Онлайн връзките стават все по-многобройни от 2010 г. насам, особено с появата на социалните медии. Много онлайн услуги насърчават потребителите да не използват една и съща парола навсякъде.
Тук влизат мениджърите на пароли за да помогне на потребителите да пазят централно всички пароли, които имат, със слой за сигурност (добавете метаданни и много други).
Как да използвам мениджър на пароли?
Мениджъри на пароли позволяват съхранението и извличането на поверителна информация от криптирана база данни.
Потребителите им се доверяват да предлагат по-добри гаранции за сигурност срещу течове незначителен в сравнение с други средства за съхранение на пароли, като несигурни текстови файлове.
С други думи, мениджърите на пароли могат да съхраняват всичките ви пароли, използвани в Интернет, на едно място, така че те са много полезни.
Не всичко е така, както го нарисуват
Като се има предвид това, група независими тестери за сигурност, ISE съобщи тази седмица, че някои от най-популярните мениджъри на пароли имат някои уязвимости които биха могли да бъдат използвани за кражба на информация за самоличност от потребители, ако приемем, че все още не са използвани от трети страни.
В доклада, представен от групата, описа гаранциите за сигурност, които мениджърите на пароли трябва да предлагат и разгледа основната работа на пет популярни мениджъри на пароли.
Дори безплатният софтуер не е освободен
Това са мениджърите на пароли 1Password, Keepass, Dashlane и LastPass. Всички тези изброени по-долу мениджъри на пароли работят по същия начин, казват те.
Потребителите въвеждат или генерират пароли в софтуера и добавят съответни метаданни (например отговори на въпроси за сигурност и сайта, за който е предназначена паролата).
Тази информация се кодира и след това се дешифрира само когато е необходимо екранът да я предаде на приставка за браузър, която попълва паролата на уебсайт или я копира в клипборда за използване.
За всеки от тези администратори, групата определя три състояния на съществуване: не работи, отключена и заключена.
В първото състояние мениджърът на пароли трябва да осигури криптиране така че докато потребителят не използва тривиална парола, нападателят не може внезапно да отгатне главната парола в парола.
Във второто състояние не трябва да е възможно да се извлече главната парола от паметта директно или по някакъв друг начин за възстановяване на оригиналната главна парола.
И в третото състояние всички гаранции за сигурност на неактивен мениджър на пароли трябва да се прилагат към мениджъра на пароли в заключено състояние.
В своя анализ тестерите твърдят, че са изследвали алгоритъма, използван от всеки мениджър на пароли за преобразуване на главната парола в ключ за криптиране и че алгоритъмът няма сложността да издържи днешните атаки на взлом.
Относно анализа на администраторите на сигурността
В случай на 1Password 4 (версия 4.6.2.628), нейната оперативна оценка на сигурността намери разумна защита срещу излагане на отделни пароли в отключено състояние.
За съжаление, това беше заобиколено от обработката на главната парола и различни счупени подробности за изпълнение при преминаване от отключено състояние към заключено състояние. Главната парола остава в паметта.
Следователно, 1 Паролата за главна парола може да бъде извлечена, тъй като не се изтрива от паметта след поставяне на мениджъра на пароли в заключено състояние.
Като 1Password (версия 7.2.576), Това, което ги изненада, е, че те откриха това той е по-малко сигурен за изпълнение от 1Password в предишната му версия от 1Password 7, тъй като е разбил всички индивидуални пароли в базата данни, тества данните веднага щом се отключи и кешира, за разлика от 1Password 4, който съхранява само по един запис наведнъж.
В допълнение, също установи, че 1Password 7 не изчиства отделни пароли, нито главната парола, нито секретният ключ на паметта при преминаване от отключено състояние в заключено състояние.
След това в оценката на Dashlane процесите показват, че фокусът е върху скриването на тайни в паметта, за да се намалят рисковете от извличането.
В допълнение, използването на GUI и рамки на паметта, които предотвратяват предаването на тайни към различни API на операционната система, е уникално за Dashlane и може да ги изложи на подслушване от злонамерен софтуер.
Linux също не е изключение
За разлика от други мениджъри на пароли, KeePass това е проект с отворен код. Подобно на 1Password 4, KeePass дешифрира записите, докато си взаимодействат.
Всички те обаче остават в паметта, защото не се изтриват индивидуално след всяко взаимодействие. Главната парола се изтрива от паметта и не може да бъде извлечена.
Въпреки това, докато KeePass се опитва да осигури тайни, като ги изтрива от паметта, очевидно има някои грешки в тези работни потоци, тъй като установихме, казват те, че дори в заключено състояние можем да извлечем входовете, с които е взаимодействал.
Прихванатите записи остават в паметта дори след като KeePass е поставен в заключено състояние.
И накрая, както в 1Password 4, LastPass скрива главната парола, когато е въведена в полето за отключване.
След като ключът за дешифриране бъде извлечен от главната парола, главната парола се заменя с фразата "lastpass".
Fuente: оценители на сигурността
Паролите не трябва да се пазят на друго място, освен в тетрадка, написана с химикал ... останалото е като историята на чичото.
напълно се съгласявам, тъй като в лаптопа няма нищо, тъй като е малко трудно за хакерите
влезте в къщата си, за да откраднете бележника си
Кой би бил най-сигурният администратор?
Пълно преувеличение, очевидно е, че мениджърът на пароли не е 100% защитен, защото нищо не е 100% сигурно, господа ... Въпреки това, винаги ще бъде по-безопасно да използвате мениджър на пароли, отколкото да не го използвате. Молив и хартия? Абсурдно, освен ако нямате само 3 или 4 пароли, но за хора като мен, които имат 50, 100 или повече различни акаунта на различни места, няма никакъв смисъл, към това трябва да добавим, че ако загубите хартията или pendrive, кажете им сбогом на вашия цифров живот. През 2019 г. няма смисъл в най-малкия смисъл да запазвате паролите си на друго място, освен в облака, всички правилно криптирани. Lastpass е най-безопасното нещо, което да се използва днес, който твърди друго, не знае за какво говори, той е просто средностатистически потребител. Поздравления.
използвам https://bitwarden.com/ Какво пише в доклада на този мениджър на пароли?