4 powody, dla których menedżerowie haseł nie wystarczają, aby zapewnić bezpieczeństwo haseł

Reklama

Jeśli starannie przeszedłeś przez kłopot konfigurowanie menedżera haseł 7 supermoce Clever Password Manager Musisz zacząć używaćMenedżerowie haseł mają wiele świetnych funkcji, ale czy wiesz o nich? Oto siedem aspektów zarządzania hasłami, z których powinieneś skorzystać. Czytaj więcej , możesz myśleć, że jesteś bezpieczny przed wścibskimi oczami hakerów i cyberprzestępców.

Jesteś w błędzie.

Tak, menedżerowie haseł są cennym narzędziem w toczącej się walce, aby zapewnić sobie bezpieczeństwo, ale nie są odporni na awarie ani idiotyzm, ani nie zapewniają wystarczającej ochrony na własną rękę.

Oto cztery powody, dla których menedżerowie haseł nie wystarczą, aby zapewnić bezpieczeństwo haseł samodzielnie.

1. Menedżerowie haseł są świętym Graalem dla hakerów

Czy menedżerowie haseł są bardzo bezpieczni? Czy popełniasz te 6 błędów bezpieczeństwa Menedżera haseł?Menedżerowie haseł mogą być tak bezpieczni, jak tylko chcesz, a jeśli popełnisz jeden z tych sześciu podstawowych błędów, ostatecznie narazisz swoje bezpieczeństwo online. Czytaj więcej

? Tak. Czy wdrażają rygorystycznie systemy szyfrowania i kryptografii W jaki sposób menedżerowie haseł dbają o bezpieczeństwo hasełTrudne do złamania hasła są również trudne do zapamiętania. Chcesz być bezpieczny? Potrzebujesz menedżera haseł. Oto jak działają i jak zapewniają ci bezpieczeństwo. Czytaj więcej ? Tak. Czy możesz kategorycznie stwierdzić, że żaden haker nigdy nie będzie w stanie złamać systemu i uzyskać dostępu do milionów haseł użytkowników?

Nie.

Pomyśl o tym: usługi zarządzania hasłami są niezwykle pociągającą perspektywą dla hakerów. Gdyby mogli przekroczyć zewnętrzne ściany skarbców haseł, mieliby dostęp do niezliczonej ilości skarbów. Będą próbowali się włamać. To jest nieuniknione.

Użyjmy LastPass jako przykładu. Cyberprzestępcy mają zaatakował dwa razy serwery LastPass Got Hacked, Shenmue 3 Kickstarter, Final Fantasy 7 Remake i więcej... [Przegląd wiadomości technicznych]Zmień hasło LastPass, uruchamiając Shenmue 3, przerabiając Final Fantasy 7, Xbox One gra w gry na konsolę Xbox 360, Netflix zostaje przerobiony, a Conan gra Halo 5: Guardians. Czytaj więcej w ciągu ostatnich pięciu lat. Za każdym razem firma była przekonana, że ​​jej użytkownicy muszą jedynie zmienić hasło główne do swoich kont, a przechowalnia haseł jest nadal bezpieczna.

Ale włamania dowodzą istnienia luk bezpieczeństwa. Czy to tylko kwestia czasu, zanim uprawniona osoba uzyska dostęp? Prawdopodobnie.

2. Eksperci mówią, że menedżerowie haseł mają poważne wady

W 2014 r. Badacze bezpieczeństwa odkryli, że LastPass, RoboForm, My1login, PasswordBox i NeedMyPassword mają kilka niebezpiecznych luk bezpieczeństwa.

Najbardziej niepokojąca z tych wad pozwoliła hakerom ukraść hasła w postaci jawnego tekstu bezpośrednio z LastPass użytkownicy korzystający z bookmarkletu, bez wiedzy użytkownika ani firmy źle.

LastPass miał również wadę polegającą na tym, że złośliwy kod na stronie internetowej mógł ukraść cały zaszyfrowany sejf użytkownika, o ile haker znał jego adres e-mail.

RoboForm, My1login, PasswordBox i NeedMyPassword miały wszystkie równie poważne wady, w tym lukę co pozwoliło atakującym ukraść pełną nazwę użytkownika, nazwę użytkownika i dowolny adres URL, pod którym znajdowało się hasło weszła.

Na szczęście usługodawcy naprawili te błędy, ale szaleństwem byłoby wierzyć, że są teraz idealne. Prawie na pewno są jeszcze nieodkryte błędy, które czekają, aż ktoś je znajdzie.

Powszechne przyjęcie niepewnych menedżerów haseł może pogorszyć sytuację: dodanie nowego, niesprawdzonego pojedynczego punktu awarii do ekosystemu uwierzytelniania internetowego.

- Zhiwei Li, Warren He, Devdatta Akhawe i Dawn Song, autorzy Nowy menedżer haseł cesarza: Analiza bezpieczeństwa internetowych menedżerów haseł

W końcu ufasz menedżerowi haseł z niektórymi najważniejszymi szczegółami. Umieszczenie wszystkich jajek w tym samym koszu jest nierozsądne.

