Twój menedżer haseł może nie być tak bezpieczny, jak myślisz — oto dlaczego

July 29, 2023
WAktualności Ochrona Internetu

Oprogramowanie do zarządzania hasłami LastPass zgłosiło dwa naruszenia bezpieczeństwa w ciągu trzech miesięcy.
Eksperci twierdzą, że należy mądrze wybrać oprogramowanie do zarządzania hasłami.
Powinieneś także aktualizować oprogramowanie, aby odeprzeć hakerów.

Ręce na klawiaturze laptopa z grafiką logowania do nazwy użytkownika i hasła. — Sakorn Sukkasemsakorn / Getty Images

Twórcy menedżerów haseł reklamują swoje oprogramowanie jako bezpieczny sposób przechowywania kluczy do cyfrowego życia, ale ostatnie incydenty podają w wątpliwość te twierdzenia.

Prezes LastPass Karima Toubby ujawnił, że menedżer haseł był złamane po raz drugi. Firma poinformowała, że ujawniono dane osobowe, ale hasła klientów pozostały bezpieczne. Incydent jest przypomnieniem, zdaniem niektórych ekspertów, że należy zachować dodatkowe środki ostrożności przy korzystaniu z hasła.

„Być może największą słabością użytkowników jest to, że słabe hasło główne może zagrozić wszystkim innym hasła: dlatego ważne jest, aby użytkownicy wybrali bardzo silne hasło główne i zatwierdzili to hasło główne do pamięci",

Briana Roberta Callahana, dyrektor programowy dla absolwentów technologii informatycznych i usług internetowych w Instytut Politechniczny Rensselaera, powiedział Lifewire w wywiadzie e-mailowym. „W ten sposób próby użycia hasła głównego z użyciem siły stają się niewykonalne lub niemożliwe”.

LastPass zhakowany?

LastPass może nie spełniać swojej nazwy po niedawnym incydencie bezpieczeństwa. Firma stwierdziła, że wykryła nietypową aktywność w ramach usługi przechowywania w chmurze innej firmy, udostępnianej przez LastPass i jego podmiot stowarzyszony, GoTo. LastPass ostrzegł o Podobny incydent we wrześniu.

Ręce wpisując na klawiaturze laptopa z ekranem logowania wyświetlanym na ekranie. — fizkes / Getty Images

„Ustaliliśmy, że nieupoważniona strona, korzystając z informacji uzyskanych w incydencie z sierpnia 2022 r., była w stanie uzyskać dostęp do niektórych elementów informacji naszych klientów”, napisał Toubba na stronie internetowej firmy. „Hasła naszych klientów pozostają bezpiecznie zaszyfrowane dzięki architekturze Zero Knowledge LastPass”.

Callahan powiedział, że pomimo incydentu LastPass menedżery haseł są zwykle bezpieczne. Oprogramowanie jest znacznie lepszą opcją niż ponowne używanie słabych haseł lub zapisywanie haseł na papierze.

„Oferty wszystkich głównych graczy będą obejmować funkcje bezpieczeństwa, takie jak szyfrowanie przechowywanych haseł jeśli atakującemu uda się ukraść twoją bazę danych haseł, nadal nie będzie wiedział, jakie są twoje hasła”, Callahan dodany. „Chociaż żadne oprogramowanie nie jest doskonałe, należy zachęcać użytkowników do korzystania z menedżerów haseł i czuć się bezpiecznie, korzystając z nich”.

Callahan powiedział, że w przeszłości włamywano się do menedżerów haseł. Jednym z problemów jest nieodpowiednie „czyszczenie tajemnic”, na przykład gdy menedżer haseł wyświetla jedno ze swoich przechowywanych haseł, wówczas hasło pozostaje w pamięci systemowej i jest podatne na ataki hakerów.

Poszukaj menedżera haseł z architekturą bezpieczeństwa o zerowej wiedzy i zerowym zaufaniu.

„Jeśli menedżer haseł nie wyczyścił prawidłowo pamięci systemowej po zakończeniu przeglądania użytkownika hasło, osoba atakująca miałaby okno możliwości, aby również zobaczyć hasło”, Callahan powiedział.

Największym problemem związanym z bezpieczeństwem menedżerów haseł opartych na chmurze jest to, w jaki sposób dostawcy zabezpieczają swoje środowisko i gdzie przechowywane są klucze szyfrowania dla magazynu haseł użytkownika, Paula Kincaida, ekspert ds. cyberbezpieczeństwa w Bezpieczna autoryzacja, firma zajmująca się zarządzaniem dostępem i uwierzytelnianiem, wskazana w e-mailu.

„Niektórzy dostawcy twierdzą, że mają„ zerową wiedzę ”na temat klucza deszyfrującego, a zatem, jeśli sprzedawca środowisko jest zagrożone, osoby atakujące musiałyby brutalnie zaatakować hasło główne użytkownika” — powiedział Kincaid. „Dodatkowo klucz główny/hasło to jedyna rzecz, która powstrzymuje atakujących przed dostępem do menedżera haseł, dlatego kluczowe znaczenie mają silne hasło i uwierzytelnianie wieloskładnikowe.

Bawiąc się bezpiecznie

Nie wszystkie menedżery haseł są sobie równe, Craiga Lureya, współzałożyciel firmy zajmującej się cyberbezpieczeństwem Ochrona opiekuna, powiedział Lifewire za pośrednictwem poczty elektronicznej. Powiedział, że używanie przeglądarki internetowej do przechowywania haseł lub menedżera haseł o słabych zabezpieczeniach może narazić twoje dane na ryzyko.

„Podczas eksploracji opcji szukaj menedżera haseł z architekturą bezpieczeństwa o zerowej wiedzy i zerowym zaufaniu” — dodał. „Zerowa wiedza oznacza, że nikt oprócz użytkownika nie może uzyskać dostępu do zaszyfrowanych plików, co ma kluczowe znaczenie w przypadku naruszenia”.

Aktualizowanie oprogramowania do zarządzania hasłami jest również kluczowe, Mateusz T. Carr, współzałożyciel Atumcell, firma zajmująca się bezpieczeństwem cybernetycznym, powiedziała za pośrednictwem poczty elektronicznej. „Jak każde oprogramowanie, menedżery haseł mogą mieć luki, które są wykrywane w miarę upływu czasu” – dodał. „Aktualizuj menedżera haseł, aby mieć pewność, że jest to najbezpieczniejsza wersja”.

Jeśli zrobisz wszystko poprawnie, nadal możesz napotkać problemy podczas korzystania z menedżera haseł. Wysokie bezpieczeństwo zapewniane przez menedżerów haseł oznacza, że możesz mieć kłopoty, jeśli zapomnisz hasła, wskazał Tylera Farrara, ekspert ds. cyberbezpieczeństwa w Exabeam, w e-mailu.

„Jeśli menedżer haseł utrzymuje standardy branżowe, nie powinien mieć możliwości przeglądania ani odzyskiwania hasła głównego” – dodał.

Korekta 12.08.2022: Poprawiono tytuł źródła w akapicie trzecim.