Váš správce hesel nemusí být tak bezpečný, jak si myslíte – zde je důvod

July 29, 2023
VZprávy Internetová Bezpečnost

Software pro správu hesel LastPass ohlásil dvě porušení zabezpečení během tří měsíců.
Odborníci říkají, že je třeba volit software pro správu hesel moudře.
Měli byste také udržovat svůj software aktuální, abyste odrazili hackery.

Ruce na klávesnici notebooku překryté grafikou uživatelského jména a hesla. — Sakorn Sukkasemsakorn / Getty Images

Tvůrci správců hesel propagují svůj software jako bezpečný způsob uložení klíčů k vašemu digitálnímu životu, ale nedávné incidenty tato tvrzení zpochybňují.

CEO LastPass Karim Toubba odhalil, že správce hesel byl prolomeno podruhé. Společnost uvedla, že osobní údaje byly zveřejněny, ale hesla zákazníků zůstala v bezpečí. Tento incident je připomínkou, říkají někteří experti, že byste měli s heslem přijmout zvláštní opatření.

„Možná největší zranitelností pro uživatele je to, že slabé hlavní heslo může ohrozit všechny ostatní hesla: proto je důležité, aby uživatelé zvolili velmi silné hlavní heslo a toto hlavní heslo potvrdili do paměti," Brian Robert Callahan, postgraduální ředitel programu informační technologie a webové služby na

Rensselaer Polytechnic Institute, řekl Lifewire v e-mailovém rozhovoru. "Tímto způsobem se pokusy o zadání hlavního hesla hrubou silou stanou neproveditelnými nebo nemožnými."

LastPass hacknutý?

LastPass nemusí po nedávném bezpečnostním incidentu dostát svému jménu. Společnost uvedla, že zjistila neobvyklou aktivitu v rámci služby cloudového úložiště třetí strany sdílené společností LastPass a její přidruženou společností GoTo. LastPass varoval před a podobný incident v září.

Ruce, psaní na klávesnici notebooku s přihlašovací obrazovkou zobrazenou na obrazovce. — fizkes / Getty Images

„Na základě informací získaných při incidentu v srpnu 2022 jsme zjistili, že to byla neoprávněná strana schopni získat přístup k určitým prvkům informací našich zákazníků,“ napsal Toubba na webu společnosti. "Hesla našich zákazníků zůstávají bezpečně zašifrována díky architektuře LastPass Zero Knowledge."

Callahan řekl, že navzdory incidentu LastPass jsou správci hesel obvykle v bezpečí. Tento software je mnohem lepší volbou než opakované používání slabých hesel nebo psaní hesel na papír.

„Nabídka od všech hlavních hráčů bude zahrnovat bezpečnostní funkce, jako je šifrování vašich uložených hesel pokud se útočníkovi podaří ukrást vaši databázi hesel, stejně by nevěděl, jaká jsou vaše hesla,“ Callahan přidal. "Ačkoli žádný software není dokonalý, uživatelé by měli být povzbuzováni, aby používali správce hesel a cítili se při jejich používání bezpečně."

Callahan řekl, že správci hesel byli v minulosti napadeni. Jedním z problémů je nedostatečné „čištění tajemství“, například když správce hesel zobrazí jedno ze svých uložených hesel, pak heslo zůstane v systémové paměti a je zranitelné vůči hackerům.

Vyhledejte správce hesel s architekturou zabezpečení s nulovými znalostmi a nulovou důvěrou.

"Pokud správce hesel řádně nevyčistil systémovou paměť, jakmile uživatel dokončil prohlížení heslo, útočník by měl příležitost heslo také zobrazit,“ Callahan řekl.

Největším bezpečnostním problémem u cloudových správců hesel je to, jak dodavatelé zajišťují své prostředí a kde jsou uloženy šifrovací klíče pro trezor hesel uživatele, Paul Kincaid, odborník na kybernetickou bezpečnost ve společnosti SecureAuth, společnost, která se zabývá správou přístupu a ověřováním, upozornil v e-mailu.

„Někteří prodejci říkají, že mají „nulové znalosti“ o dešifrovacím klíči, a proto, pokud prodejce prostředí je kompromitováno, útočníci by museli zaútočit hrubou silou na hlavní heslo uživatele,“ řekl Kincaid. „Kromě toho je hlavní klíč/heslo jediná věc, která brání útočníkům přístup ke správci hesel, takže klíčové je silné heslo a vícefaktorová autentizace.

Hra na jistotu

Ne všichni správci hesel jsou si rovni, Craig Lurey, spoluzakladatel společnosti kybernetické bezpečnosti Zabezpečení Keeper, řekl Lifewire prostřednictvím e-mailu. Řekl, že používání webového prohlížeče k ukládání hesel nebo správce hesel se slabým zabezpečením může ohrozit vaše data.

"Při zkoumání možností vyhledejte správce hesel s architekturou zabezpečení s nulovými znalostmi a nulovou důvěrou," dodal. "Nulové znalosti znamenají, že nikdo kromě uživatele nemá přístup k jejich zašifrovaným souborům, což je v případě narušení zásadní."

Důležité je také udržovat váš software pro správu hesel aktuální, Matthew T. Carr, spoluzakladatel Atumcell, společnost zabývající se kybernetickou bezpečností, uvedla prostřednictvím e-mailu. "Stejně jako každý software mohou mít správci hesel zranitelnosti, které jsou objeveny v průběhu času," dodal. "Udržujte správce hesel v aktuálním stavu, abyste zajistili, že se jedná o nejbezpečnější verzi."

Pokud vše uděláte správně, stále můžete narazit na problémy pomocí správce hesel. Vysoká bezpečnost, kterou poskytují správci hesel, znamená, že pokud zapomenete heslo, máte potíže Tyler Farrar, odborník na kybernetickou bezpečnost ve společnosti Exabeam, v e-mailu.

„Pokud správce hesel dodržuje průmyslové standardy, neměl by mít možnost zobrazit nebo obnovit vaše hlavní heslo,“ dodal.

Oprava 8.12.2022: Opraven název zdroje ve třetím odstavci.