Ваш менаџер лозинки можда није тако безбедан као што мислите – ево зашто

July 29, 2023
УВести Интернет и безбедност

Софтвер за управљање лозинкама ЛастПасс пријавио је два кршења безбедности у три месеца.
Стручњаци кажу да морате мудро одабрати софтвер за управљање лозинкама.
Такође би требало да ажурирате свој софтвер да бисте се одбранили од хакера.

Руке на тастатури за лаптоп прекривене графиком за пријављивање корисничког имена и лозинке. — Сакорн Суккасемсакорн / Гетти Имагес

Произвођачи менаџера лозинки рекламирају свој софтвер као сигуран начин за чување кључева вашег дигиталног живота, али недавни инциденти доводе у сумњу те тврдње.

ЛастПасс ЦЕО Карим Тоубба је открио да је менаџер лозинки био прекршен по други пут. Компанија је саопштила да су лични подаци откривени, али су корисничке лозинке остале безбедне. Инцидент је подсетник, кажу неки стручњаци, да треба да предузмете додатне мере предострожности са својом лозинком.

„Можда је највећа рањивост за кориснике то што слаба главна лозинка може компромитовати све остале лозинке: зато је важно да корисници изаберу веома јаку главну лозинку и урезују ту главну лозинку за сећање," Брајан Роберт Калахан, дипломирани програмски директор информационих технологија и веб услуга на

Политехнички институт Ренсселаер, рекао је за Лифевире у интервјуу е-поштом. „На тај начин покушаји грубе силе на главну лозинку постају неизводљиви или немогући.“

ЛастПасс хакован?

ЛастПасс можда неће оправдати своје име након недавног безбедносног инцидента. Компанија је саопштила да је открила необичну активност у оквиру услуге складиштења у облаку треће стране коју деле ЛастПасс и његова филијала, ГоТо. ЛастПасс је упозорио на а сличан инцидент у септембру.

Руке куцају на тастатури лаптопа са екраном за пријаву приказаним на екрану. — физкес / Гетти Имагес

„Утврдили смо да је било неовлашћено лице, користећи информације добијене у инциденту у августу 2022 у могућности да добијемо приступ одређеним елементима информација наших купаца“, написао је Тоубба на веб страници компаније. „Лозинке наших купаца остају безбедно шифроване захваљујући ЛастПасс-овој архитектури Зеро Кновледге.“

Цаллахан је рекао да су упркос инциденту ЛастПасс менаџери лозинки обично сигурни. Софтвер је много боља опција од поновног коришћења слабих лозинки или записивања лозинки на папир.

„Понуде свих главних играча ће укључивати безбедносне функције као што је шифровање ваших сачуваних лозинки тако да ако нападач успе да украде вашу базу података лозинки, и даље не би знао које су ваше лозинке", Цаллахан додао је. „Иако ниједан софтвер није савршен, кориснике треба подстицати да користе менаџере лозинки и да се осећају безбедно користећи их.“

Цаллахан је рекао да су менаџери лозинки били хаковани у прошлости. Један од проблема је неадекватно „чишћење тајни“, на пример када менаџер лозинки прикаже једну од својих сачуваних лозинки, тада лозинка остаје у системској меморији и рањива је на хакере.

Потражите менаџер лозинки са безбедносном архитектуром без знања и без поверења.

„Ако менаџер лозинки није исправно очистио системску меморију када је корисник завршио са прегледом лозинке, нападач би имао прилику да види и лозинку“, Цаллахан рекао.

Највећи безбедносни проблем са менаџерима лозинки заснованим на облаку је како добављачи обезбеђују своје окружење и где се чувају кључеви за шифровање за кориснички трезор лозинки, Паул Кинцаид, стручњак за сајбер безбедност у СецуреАутх, компанија која се бави управљањем приступом и аутентификацијом, истакла је у мејлу.

„Неки добављачи кажу да немају 'нулто знање' о кључу за дешифровање, па стога, ако добављач окружење је компромитовано, нападачи би морали грубом силом да нападну корисничку главну лозинку“, рекао је Кинкејд. „Поред тога, главни кључ/лозинка је једина ствар која нападаче држи подаље од менаџера лозинки, тако да су јака лозинка и вишефакторска аутентификација кључни.

Плаиинг Сафе

Нису сви менаџери лозинки креирани једнаки, Цраиг Луреи, суоснивач компаније за сајбер безбедност Кеепер Сецурити, рекао је за Лифевире путем е-поште. Рекао је да коришћење веб претраживача за чување лозинки или менаџера лозинки са слабом безбедношћу може да угрози ваше податке.

„Када истражујете опције, потражите менаџера лозинки са безбедносном архитектуром без знања и без поверења“, додао је он. „Нулто знање значи да нико осим корисника не може приступити њиховим шифрованим датотекама, што је критично у случају кршења.“

Такође је од кључног значаја да ажурирате софтвер за управљање лозинкама, Маттхев Т. Царр, суоснивач Атумцелл, компанија за сајбер безбедност, саопштила је путем е-поште. „Као и сваки софтвер, менаџери лозинки могу имати рањивости које се открију током времена“, додао је он. „Ажурирајте менаџер лозинки да бисте били сигурни да је најбезбеднија верзија.“

Ако све урадите како треба, и даље можете наићи на проблеме помоћу менаџера лозинки. Висока сигурност коју пружају менаџери лозинки значи да сте у невољи ако заборавите лозинку, истиче се Тилер Фаррар, стручњак за сајбер безбедност у Екабеам, у е-поруци.

„Ако менаџер лозинки одржава индустријске стандарде, не би требало да има могућност да прегледа или поврати вашу главну лозинку“, додао је он.

Исправка 8.12.2022: Исправљен наслов извора у трећем пасусу.