3. Bazy danych w chmurze vs. Lokalne bazy danych

Zauważysz, że wszystkie pięć usług, które omówiłem powyżej, są oparte na Internecie. Jeśli korzystasz z lokalnego menedżera haseł (takiego jak KeePass lub 1Password), nie daj się zwieść fałszywemu poczuciu bezpieczeństwa; badanie dotyczyło tylko opcji internetowych.

Istnieje argument sugerujący, że lokalni menedżerowie są z natury bezpieczniejsi niż menedżerowie w chmurze. Hakerowi trudniej jest uzyskać dostęp, a trudniej ukraść bazę danych.

Ale nie są głupi. Wszyscy wiemy, co z zagrożenia bezpieczeństwa dla użytkowników komputerów stacjonarnych 5 zagrożeń bezpieczeństwa online, o których musisz powiadomić znajomychBędziesz zaskoczony, gdy dowiesz się, gdzie dziś znajduje się całe złośliwe oprogramowanie. To już nie są zwykłe komputery, ale bardziej prawdopodobne jest coś z jakimś podłączonym urządzeniem, w tym zabawkami. Czytaj więcej : keyloggery, hakerzy czający się w publicznych sieciach Wi-Fi, niekończące się złośliwe oprogramowanie i wiele innych. Jeśli masz pecha, by zostać zaatakowanym, lokalnie zapisana baza haseł może być jedną z pierwszych rzeczy, które kradną hakerzy.

A co jeśli twoja baza danych jest zapisana na twoim urządzeniu mobilnym? Jeśli zgubisz urządzenie, może łatwo trafić w niepowołane ręce. Tak, jest zaszyfrowany, ale jeśli skonfigurujesz aplikację tak, aby potrzebowała tylko hasła głównego lub odcisku palca, aby uzyskać dostęp do bazy danych, szyfrowanie nie będzie warte wiele.

4. Twoje ustawienia mogą pozostawić Cię wrażliwym

Dotknąłem tego krótko. Menedżerowie haseł mają wiele ustawień, które możesz dostosować; niektórzy z nich zwiększyć bezpieczeństwo usługi 8 łatwych sposobów na zwiększenie bezpieczeństwa LastPassByć może używasz LastPass do zarządzania wieloma hasłami online, ale czy używasz go, prawda? Oto osiem kroków, które możesz zrobić, aby Twoje konto LastPass było jeszcze bardziej bezpieczne. Czytaj więcej . Jednak wiele z nich zaprojektowano dla wygody - włączenie ich sprawi, że będziesz bardziej wrażliwy.

Na przykład LastPass nie monituje automatycznie o podanie hasła głównego podczas próby uzyskania dostępu do poświadczeń osoby w skarbcu (Ustawienia> Ustawienia zaawansowane> Ponownie monit o podanie hasła głównego).

Ponadto większość aplikacji mobilnych usług umożliwia wyłączenie uwierzytelniania odcisków palców i / lub hasła na okres do 24 godzin po każdym udanym logowaniu. Nie rób tego Czy pozostawiłbyś swoją bankowość internetową zalogowaną na 24 godziny, aby zaoszczędzić kilka kliknięć?

I oczywiście uważaj, komu udostępniasz hasła, korzystając z wbudowanej usługi udostępniania usług - być może ich ustawienia narażą twoje konta? Upewnij się, że twoi przyjaciele i rodzina są świadomi konsekwencji bezpieczeństwa.

Nie używaj skrótów. Zamiast tego poświęć czas na pracę nad zaawansowanymi ustawieniami swoich usług i uczynienie ich jak najbardziej niezawodnymi.

Menedżerowie haseł: używać, czy unikać?

Czy menedżerowie haseł są lepsi niż przechowywanie wszystkich swoich danych w arkuszu Excela lub korzystanie z tych samych poświadczeń dla każdej witryny? Bez wątpienia. Ale kwestia tego, czy są tak bezpieczne, jak można by sądzić, jest dyskusyjna.

Większość osób korzysta z usług zarówno dla wygody, jak i dla bezpieczeństwa. Ale robiąc to, potencjalnie narażasz się na szwank. Nie powiem ci, żebyś przestał ich używać, ale postępuj ostrożnie. Na przykład może powinieneś podziel swoje hasło na wielu menedżerów 5 najlepszych alternatyw LastPass do zarządzania hasłamiWiele osób uważa LastPass za króla menedżerów haseł; jest pełen funkcji i może pochwalić się większą liczbą użytkowników niż którykolwiek z jego konkurentów - ale nie jest to jedyna opcja! Czytaj więcej ?

I pamiętaj, że sedno sprawy nie polega na zastąpieniu własnego mózgu. Jeśli możesz stworzyć silny kod, który dostosujesz nieznacznie do każdego indywidualnego loginu, będziesz mieć większe bezpieczeństwo niż jakikolwiek menedżer haseł.

Czy ufasz menedżerom haseł? Daj nam znać w komentarzach poniżej.