Jūsų slaptažodžių tvarkyklė gali būti ne tokia saugi, kaip manote – štai kodėl

July 29, 2023
ĮŽinios Interneto Apsauga

Slaptažodžių valdymo programinė įranga „LastPass“ pranešė apie du saugumo pažeidimus per tris mėnesius.
Ekspertai teigia, kad slaptažodžių valdymo programinę įrangą turite pasirinkti išmintingai.
Taip pat turėtumėte nuolat atnaujinti savo programinę įrangą, kad apsisaugotumėte nuo įsilaužėlių.

Rankos ant nešiojamojo kompiuterio klaviatūros, padengtos prisijungimo prie vartotojo vardo ir slaptažodžio grafika. — Sakorn Sukkasemsakorn / Getty Images

Slaptažodžių tvarkytuvų kūrėjai reklamuoja savo programinę įrangą kaip saugų būdą saugoti jūsų skaitmeninio gyvenimo raktus, tačiau pastarieji incidentai verčia abejoti šiais teiginiais.

„LastPass“ generalinis direktorius Karimas Tobba atskleidė, kad slaptažodžių tvarkyklė buvo pažeidė antrą kartą. Bendrovė teigė, kad asmeninė informacija buvo atskleista, tačiau klientų slaptažodžiai liko saugūs. Kai kurie ekspertai teigia, kad šis incidentas primena, kad turėtumėte imtis papildomų atsargumo priemonių naudodami slaptažodį.

„Galbūt didžiausias vartotojų pažeidžiamumas yra tas, kad silpnas pagrindinis slaptažodis gali pakenkti visam kitam slaptažodžiai: todėl svarbu, kad vartotojai pasirinktų labai stiprų pagrindinį slaptažodį ir įsipareigotų tą pagrindinį slaptažodį į atmintį“,

Brianas Robertas Callahanas, informacinių technologijų ir interneto paslaugų magistrantūros studijų programos direktorius Rensselaer politechnikos institutas, sakė Lifewire interviu el. paštu. „Tokiu būdu žiaurios jėgos bandymai įvesti pagrindinį slaptažodį tampa neįmanomi arba neįmanomi.

„LastPass“ nulaužtas?

„LastPass“ gali neatitikti savo pavadinimo po neseniai įvykusio saugumo incidento. Bendrovė teigė aptikusi neįprastą veiklą trečiosios šalies debesies saugyklos paslaugoje, kuria dalijasi LastPass ir jos filialas GoTo. LastPass perspėjo apie a panašus įvykis rugsėjį.

Rankomis rašoma nešiojamojo kompiuterio klaviatūra, o ekrane rodomas prisijungimo ekranas. — fizkes / Getty Images

„Nustatėme, kad buvo pašalinta šalis, pasinaudojusi informacija, gauta per 2022 metų rugpjūčio incidentą gali gauti prieigą prie tam tikrų mūsų klientų informacijos elementų“, – bendrovės svetainėje rašė Toubba. „Dėl LastPass Zero Knowledge architektūros mūsų klientų slaptažodžiai išlieka saugiai užšifruoti.

Callahan sakė, kad nepaisant LastPass incidento, slaptažodžių tvarkyklės paprastai yra saugios. Programinė įranga yra daug geresnis pasirinkimas nei pakartotinis silpnų slaptažodžių naudojimas arba slaptažodžių užrašymas ant popieriaus.

„Visų pagrindinių žaidėjų pasiūlymai apims saugos funkcijas, tokias kaip jūsų saugomų slaptažodžių šifravimas jei užpuolikas pavogs jūsų slaptažodžių duomenų bazę, jis vis tiek nežinotų, kokie yra jūsų slaptažodžiai“, – sakė Callahanas. pridėta. „Nors jokia programinė įranga nėra tobula, vartotojai turėtų būti skatinami naudoti slaptažodžių tvarkykles ir jaustis saugiai jas naudodami.

Callahan sakė, kad slaptažodžių tvarkytuvai buvo įsilaužti praeityje. Viena iš problemų yra netinkamas „paslapčių išvalymas“, pvz., kai slaptažodžių tvarkyklė rodo vieną iš savo saugomų slaptažodžių, tada slaptažodis lieka sistemos atmintyje ir yra pažeidžiamas įsilaužėlių.

Ieškokite slaptažodžių tvarkyklės su nulinių žinių ir nulinio pasitikėjimo saugumo architektūra.

„Jei slaptažodžių tvarkyklė tinkamai neišvalė sistemos atminties, kai vartotojas baigė žiūrėti slaptažodį, užpuolikas taip pat turės galimybę peržiūrėti slaptažodį“, – sakė Callahanas sakė.

Didžiausia debesyje pagrįstų slaptažodžių tvarkytuvų saugumo problema yra tai, kaip pardavėjai apsaugo savo aplinką ir kur saugomi vartotojo slaptažodžių saugyklos šifravimo raktai, Paulius Kincaidas, kibernetinio saugumo ekspertas SecureAuth, įmonė, užsiimanti prieigos valdymu ir autentifikavimu, nurodė el.

"Kai kurie pardavėjai sako, kad jie neturi "nulio žinių" apie iššifravimo raktą, taigi, jei pardavėjas yra pažeista aplinka, užpuolikai turės žiauria jėga užpulti pagrindinį vartotojo slaptažodį“, Kincaidas pasakė. „Be to, pagrindinis raktas / slaptažodis yra vienintelis dalykas, neleidžiantis užpuolikams patekti į slaptažodžių tvarkyklę, todėl labai svarbu tvirtas slaptažodis ir kelių veiksnių autentifikavimas.

Žaisti saugiai

Ne visos slaptažodžių tvarkyklės yra vienodos, Craigas Lurey, kibernetinio saugumo įmonės įkūrėjas Laikytojo apsauga, sakė Lifewire el. paštu. Jis sakė, kad naudojant žiniatinklio naršyklę slaptažodžiams saugoti arba slaptažodžių tvarkytuvę su silpna apsauga gali kilti pavojus jūsų duomenims.

„Naršydami parinktis ieškokite slaptažodžių tvarkyklės su nulinių žinių ir nulinio pasitikėjimo saugumo architektūra“, – pridūrė jis. „Nulinės žinios reiškia, kad niekas, išskyrus vartotoją, negali pasiekti savo užšifruotų failų, o tai labai svarbu pažeidimo atveju.

Taip pat labai svarbu nuolat atnaujinti slaptažodžių tvarkyklės programinę įrangą, Matthew T. Carr, vienas iš įkūrėjų Atumcell, kibernetinio saugumo įmonė, sakė el. „Kaip ir bet kuri programinė įranga, slaptažodžių tvarkytuvės gali turėti spragų, kurios laikui bėgant aptinkamos“, – pridūrė jis. „Atnaujinkite slaptažodžių tvarkyklę, kad įsitikintumėte, jog tai pati saugiausia versija.

Jei viską padarysite teisingai, vis tiek gali kilti problemų naudojant slaptažodžių tvarkyklę. Didelis slaptažodžių tvarkytuvų saugumas reiškia, kad pamiršus slaptažodį gali kilti problemų Taileris Farraras, kibernetinio saugumo ekspertas Exabeam, el. laiške.

„Jei slaptažodžių tvarkyklė laikosi pramonės standartų, jie neturėtų turėti galimybės peržiūrėti ar atkurti jūsų pagrindinio slaptažodžio“, – pridūrė jis.

Pataisa 2022-12-08: trečioje pastraipoje pataisytas šaltinio pavadinimas.