Οι διαδικτυακές συνδέσεις έχουν γίνει όλο και περισσότερες από τη δεκαετία του 2010, ειδικά με την έλευση των κοινωνικών μέσων. Πολλές διαδικτυακές υπηρεσίες ενθαρρύνουν τους χρήστες να μην χρησιμοποιούν τον ίδιο κωδικό πρόσβασης παντού.
Εδώ μπαίνουν οι διαχειριστές κωδικών πρόσβασης για να βοηθήσετε τους χρήστες να διατηρούν όλους τους κωδικούς πρόσβασης που έχουν κεντρικά με ένα επίπεδο ασφαλείας (προσθέστε μεταδεδομένα και πολλά άλλα)
Πώς να χρησιμοποιήσετε έναν διαχειριστή κωδικών πρόσβασης;
Διαχειριστές κωδικών πρόσβασης επιτρέψτε την αποθήκευση και ανάκτηση εμπιστευτικών πληροφοριών από μια κρυπτογραφημένη βάση δεδομένων.
Οι χρήστες τους εμπιστεύονται να προσφέρουν καλύτερες εγγυήσεις ασφαλείας έναντι διαρροών ασήμαντο σε σύγκριση με άλλα μέσα αποθήκευσης κωδικών πρόσβασης, όπως μη ασφαλή αρχεία κειμένου.
Με άλλα λόγια, οι διαχειριστές κωδικών πρόσβασης μπορούν να διατηρούν όλους τους κωδικούς πρόσβασης που χρησιμοποιούνται στο Διαδίκτυο σε ένα μέρος, οπότε είναι πολύ χρήσιμοι.
Δεν είναι όλα όπως το ζωγραφίζουν
Με αυτό είπε, μια ομάδα ανεξάρτητων ελεγκτών ασφαλείας, Η ISE ανέφερε αυτήν την εβδομάδα ότι μερικοί από τους πιο δημοφιλείς διαχειριστές κωδικών πρόσβασης έχουν κάποια τρωτά σημεία που θα μπορούσαν να αξιοποιηθούν για να κλέψουν πληροφορίες ταυτότητας από χρήστες, υποθέτοντας ότι δεν έχουν ακόμη αξιοποιηθεί από τρίτους.
Στην έκθεση που παρουσίασε η ομάδα, περιέγραψε τις εγγυήσεις ασφαλείας που πρέπει να προσφέρουν οι διαχειριστές κωδικών πρόσβασης και εξέτασαν την υποκείμενη λειτουργία πέντε δημοφιλών διαχειριστών κωδικών πρόσβασης.
Δεν εξαιρείται καν ελεύθερο λογισμικό
Αυτοί είναι οι διαχειριστές κωδικών πρόσβασης 1Password, Keepass, Dashlane και LastPass. Όλοι αυτοί οι διαχειριστές κωδικών πρόσβασης που αναφέρονται παρακάτω λειτουργούν με τον ίδιο τρόπο, λένε.
Οι χρήστες εισάγουν ή δημιουργούν κωδικούς πρόσβασης στο λογισμικό και προσθέτουν σχετικά μεταδεδομένα (για παράδειγμα, απαντήσεις σε ερωτήσεις ασφαλείας και τον ιστότοπο για τον οποίο έχει σχεδιαστεί ο κωδικός πρόσβασης).
Αυτές οι πληροφορίες κρυπτογραφούνται και στη συνέχεια αποκρυπτογραφούνται μόνο όταν είναι απαραίτητο για την οθόνη να τις μεταδώσει σε μια προσθήκη προγράμματος περιήγησης που συμπληρώνει τον κωδικό πρόσβασης σε έναν ιστότοπο ή τις αντιγράφει στο πρόχειρο για χρήση.
Για καθέναν από αυτούς τους διαχειριστές, η ομάδα ορίζει τρεις καταστάσεις ύπαρξης: δεν τρέχει, ξεκλειδώνει και κλειδώνει.
