Managerul dvs. de parole ar putea să nu fie la fel de sigur pe cât credeți - Iată de ce

July 29, 2023
ÎnȘtiri Securitatea Internetului

Software-ul de gestionare a parolelor LastPass a raportat două breșe de securitate în trei luni.
Experții spun că trebuie să alegeți cu înțelepciune software-ul de gestionare a parolelor.
De asemenea, ar trebui să vă mențineți software-ul actualizat pentru a evita hackeri.

Mâinile pe o tastatură de laptop suprapusă cu grafica de conectare cu numele de utilizator și parola. — Sakorn Sukkasemsakorn / Getty Images

Producătorii managerilor de parole își promovează software-ul ca o modalitate sigură de a stoca cheile vieții tale digitale, dar incidentele recente pun la îndoială aceste afirmații.

CEO LastPass Karim Toubba a dezvăluit că managerul de parole a fost încălcat pentru a doua oară. Compania a spus că informațiile personale au fost dezvăluite, dar parolele clienților au rămas în siguranță. Incidentul este un memento, spun unii experți, că ar trebui să luați măsuri de precauție suplimentare cu parola.

„Poate că cea mai mare vulnerabilitate pentru utilizatori este că o parolă principală slabă le poate compromite pe toate celelalte parole: deci este important ca utilizatorii să selecteze o parolă principală foarte puternică și să angajeze acea parolă principală la memorie,"

Brian Robert Callahan, directorul programului absolvent de tehnologia informației și servicii web la Institutul Politehnic Rensselaer, a declarat pentru Lifewire într-un interviu prin e-mail. „În acest fel, încercările de forță brută asupra parolei principale devin imposibile sau imposibile.”

LastPass a fost piratat?

Este posibil ca LastPass să nu fie la înălțimea numelui său după incidentul recent de securitate. Compania a declarat că a detectat activitate neobișnuită într-un serviciu de stocare în cloud al unei terțe părți, partajat de LastPass și afiliatul său, GoTo. LastPass a avertizat despre o incident similar din septembrie.

Mâinile tastând pe tastatura unui laptop cu un ecran de conectare afișat pe ecran. — fizkes / Getty Images

„Am stabilit că o parte neautorizată, folosind informațiile obținute în incidentul din august 2022, a fost capabil să obțină acces la anumite elemente ale informațiilor clienților noștri”, a scris Toubba pe site-ul companiei. „Parolele clienților noștri rămân criptate în siguranță datorită arhitecturii Zero Knowledge a LastPass.”

Callahan a spus că, în ciuda incidentului LastPass, managerii de parole sunt de obicei în siguranță. Software-ul este o opțiune mult mai bună decât reutilizarea parolelor slabe sau scrierea parolelor pe hârtie.

„Ofertele tuturor jucătorilor importanți vor include caracteristici de securitate, cum ar fi criptarea parolelor stocate, astfel încât Dacă un atacator reușește să vă fure baza de date cu parole, tot nu ar ști care sunt parolele tale”, a spus Callahan. adăugat. „Deși niciun software nu este perfect, utilizatorii ar trebui încurajați să folosească manageri de parole și să se simtă în siguranță folosindu-le.”

Callahan a spus că managerii de parole au fost piratați în trecut. O problemă este „curățarea secretelor” inadecvată, cum ar fi atunci când un manager de parole își afișează una dintre parolele stocate, atunci parola rămâne în memoria sistemului și este vulnerabilă la hackeri.

Căutați un manager de parole cu arhitectură de securitate fără cunoștințe și încredere zero.

„Dacă managerul de parole nu a curățat corect memoria sistemului odată ce utilizatorul a terminat de analizat parola, un atacator ar avea o fereastră de oportunitate pentru a vedea și parola”, a spus Callahan a spus.

Cea mai mare problemă de securitate cu managerii de parole bazați pe cloud este modul în care vânzătorii își asigură mediul și unde sunt stocate cheile de criptare pentru seiful de parole al utilizatorului, Paul Kincaid, expert în securitate cibernetică la SecureAuth, o companie care se ocupă de gestionarea accesului și de autentificare, a subliniat într-un e-mail.

„Unii vânzători spun că nu au „cunoștințe zero” despre cheia de decriptare și, prin urmare, dacă furnizorul mediu este compromis, atacatorii ar trebui să atace cu forță brută parola principală a unui utilizator.” spuse Kincaid. „În plus, cheia principală/parola este singurul lucru care îi ține pe atacatori departe de un manager de parole, așa că o parolă puternică și autentificarea cu mai mulți factori sunt esențiale.

Jucând în siguranță

Nu toți managerii de parole sunt creați egali, Craig Lurey, co-fondatorul companiei de securitate cibernetică Securitatea gardianului, a spus Lifewire prin e-mail. El a spus că utilizarea unui browser web pentru a stoca parole sau a unui manager de parole cu securitate slabă poate pune datele în pericol.

„Când explorați opțiunile, căutați un manager de parole cu arhitectură de securitate fără cunoștințe și încredere zero”, a adăugat el. „Zero-cunoaștere înseamnă că nimeni, în afară de utilizator, nu poate accesa fișierele criptate, ceea ce este critic în cazul unei încălcări.”

Menținerea software-ului dvs. de gestionare a parolelor la zi este, de asemenea, esențială, Matei T. Carr, co-fondatorul Atumcell, o companie de securitate cibernetică, a declarat prin e-mail. „Ca orice software, managerii de parole pot avea vulnerabilități care sunt descoperite în timp”, a adăugat el. „Păstrați managerul de parole actualizat pentru a vă asigura că este cea mai sigură versiune.”

Dacă faceți totul corect, puteți întâmpina probleme cu utilizarea unui manager de parole. Securitatea ridicată oferită de managerii de parole înseamnă că aveți probleme dacă uitați parola, a subliniat Tyler Farrar, expert în securitate cibernetică la Exabeam, într-un e-mail.

„Dacă un manager de parole menține standardele din industrie, nu ar trebui să aibă capacitatea de a vizualiza sau recupera parola dvs. principală”, a adăugat el.

Corectare 8.12.2022: S-a corectat titlul sursei în paragraful trei.