Onlineforbindelser er blevet flere og flere siden 2010'erne, især med fremkomsten af sociale medier. Mange onlinetjenester opfordrer brugerne til ikke at bruge den samme adgangskode overalt.
Det er her adgangskodeadministratorer kommer ind i billedet. at hjælpe brugere med at holde alle de adgangskoder, de har, centralt med et sikkerhedslag (tilføj metadata og mange flere).
Hvordan bruger man en password manager?
adgangskodeadministratorer tillade lagring og hentning af fortrolige oplysninger fra en krypteret database.
Brugerne stoler på, at de tilbyder bedre sikkerhedsgarantier mod lækager ubetydelig sammenlignet med andre måder at gemme adgangskoder på, såsom usikre tekstfiler.
Med andre ord kan adgangskodeadministratorer opbevare alle dine adgangskoder, der bruges på internettet, ét sted, så de er meget nyttige.
Ikke alt er, som de maler det
Når det er sagt, en gruppe uafhængige sikkerhedstestere, ISE rapporterede i denne uge, at nogle af de mest populære adgangskodeadministratorer har nogle sårbarheder. som kunne udnyttes til at stjæle brugernes identitetsoplysninger, forudsat at de endnu ikke er blevet udnyttet af tredjeparter.
I gruppens beretning, De beskrev de sikkerhedsgarantier, som adgangskodeadministratorer bør tilbyde, og undersøgte den underliggende drift af fem populære adgangskodeadministratorer.
Ikke engang gratis software er undtaget
Disse er adgangskodeadministratorerne 1Password, Keepass, Dashlane og LastPass. Alle disse adgangskodeadministratorer, der er anført nedenfor, fungerer på samme måde, siger de.
Brugere indtaster eller genererer adgangskoder i softwaren og tilføjer relevante metadata (f.eks. svar på sikkerhedsspørgsmål og det websted, adgangskoden er designet til).
Disse oplysninger krypteres og dekrypteres derefter kun, når det er nødvendigt for, at skærmen kan overføre dem til et browser-plugin, der udfylder adgangskoden på et websted eller kopierer det til udklipsholderen til brug.
For hver af disse ledere, poolen definerer tre eksistenstilstande: ikke kørende, ulåst og låst.
I den første tilstand skal adgangskodeadministratoren sikre kryptering så længe brugeren ikke bruger en triviel adgangskode, kan en angriber ikke pludselig gætte hovedadgangskoden i en adgangskode.
I den anden tilstand burde det ikke være muligt at udtrække hovedadgangskoden fra hukommelsen direkte eller på anden måde for at gendanne den originale hovedadgangskode.
Og i den tredje tilstand skal alle sikkerhedsgarantierne for en ikke-aktiv adgangskodeadministrator gælde for en adgangskodemanager i låst tilstand.
I deres analyse siger testerne, at de har undersøgt den algoritme, der bruges af hver adgangskodeadministrator til at omdanne hovedadgangskoden til en krypteringsnøgle, og at algoritmen mangler kompleksiteten til at modstå aktuelle cracking-angreb.
Om analyse af sikkerhedsadministratorer
I tilfælde af 1Password 4 (version 4.6.2.628), fandt dens operationelle sikkerhedsvurdering rimelige beskyttelser mod at afsløre individuelle adgangskoder i ulåst tilstand.
Desværre blev dette tilsidesat af dets håndtering af hovedadgangskoden og flere ødelagte implementeringsdetaljer, når man gik fra ulåst til låst tilstand. Hovedadgangskoden forbliver i hukommelsen.
Derfor, det er muligt at gendanne 1Password-hovedadgangskoden, da den ikke slettes fra hukommelsen efter at have placeret adgangskodehåndteringen i en låst tilstand.
Ved at tage 1Password (version 7.2.576), Det, der overraskede dem, er, at de fandt det det er mindre sikkert at køre end 1Password i sin tidligere version at 1Password 7 har knækket alle individuelle adgangskoder i databasens testdata, så snart det er låst op og cache, i modsætning til 1Password 4, der kun cachede en post ad gangen.
Derudover også fandt ud af, at 1Password 7 ikke rydder individuelle adgangskoder, hverken hovedadgangskoden eller den hemmelige nøgle fra hukommelsen, når du går fra ulåst tilstand til låst tilstand.
Senere, i Dashlane-evalueringen, indikerede processer, at fokus var på at skjule hemmeligheder i hukommelsen for at reducere udvindingsrisici.
Derudover var brugen af GUI og in-memory rammer, der forhindrede overførsel af hemmeligheder til forskellige operativsystem-API'er, unik for Dashlane og kunne udsætte dem for ondsindet aflytning af malware.
Linux er heller ingen undtagelse
I modsætning til andre adgangskodeadministratorer, KeePass det er et open source-projekt. I lighed med 1Password 4 dekrypterer KeePass poster, efterhånden som de interageres med dem.
De forbliver dog alle i hukommelsen, fordi de ikke slettes individuelt efter hver interaktion. Hovedadgangskoden slettes fra hukommelsen og kan ikke gendannes.
Men mens KeePass forsøger at sikre hemmeligheder ved at slette dem fra hukommelsen, er der naturligvis nogle fejl i disse arbejdsgange, fordi vi fandt ud af, siger de, at selv i en låst tilstand kunne vi udtrække poster, som den havde interageret med.
Opsnappede poster forbliver i hukommelsen, selv efter KeePass er blevet placeret i en låst tilstand.
Endelig, ligesom i 1Password 4, LastPass skjuler hovedadgangskoden, når den indtastes i oplåsningsfeltet.
Når først dekrypteringsnøglen er afledt af hovedadgangskoden, erstattes hovedadgangskoden med udtrykket "lastpass".
kilde: sikkerhedsevaluatorer
Adgangskoder bør ikke opbevares andre steder end en notesbog skrevet med en pen... resten er som onkels historie.
helt enig, ligesom notesbogen er der intet, da det er lidt svært for hackere
kom ind i dit hus for at stjæle din notesbog
Hvilken ville være den mest sikre administrator?
Total overdrivelse, det er indlysende, at en password manager ikke er 100 % sikker, for intet er 100 % sikkert mine herrer... Alligevel vil det altid, altid være sikrere at bruge en password manager end ikke at bruge den. Blyant og papir? Absurd, medmindre du kun har 3 eller 4 adgangskoder, men for folk som mig, der har 50, 100 eller flere forskellige konti på forskellige sider, giver det ikke den mindste mening, dertil må vi tilføje, at hvis du mister papiret eller flashen køre, sig dem farvel til dit digitale liv. I 2019 giver det ikke den mindste mening at opbevare dine adgangskoder andre steder end i skyen, alt korrekt krypteret. Lastpass er det sikreste der kan bruges i dag, den der påstår andet ved ikke hvad de taler om, de er bare en gennemsnitlig bruger. Vær hilset.
Jeg bruger https://bitwarden.com/ Hvad siger rapporten fra denne adgangskodemanager?