Στην πρώτη κατάσταση, ο διαχειριστής κωδικών πρόσβασης πρέπει να διασφαλίζει κρυπτογράφηση έτσι ώστε όσο ο χρήστης δεν χρησιμοποιεί έναν ασήμαντο κωδικό πρόσβασης, ένας εισβολέας δεν μπορεί ξαφνικά να μαντέψει τον κύριο κωδικό πρόσβασης σε έναν κωδικό πρόσβασης.
Στη δεύτερη κατάσταση, δεν πρέπει να είναι δυνατή η εξαγωγή του κύριου κωδικού πρόσβασης από τη μνήμη άμεσα ή με οποιονδήποτε άλλο τρόπο για να ανακτήσετε τον αρχικό κύριο κωδικό πρόσβασης.
Και στην τρίτη κατάσταση, όλες οι εγγυήσεις ασφαλείας ενός μη ενεργού διαχειριστή κωδικών πρόσβασης πρέπει να εφαρμόζονται σε έναν διαχειριστή κωδικών πρόσβασης σε κατάσταση κλειδώματος.
Στην ανάλυσή τους, οι δοκιμαστές ισχυρίζονται ότι εξέτασαν τον αλγόριθμο που χρησιμοποίησε κάθε διαχειριστής κωδικών πρόσβασης για να μετατρέψουν τον κύριο κωδικό πρόσβασης σε κλειδί κρυπτογράφησης και ότι ο αλγόριθμος δεν έχει την πολυπλοκότητα να αντέξει τις σημερινές επιθέσεις ρωγμών.
Σχετικά με την ανάλυση των διαχειριστών ασφαλείας
Στην περίπτωση του 1Password 4 (έκδοση 4.6.2.628), η επιχειρησιακή αξιολόγηση ασφάλειας διαπίστωσε εύλογες προφυλάξεις από την έκθεση μεμονωμένων κωδικών πρόσβασης σε κατάσταση ξεκλειδώματος.
Δυστυχώς, αυτό παρακάμφθηκε από τον χειρισμό του κύριου κωδικού πρόσβασης και διαφόρων σπασμένων λεπτομερειών εφαρμογής κατά τη μετάβαση από την ξεκλείδωτη κατάσταση στην κλειδωμένη κατάσταση. Ο κύριος κωδικός παραμένει στη μνήμη.
Ως εκ τούτου, Ο κύριος κωδικός πρόσβασης 1 κωδικού πρόσβασης μπορεί να ανακτηθεί καθώς δεν διαγράφεται από τη μνήμη μετά τη θέση του διαχειριστή κωδικών πρόσβασης σε κατάσταση κλειδώματος
Λήψη 1Password (έκδοση 7.2.576), Αυτό που τους εξέπληξε είναι ότι το βρήκαν Είναι λιγότερο ασφαλές να εκτελείται από το 1Password στην προηγούμενη έκδοση από το 1Password 7 καθώς έχει σπάσει όλους τους μεμονωμένους κωδικούς πρόσβασης στη βάση δεδομένων, ελέγξτε τα δεδομένα μόλις ξεκλειδωθεί και αποθηκευτεί στην κρυφή μνήμη, σε αντίθεση με το 1Password 4 που έχει αποθηκεύσει μόνο μία καταχώρηση κάθε φορά.
Επίσης διαπίστωσε ότι το 1Password 7 δεν διαγράφει μεμονωμένους κωδικούς πρόσβασης, ούτε ο κύριος κωδικός πρόσβασης, ούτε το μυστικό κλειδί μνήμης κατά τη μετάβαση από την κατάσταση ξεκλειδώματος στην κατάσταση κλειδώματος.
Στη συνέχεια, στην εκτίμηση Dashlane, οι διαδικασίες έδειξαν ότι η εστίαση ήταν να κρύβονται μυστικά στη μνήμη για τη μείωση των κινδύνων εξαγωγής.
Επιπλέον, η χρήση πλαισίων GUI και μνήμης που εμπόδισαν τη μετάδοση μυστικών σε διάφορα API του λειτουργικού συστήματος ήταν μοναδική για το Dashlane και θα μπορούσε να τα εκθέσει σε υποκλοπή από κακόβουλο λογισμικό.
