Salasanan hallintaohjelmasi ei ehkä ole niin turvallinen kuin luulet – tässä miksi

July 29, 2023
SisäänUutiset Internet Turvallisuus

Salasanojen hallintaohjelmisto LastPass ilmoitti kahdesta tietoturvaloukkauksesta kolmen kuukauden aikana.
Asiantuntijat sanovat, että sinun on valittava salasananhallintaohjelmisto viisaasti.
Sinun tulee myös pitää ohjelmistosi ajan tasalla hakkereiden torjumiseksi.

Kädet kannettavan tietokoneen näppäimistöllä, jossa on käyttäjätunnuksen ja salasanan kirjautumiskuva. — Sakorn Sukkasemsakorn / Getty Images

Salasanojen hallintaohjelmien valmistajat mainostavat ohjelmistoaan turvallisena tapana tallentaa digitaalisen elämäsi avaimet, mutta viimeaikaiset tapaukset kyseenalaistavat nämä väitteet.

LastPassin toimitusjohtaja Karim Toubba on paljastanut, että salasananhallinta oli rikottiin toisen kerran. Yhtiön mukaan henkilökohtaisia tietoja on paljastettu, mutta asiakkaiden salasanat säilyivät turvassa. Tapaus on muistutus, joidenkin asiantuntijoiden mukaan sinun tulee ryhtyä ylimääräisiin varotoimiin salasanasi kanssa.

"Ehkä suurin käyttäjien haavoittuvuus on se, että heikko pääsalasana voi vaarantaa kaiken muun salasanat: siksi on tärkeää, että käyttäjät valitsevat erittäin vahvan pääsalasanan ja sitovat sen muistiin"

Brian Robert Callahan, tietotekniikan ja verkkopalvelujen jatko-ohjelman johtaja Rensselaer Polytechnic Institute, kertoi Lifewire sähköpostihaastattelussa. "Sillä tavalla raa'an voiman yrittäminen pääsalasanalla muuttuu mahdottomaksi tai mahdottomaksi."

LastPass hakkeroitu?

LastPass ei ehkä vastaa nimeään viimeaikaisen tietoturvatapahtuman jälkeen. Yritys kertoi havainneensa epätavallista toimintaa LastPassin ja sen tytäryhtiön GoTon jakamassa kolmannen osapuolen pilvitallennuspalvelussa. LastPass varoitti a vastaava tapaus syyskuussa.

Kädet kirjoittavat kannettavan tietokoneen näppäimistöllä ja kirjautumisnäyttö näkyy näytöllä. — fizkes / Getty Images

"Olemme todenneet, että elokuun 2022 tapauksesta saatujen tietojen perusteella luvaton osapuoli oli voi päästä käsiksi tiettyihin elementteihin asiakkaidemme tiedoista", Toubba kirjoitti yhtiön verkkosivuilla. "Asiakkaidemme salasanat pysyvät turvallisesti salattuina LastPassin Zero Knowledge -arkkitehtuurin ansiosta."

Callahan sanoi, että LastPass-tapauksesta huolimatta salasanojen hallintalaitteet ovat yleensä turvallisia. Ohjelmisto on paljon parempi vaihtoehto kuin heikkojen salasanojen uudelleenkäyttö tai salasanojen kirjoittaminen paperille.

"Kaikkien tärkeimpien toimijoiden tarjontaan sisältyy turvaominaisuuksia, kuten tallennettujen salasanojesi salaus jos hyökkääjä onnistuu varastamaan salasanatietokantasi, he eivät silti tiedä, mitä salasanasi ovat", Callahan lisätty. "Vaikka mikään ohjelmisto ei ole täydellinen, käyttäjiä tulisi rohkaista käyttämään salasananhallintaohjelmia ja tuntemaan olonsa turvalliseksi niiden käytössä."

Callahan sanoi, että salasanojen ylläpitäjiä oli hakkeroitu aiemmin. Yksi ongelma on riittämätön "salaisuuksien puhdistaminen", kuten kun salasanojen hallintaohjelma näyttää jonkin tallennetuista salasanoistaan, salasana pysyy järjestelmän muistissa ja on alttiina hakkereille.

Etsi salasanojen hallinta, jonka tietoturva-arkkitehtuuri on nolla ja luotettavuus.

"Jos salasananhallinta ei puhdistanut järjestelmämuistia kunnolla, kun käyttäjä oli katsonut salasanan, hyökkääjällä olisi mahdollisuus nähdä myös salasana", Callahan sanoi.

Pilvipohjaisten salasanojen hallintaohjelmien suurin turvallisuusongelma on se, kuinka toimittajat suojaavat ympäristöään ja mihin salausavaimet tallennetaan käyttäjän salasanavarastoa varten, Paul Kincaid, kyberturvallisuuden asiantuntija osoitteessa SecureAuth, yritys, joka hoitaa pääsynhallinnan ja todentamisen, huomautti sähköpostissa.

"Jotkin myyjät sanovat, että heillä ei ole "nollatietoa" salauksenpurkuavaimesta, joten jos myyjä ympäristö on vaarantunut, hyökkääjien tulee hyökätä raa'alla voimalla käyttäjän pääsalasanaa vastaan." Kincaid sanoi. "Lisäksi pääavain/salasana on ainoa asia, joka pitää hyökkääjät poissa salasananhallinnasta, joten vahva salasana ja monitekijätodennus ovat tärkeitä.

Pelaa turvallisesti

Kaikki salasanojen hallintaohjelmat eivät ole tasa-arvoisia, Craig Lurey, yksi kyberturvallisuusyhtiön perustajista Keeper Security, kertoi Lifewire sähköpostitse. Hän sanoi, että verkkoselaimen käyttäminen salasanojen tallentamiseen tai salasanojen hallintaan, jonka suojaus on heikko, voi vaarantaa tietosi.

"Kun tutkit vaihtoehtoja, etsi salasananhallinta, jonka tietoturva-arkkitehtuuri on nolla ja luotettavuus", hän lisäsi. "Nollatieto tarkoittaa, että kukaan muu kuin käyttäjä ei voi käyttää salattuja tiedostojaan, mikä on kriittistä tietomurron sattuessa."

Salasananhallintaohjelmiston pitäminen ajan tasalla on myös erittäin tärkeää, Matthew T. Carr, yksi perustajista Atumcell, kyberturvallisuusyritys, sanoi sähköpostitse. "Kuten kaikki ohjelmistot, salasanojen hallintaohjelmat voivat sisältää haavoittuvuuksia, jotka havaitaan ajan myötä", hän lisäsi. "Pidä salasanojen hallintaohjelma ajan tasalla varmistaaksesi, että se on turvallisin versio."

Jos teet kaiken oikein, voit silti kohdata ongelmia salasananhallinnan käytössä. Salasanojen hallinnoijien tarjoama korkea turvallisuus tarkoittaa, että olet pulassa, jos unohdat salasanasi, huomautti Tyler Farrar, kyberturvallisuuden asiantuntija osoitteessa Exabeam, sähköpostissa.

"Jos salasananhallinta ylläpitää alan standardeja, heillä ei pitäisi olla mahdollisuutta tarkastella tai palauttaa pääsalasanaasi", hän lisäsi.

Korjaus 8.12.2022: Korjattu lähteen otsikko kappaleessa kolme.