Ligtas bang Ginagamit ang Password Managers?

Alam mo na ang kahalagahan ng paggamit ng malakas na mga password at mga banta na kinakaharap mo kung hindi. Upang maipatupad ang malakas na mga password, marami sa atin ang gumagamit ng mga tagapamahala ng password. Dapat nilang panatilihing ligtas ang aming data, ngunit kung minsan ay maaaring ang lahat ay isang maling kahulugan ng seguridad. Bukod dito, hindi lahat ng mga tagapamahala ng mga password ay nag-aalok ng parehong antas ng seguridad. Ito ay maaaring humantong sa mga hacker na gumamit ng mga pag-atake ng brute na puwersa at nakawin ang iyong pagkakakilanlan.


Ligtas bang Ginagamit ang Password Managers?

Ligtas bang Ginagamit ang Mga Tagapamahala ng Password?

Mga Tagapamahala ng Password At Bakit Ginagamit ang mga Ito

Ang mga tagapamahala ng password ay mga app, extension ng browser o mga tool na ginagamit upang ligtas na maiimbak ang lahat ng iyong mga password. Kasama dito ang maraming mga password na nilikha mo sa maraming mga site tulad ng Amazon, Netflix, o YouTube kapag nag-sign up ka. Gayundin, maaari kang lumikha ng malakas na mga password na mahirap tandaan para sa iyong email, ISP, kumpanya ng iyong telepono, at iba pa.

Maaari mong i-save ang lahat ng mga password sa app at i-lock ito sa pamamagitan ng paglikha ng ibang password. Karaniwan, upang ma-access ang lahat ng iyong mga kredensyal sa pag-login, kailangan mo lamang ang isa. Iyon ang password na mayroon ka para sa tagapamahala ng password. Buksan ang app, piliin ang password ng serbisyo na nais mong gamitin, kopyahin at i-paste ito. Ang ilang mga tagapamahala ng password ay nag-aalok ng karagdagang seguridad sa mga pagpipilian tulad ng dalawang-factor na pagpapatunay. Ang ilan ay nag-aalok ng kadalian ng pag-access sa mga form ng auto-fill kung saan awtomatikong ito ay pumapasok sa mga patlang sa pag-login ng isang serbisyo o website.

Mga Isyu Sa Mga Tagapamahala ng Password

Habang totoo na pinatunayan ng mga pamamahala ng password ng app na magbigay sa iyo ng higit na kaginhawahan sa pag-access sa net, hindi mo maiwalang-bahala ang mga banta na kanilang ipinapakita. Lalo na kapag gumagamit ka ng isang browser extension na magagamit sa iyong password sa password ng manager, ang mga banta ay napakalaki. Ang pagbisita sa isang website na maaaring makahawa sa iyong aparato gamit ang malware ay mahina ang iyong data sa isang bilang ng mga pag-atake tulad ng XSS (Cross-Site Scripting) o CSRF (Cross-Site Hiling ng Pagpatawad).

Kaso sa punto ay isang nakaraang pagsasamantala sa seguridad ng LastPass, kung saan ang masusugatan na website ay malamang na mai-injection gamit ang isang spying script. Maaari itong suriin ang iyong browser para sa nasabing extension kung pinagana mo ito habang bumibisita sa site. Ang isang abiso na magkapareho sa ng LastPass ay ipapakita sa pahina na nagsasabi sa iyo na ang iyong session ay nag-expire at kailangan mong mag-log in muli. Kung nag-click ka sa ipinakita na link, dadalhin ka nito sa isang site sa phishing na kahawig ng pahina ng pag-login ng LastPass.

Kapag nag-log in, ang mga nakakahamak na site ay nagsusuri sa LastPass API at kinumpirma ang iyong mga kredensyal. Kung tama ang mga ito, hihilingin sa iyo ng site na ipasok ang dalawang-factor na token ng pagpapatunay. Ang pagsuri gamit ang LastPass API muli, ipinapadala ng site ang iyong mga detalye sa server ng hacker. Ngunit kung ang mga detalye ng pag-login ay nalaman na mali, ang script sa site ay mag-load ng isang mensahe ng error, na humiling sa iyo na subukang muli.

Iba pang mga nakaraang isyu sa seguridad ng HulingPass ay naghahatid sa mga hacker kumpletong pag-access sa panloob na pribilehiyong mga utos ng RPC at isagawa ang code. Ang hacker ay maaari ring mag-override ng mga lehitimong mensahe at lumikha ng mga katulad na pag-atake sa phishing.

Ang Insecure Internet

Ang halimbawa sa itaas ay hindi lamang ang isyu ng mga tagapamahala ng password na nakabatay sa browser na maliwanag. Tulad ng bawat Network World, Tagabantay, 1Password, at Dashlane nakaranas din ng mga isyu sa seguridad.

Isang nakaraan ang kahinaan ng seguridad ng Tagabantay ay na ang extension ay na-injected ang pinagkakatiwalaang UI sa isang hindi pinagkakatiwalaang site. Ito ay iniwan itong bukas sa mga pag-atake tulad ng CSRF, XSS, at iba pa. Ang isang unibersal na kahinaan sa seguridad ng XSS ay naranasan ng Dashlane, na hahayaan ang pag-atake ng mga site sa isa’t isa sa mga pagsamantala sa XSS at kompromiso ang mga cookies, mga kredensyal sa pag-login at iba pang data ng gumagamit. Ang mga nakaraang problema sa seguridad ng 1Password ay humantong sa pag-disable ng lokal na modelo ng seguridad, virtualization, at sandboxing kasama ng iba pang mga tampok.

