Les connexions en línia s'han tornat cada vegada més nombroses des de la dècada de 2010, especialment amb l'arribada de les xarxes socials. Molts serveis en línia animen els usuaris a no fer servir la mateixa contrasenya a tot arreu.
Aquí és on entren els administradors de contrasenyes per ajudar els usuaris a mantenir totes les contrasenyes que tenen centralment amb una capa de seguretat (afegir metadades i molts més).
Com l'ús d'un administrador de contrasenyes?
Els administradors de contrasenyes permeten l'emmagatzematge i recuperació d'informació confidencial d'una base de dades xifrada.
Els usuaris confien en ells per oferir millors garanties de seguretat contra filtracions insignificants en comparació amb altres mitjans per emmagatzemar contrasenyes, com arxius de text insegurs.
En altres paraules, els administradors de contrasenyes poden mantenir totes les seves contrasenyes utilitzades a Internet en un sol lloc, pel que són molt útils.
No tot és com ho pinten
Dit això, un grup d'avaluadors de seguretat independents, ISE, ha informat aquesta setmana que alguns dels administradors de contrasenyes més populars tenen algunes vulnerabilitats que podrien explotar-se per robar informació d'identitat dels usuaris, assumint que encara no han estat explotats per tercers.
En l'informe que va presentar el grup, van descriure les garanties de seguretat que els administradors de contrasenyes haurien d'oferir i van examinar l'operació subjacent de cinc administradors de contrasenyes populars.
Ni el programari lliure aquesta exempt
Aquests són els administradors de contrasenyes 1Password, Keepass, Dashlane i LastPass. Tots aquests administradors de contrasenyes enumerats a continuació funcionen de la mateixa manera, diuen.
Els usuaris ingressen o generen contrasenyes en el programari i afegeixen metadades rellevants (per exemple, respostes a preguntes de seguretat i el lloc per al qual està dissenyada la contrasenya).
Aquesta informació es xifra i després es desxifra només quan és necessari que la pantalla la transmeti a un complement de el navegador que omple la contrasenya en un lloc web o la còpia en el portapapers per al seu ús.
Per a cada un d'aquests administradors, el grup defineix tres estats d'existència: no s'està executant, desbloquejat i bloquejat.
En el primer estat, l'administrador de contrasenyes ha de garantir el xifrat perquè, sempre que l'usuari no utilitzi una contrasenya trivial, un atacant no pugui endevinar de cop i volta la contrasenya mestra en una contrasenya.
En el segon estat, no hauria de ser possible extreure la contrasenya mestra de la memòria directament ni de cap altra manera per recuperar la contrasenya mestra original.
I en el tercer estat, totes les garanties de seguretat d'un administrador de contrasenyes no actiu s'han d'aplicar a un administrador de contrasenyes en estat bloquejat.
En la seva anàlisi, els avaluadors afirmen haver examinat l'algoritme utilitzat per cada administrador de contrasenyes per convertir la contrasenya mestra en una clau de xifrat i que l'algoritme no té complexitat per resistir els atacs de craqueig actuals.
Sobre l'anàlisi dels administradors de seguretat
En el cas de 1Password 4 (versió 4.6.2.628), L'avaluació de la seva seguretat de funcionament va trobar proteccions raonables contra l'exposició de contrasenyes individuals en l'estat desbloquejat.
Malauradament, això va ser sobrepassat pel seu maneig de la contrasenya mestra i per diversos detalls d'implementació trencats a el passar l'estat desbloquejat a l'estat bloquejat. La contrasenya mestra roman en la memòria.
Per tant, és possible recuperar la contrasenya mestra de 1Password ja que no s'esborra de la memòria després de col·locar l'administrador de contrasenyes en un estat bloquejat.
Prenent 1Password (versió 7.2.576), el que els va sorprendre és que van trobar que és menys segur executar que 1Password en la seva versió anterior que 1Password 7 ja que ha desxifrat totes les contrasenyes individuals de la base provi les dades tan aviat com es desbloquegi i emmagatzemi en memòria cau, a diferència de 1Password 4, que només ha emmagatzemat una entrada alhora.
A més, també van trobar que 1Password 7 no neteja les contrasenyes individuals, Ni la contrasenya mestra, ni la clau secreta de la memòria a el passar l'estat desbloquejat a l'estat bloquejat.
Després, en l'avaluació de Dashlane, els processos van indicar que l'enfocament estava a ocultar secrets en la memòria per reduir els riscos d'extracció.
A més, l'ús de marcs de memòria i GUI que van impedir la transmissió de secrets a diverses API de sistemes operatius era exclusiu de Dashlane i podia exposar-los a escoltes malicioses per malware.
Linux tampoc és l'excepció
A diferència d'altres administradors de contrasenyes, KeePass és un projecte de codi obert. Similar a 1Password 4, KeePass desencripta les entrades a mesura que interactuen.
No obstant això, tots romanen en la memòria perquè no s'esborren individualment després de cada interacció. La contrasenya mestra s'esborra de la memòria i no es pot recuperar.
No obstant això, mentre KeePass intenta assegurar els secrets esborrant-los de la memòria, òbviament hi ha alguns errors en aquests fluxos de treball, perquè vam trobar, diuen, que fins i tot en un estat bloquejat, podríem extreure les entrades amb que havia interactuat.
Les entrades interceptades romanen en la memòria fins i tot després que KeePass s'hagi col·locat en un estat bloquejat.
Finalment, a l'igual que a 1Password 4, LastPass amaga la contrasenya mestra quan s'ingressa en el camp de desbloqueig.
Una vegada que la clau de desxifrat es deriva de la contrasenya mestra, la contrasenya mestra es reemplaça per la frase «LastPass».
font: securityevaluators
Les contrasenyes no han de guardar-se en un altre lloc que no sigui un quadern escrites amb bolígraf ... la resta és com el conte de l'tio.
totalment d'acord, com la llibreta no hi ha res ja que és una mica difícil que els hackers
entrin a casa teva a robar-te la llibreta
Com seria l'administrador més segur?
Exageració total, és obvi que un administrador de contrasenyes no és 100% segur, perquè res és 100% segur senyors ... Així i tot, sempre, sempre serà més segur usar un gestor de contrasenya a no usar-lo. ¿Llapis i paper? Absurd a el menys que només tinguis 3 o 4 contrasenyes, però per a persones com jo que tenim 50, 100 o més comptes diferents en diferents llocs no té el més mínim sentit, a això cal sumar-li que si perds el paper o el pendrive, digues-li adéu a la teva vida digital. En 2019 no té el més mínim sentit guardar les teves contrasenyes en un altre costat que no sigui en el núvol tot degudament xifrat. LastPass és el més segur que es pot usar en l'actualitat, el que afirmi el contrari no sap del que parla, és simplement un usuari típic. Salutacions.
jo faig servir https://bitwarden.com/ que diu l'informe d'aquest gestor de cotraseñas?