Το Linux δεν αποτελεί εξαίρεση
Σε αντίθεση με άλλους διαχειριστές κωδικών πρόσβασης, KeePass είναι ένα έργο ανοιχτού κώδικα. Παρόμοια με το 1Password 4, το KeePass αποκρυπτογραφεί τις καταχωρήσεις καθώς αλληλεπιδρούν.
Ωστόσο, όλοι παραμένουν στη μνήμη επειδή δεν διαγράφονται ξεχωριστά μετά από κάθε αλληλεπίδραση. Ο κύριος κωδικός πρόσβασης διαγράφεται από τη μνήμη και δεν μπορεί να ανακτηθεί.
Ωστόσο, ενώ το KeePass προσπαθεί να εξασφαλίσει μυστικά διαγράφοντάς τα από τη μνήμη, υπάρχουν προφανώς κάποια σφάλματα σε αυτές τις ροές εργασίας, επειδή βρήκαμε, λένε, ότι ακόμη και σε κλειδωμένη κατάσταση, θα μπορούσαμε να εξαγάγουμε τις εισόδους με τις οποίες είχε αλληλεπιδράσει.
Οι αναχαιτισμένες καταχωρήσεις παραμένουν στη μνήμη ακόμα και μετά την τοποθέτηση του KeePass σε κατάσταση κλειδώματος.
Τέλος, όπως στο 1Password 4, Το LastPass αποκρύπτει τον κύριο κωδικό πρόσβασης όταν εισάγεται στο πεδίο ξεκλειδώματος.
Μόλις το κλειδί αποκρυπτογράφησης προέρχεται από τον κύριο κωδικό πρόσβασης, ο κύριος κωδικός αντικαθίσταται από τη φράση "Lastpass".
πηγή: αξιολογητές ασφαλείας
Οι κωδικοί πρόσβασης δεν πρέπει να φυλάσσονται σε άλλο μέρος εκτός από ένα σημειωματάριο γραμμένο με στυλό ... τα υπόλοιπα είναι σαν την ιστορία του θείου.
Συμφωνώ απόλυτα, καθώς το σημειωματάριο δεν υπάρχει τίποτα αφού είναι λίγο δύσκολο για τους χάκερ
ελάτε στο σπίτι σας για να κλέψετε το σημειωματάριό σας
Ποιος θα ήταν ο ασφαλέστερος διαχειριστής;
Απόλυτη υπερβολή, είναι προφανές ότι ένας διαχειριστής κωδικών πρόσβασης δεν είναι 100% ασφαλής, γιατί τίποτα δεν είναι 100% ασφαλές κύριοι… Ακόμα κι έτσι, θα ήταν πάντα ασφαλέστερο να χρησιμοποιείτε έναν διαχειριστή κωδικών πρόσβασης από το να μην τον χρησιμοποιείτε. Μολύβι και χαρτί; Παράλογο, εκτός αν έχετε μόνο 3 ή 4 κωδικούς πρόσβασης, αλλά για άτομα σαν εμένα που έχουν 50, 100 ή περισσότερους διαφορετικούς λογαριασμούς σε διαφορετικά μέρη, δεν έχει την παραμικρή νόημα, σε αυτό πρέπει να προσθέσουμε ότι εάν χάσετε το χαρτί ή το pendrive , πείτε τους αντίο στην ψηφιακή σας ζωή. Το 2019 δεν υπάρχει νόημα με την παραμικρή έννοια να αποθηκεύσετε τους κωδικούς πρόσβασής σας αλλού παρά στο σύννεφο, όλα κρυπτογραφημένα σωστά. Το Lastpass είναι το ασφαλέστερο πράγμα που χρησιμοποιείται σήμερα, όποιος ισχυρίζεται διαφορετικά δεν ξέρει για τι μιλάει, είναι απλά ένας μέσος χρήστης. Χαιρετίσματα.
χρησιμοποιώ https://bitwarden.com/ Τι λέει η αναφορά αυτού του διαχειριστή κωδικών πρόσβασης;