Ang Mga Isyong Ito ay Mga Tip lamang Ng Iceberg

Sa bawat araw, ang mga hacker ay nakakahanap ng mas matalinong mga paraan upang ma-atake at ang mga phishing site ay nakakakuha ng mas mahusay sa pagiging hindi malilimutan. Nakita namin na maraming mga tagapamahala ng password ang pinagana ang tampok na auto-fill. Ayon sa Wired, ang pag-populasyon sa form ng pag-login sa isang web page kasama ang iyong nai-save na mga kredensyal ay ang pinakamalaking kahinaan sa seguridad. Tulad ng bawat Center for Information Technology Policy sa Princeton, ang mga hacker na sinasamantala ang mga matagal nang kahinaan sa mga extension ng web browser sa mga tagapamahala ng password ay simula pa lamang..

Ang mga advanced na script ng mga hacker ay maaaring subaybayan ang tampok na auto-punan at nakawin ang iyong mga kredensyal sa pag-login. Habang ipinapakita ng mga numero na ang nasabing pag-atake ay nangyari sa isang libong mga site na hanggang ngayon, makatitiyak tayo na nakakabit lamang sila. Kapag nakita mo ang isang paglabag sa seguridad, maaari mong baguhin ang iyong password. Gayunpaman, sa mga kahinaan na ito, ang mga detalye ng iyong gumagamit ay magnanakaw nang walang iyong kaalaman. Hindi mai-save ka ng mga tagapamahala ng password sa sandaling mangyari ito.

Pagprotekta sa Iyong Mga Password

Kaya, hindi ba bibigyan ka ng mga website kung ikaw ay na-hack? Kung ang tanong na ito ay nasa isip mo, dapat mong malaman na maraming mga pagkakataon kung saan ang mga website ay walang ginawa upang ipaalam sa kanilang mga gumagamit. Kahit na ang mga pangunahing kumpanya tulad ng Yahoo! at ang Uber ay may paglabag sa data, hindi na-notify ang mga gumagamit. Samakatuwid, kahit na pinagkakatiwalaan mo ang isang secure na tagapamahala ng password, maunawaan na ang iyong data ay hindi maaaring ligtas mula sa mga website o kumpanya na walang tamang seguridad sa kanilang mga site.

Opinyon ng mga Tao sa Mga Tagapamahala ng Password

Maraming mga tao na hindi sumasang-ayon na ang mga tagapamahala ng password ay ligtas. Halimbawa, tingnan natin ang opinyon ni Dave, na isang programmer sa isang firm ng software, ay naniniwala na “Ang paggamit ng isang lokal na tagapamahala ng password ay mas mahusay na bilang isang serbisyo na batay sa ulap ay maaaring mai-hack nang madali. Gayundin, makatuwiran na gumamit ng client management management kung kailangan mong makatipid ng daan-daang mga kredensyal sa pag-login, tulad ko, para sa mga layunin ng negosyo. “

Gayunpaman, hindi rin ito isang ligtas na paraan, ayon kay Matt, na isang accountant. Sinabi niya na gusto niyang umasa sa kanyang sariling memorya, sa halip na magtiwala sa ilang aparato upang mai-save ang kanyang mahalagang mga password. Ayon sa kanya, ang lahat ng mga aparato ay mahina at ang data ay maaaring ninakaw ng isang tao na mayroong pisikal na pag-access sa iyong mga aparato.

Ang isang katulad na pananaw ay ipinahayag ni Rosie, isang mag-aaral, na naniniwala, “Mayroon akong ugali na nai-save ang aking mga password sa isang protekturang worksheet sa MS Excel. Gumagamit ako ng isang passphrase na higit sa 20 mga character, na sigurado akong medyo mahirap i-crack. Hindi ako nagtitiwala sa alinman sa imbakan na batay sa ulap o lokal na aparato kaysa sa aking sariling memorya upang mai-secure ang aking pinaka-sensitibong impormasyon. ”  

Dapat Ka Bang Gumamit ng isang Tagapamahala ng Password?

Ngayon na alam mo ang tungkol sa lahat ng posibleng mga kahinaan sa seguridad ng mga tagapamahala ng password, dapat mong ihinto ang paggamit ng isa? Ang katotohanan ay kung mayroon kang maraming bilang ng mga account, mas mahusay na gumamit ng isa dahil nakakakuha ka ng dagdag na layer ng seguridad. Ito ay mas mahusay kaysa sa pagkakaroon ng wala; ang hindi pag-save ng mga ito ay nagdudulot ng mas malaking panganib kaysa sa pagkakaroon ng isa. Ngunit siguraduhin, gumamit ka ng isang secure na tagapamahala ng password at madalas na ini-update ang seguridad nito laban sa mga pag-atake ng brute force.   

Alinmang paraan, huwag gumamit ng mga extension ng browser o built-in na browser app para sa pamamahala ng password, tulad ng nakukuha mo sa Chrome. Sa halip na, gumamit ng anumang pagpipilian na batay sa desktop habang inaalok nila ang pinaka-seguridad at pagliko ng tampok na auto-punan. Bilang isang backup, maaari mo ring i-save ang iyong mga password sa isang naka-encrypt na aparato o file.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me