Online připojení jsou stále početnější od roku 2010, zejména s příchodem sociálních médií. Mnoho online služeb vybízí uživatele, aby všude nepoužívali stejné heslo.
Zde přicházejí správci hesel pomoci uživatelům udržovat všechna hesla, která mají, centrálně pomocí vrstvy zabezpečení (přidat metadata a mnoho dalších).
Jak používat správce hesel?
Správci hesel povolit ukládání a načítání důvěrných informací ze šifrované databáze.
Uživatelé jim důvěřují, že nabízejí lepší bezpečnostní záruky proti únikům ve srovnání s jinými způsoby ukládání hesel, jako jsou nezabezpečené textové soubory, nevýznamné.
Jinými slovy, správci hesel mohou uchovávat všechna vaše hesla používaná na internetu na jednom místě, takže jsou velmi užitečná.
Ne všechno je tak, jak to malovali
Jak již bylo řečeno, skupina nezávislých bezpečnostních testerů, ISE tento týden oznámila, že někteří z nejpopulárnějších správců hesel mají určité chyby zabezpečení které by mohly být zneužity ke krádeži informací o totožnosti od uživatelů za předpokladu, že je dosud nevyužily třetí strany.
Ve zprávě předložené skupinou popsal bezpečnostní záruky, které by správci hesel měli nabízet, a zkoumal základní operaci pěti populárních správců hesel.
Výjimkou není ani svobodný software
Jedná se o správce hesel 1Password, Keepass, Dashlane a LastPass. Říká se, že všichni níže uvedení správci hesel fungují stejným způsobem.
Uživatelé zadávají nebo generují hesla v softwaru a přidávají příslušná metadata (například odpovědi na bezpečnostní otázky a web, pro který je heslo určeno).
Tyto informace jsou zašifrovány a poté dešifrovány, pouze pokud je nutné, aby je obrazovka přenesla do pluginu prohlížeče, který vyplní heslo na webu nebo jej zkopíruje do schránky.
Pro každého z těchto správců skupina definuje tři stavy existence: neběžící, odemčený a zamčený.
V prvním stavu musí správce hesel zajistit šifrování takže pokud uživatel nepoužívá triviální heslo, nemůže útočník najednou uhodnout hlavní heslo v hesle.
Ve druhém stavu by nemělo být možné extrahovat hlavní heslo z paměti přímo nebo jakýmkoli jiným způsobem obnovit původní hlavní heslo.
A ve třetím stavu musí být všechny bezpečnostní záruky neaktivního správce hesel použity na správce hesel v uzamčeném stavu.
Ve své analýze testeři tvrdí, že zkoumali algoritmus používaný každým správcem hesel k převodu hlavního hesla na šifrovací klíč a algoritmu chybí složitost, aby odolal dnešním prolomovacím útokům.
Na základě analýzy bezpečnostních administrátorů
V případě 1Password 4 (verze 4.6.2.628), jeho posouzení provozní bezpečnosti našlo přiměřenou ochranu proti vystavení jednotlivých hesel v odemčeném stavu.
Bohužel to bylo obejito zpracováním hlavního hesla a různých nefunkčních podrobností implementace při přechodu z odemčeného stavu do uzamčeného stavu. Hlavní heslo zůstává v paměti.
Proto, 1 Hlavní heslo hesla lze načíst, protože není vymazáno z paměti po uvedení správce hesel do uzamčeného stavu.
Užívání 1Password (verze 7.2.576), Překvapilo je, že to našli je méně bezpečné spustit než 1Password v předchozí verzi než 1Password 7, protože prolomilo všechna jednotlivá hesla v databázi, otestuje data, jakmile jsou odemčena a uložena do mezipaměti, na rozdíl od 1Password 4, který má uložen pouze jeden záznam najednou.
Také zjistil, že 1Password 7 nevymaže jednotlivá hesla, ani hlavní heslo, ani tajný klíč paměti při přechodu z odemčeného stavu do uzamčeného stavu.
Poté v hodnocení Dashlane procesy ukázaly, že se pozornost soustředila na skrytí tajemství v paměti, aby se snížilo riziko těžby.
Kromě toho použití grafického uživatelského rozhraní a paměťových rámců, které zabraňovalo přenosu tajemství na různá rozhraní API operačního systému, bylo pro Dashlane jedinečné a mohlo je vystavit odposlechu malwarem.
Výjimkou není ani Linux
Na rozdíl od jiných správců hesel KeePass jedná se o open source projekt. Podobně jako 1Password 4, KeePass dešifruje položky při jejich interakci.
Všechny však zůstávají v paměti, protože po každé interakci nejsou jednotlivě vymazány. Hlavní heslo je vymazáno z paměti a nelze jej získat.
Zatímco se však KeePass snaží zabezpečit tajemství jejich vymazáním z paměti, v těchto pracovních postupech jsou zjevně nějaké chyby, protože jsme zjistili, že říkají, že i v uzamčeném stavu bychom mohli extrahovat vstupy, se kterými interagoval.
Zachycené záznamy zůstávají v paměti i poté, co byl KeePass umístěn do uzamčeného stavu.
Nakonec, jako v 1Password 4, LastPass skryje hlavní heslo, když je zadáno do pole pro odemknutí.
Jakmile je dešifrovací klíč odvozen od hlavního hesla, je hlavní heslo nahrazeno větou „lastpass“.
zdroj: bezpečnostní hodnotitelé
Hesla by se neměla uchovávat na žádném jiném místě než v zápisníku psaném kuličkovým perem ... zbytek je jako příběh strýce.
naprosto souhlasím, protože notebook není nic, protože je to pro hackery trochu obtížné
vstupte do svého domu a ukradněte si notebook
Jaký by byl nejbezpečnější správce?
Úplné přehánění, je zřejmé, že správce hesel není stoprocentně zabezpečený, protože nic není stoprocentně zabezpečené, pánové ... Přesto bude vždy bezpečnější použít správce hesel, než jej nepoužívat. Tužka a papír? Absurdní, pokud nemáte pouze 100 nebo 100 hesla, ale pro lidi jako já, kteří mají 3, 4 nebo více různých účtů na různých místech, to nedává ani nejmenší smysl, k tomu musíme dodat, že pokud ztratíte papír nebo pendrive , řekněte jim sbohem vašemu digitálnímu životu. V roce 50 nemá sebemenší smysl ukládat hesla kdekoli jinde než v cloudu, všechna správně šifrovaná. Lastpass je nejbezpečnější věc, kterou lze dnes použít, kdo tvrdí, že neví, o čem mluví, je to prostě průměrný uživatel. Pozdravy.
používám https://bitwarden.com/ Co říká zpráva tohoto správce hesel?