Veebiühendused on muutunud üha arvukamaks alates 2010. aastatest, eriti sotsiaalmeedia tulekuga. Paljud veebiteenused julgustavad kasutajaid mitte kasutama sama parooli kõikjal.
Siin tulevad sisse paroolihaldurid aidata kasutajatel turvakihiga kõiki keskset paroole hoida (lisage metaandmeid ja palju muud).
Kuidas paroolihaldurit kasutada?
Paroolihaldurid võimaldada konfidentsiaalse teabe salvestamist ja otsimist krüpteeritud andmebaasist.
Kasutajad usaldavad neid lekete eest paremaid turvatagatisi pakkuma tähtsusetu võrreldes teiste paroolide salvestamise viisidega, näiteks ebaturvaliste tekstifailidega.
Teisisõnu, paroolihaldurid saavad kõik teie Internetis kasutatavad paroolid ühes kohas hoida, nii et neist on palju kasu.
Kõik pole nii, nagu nad seda maalivad
Nagu öeldud, sõltumatute turvatestijate rühm, ISE teatas sel nädalal, et mõnel populaarseimal paroolihalduril on mõned haavatavused mida saaks kasutada kasutajatelt identiteediteabe varastamiseks, eeldades, et kolmandad osapooled pole neid veel kasutanud.
Rühma esitatud aruandes kirjeldas turvatagatisi, mida paroolihaldurid peaksid pakkuma, ja uuris viie populaarse paroolihalduri toimimist.
Isegi vabatarkvara pole erand
Need on paroolihaldurid 1Password, Keepass, Dashlane ja LastPass. Kõik need allpool loetletud paroolihaldurid töötavad samal viisil, ütlevad nad.
Kasutajad sisestavad tarkvarasse paroolid või genereerivad need ja lisavad asjakohaseid metaandmeid (näiteks vastused turvaküsimustele ja sait, mille jaoks parool on loodud).
See teave krüpteeritakse ja seejärel dekrüpteeritakse ainult siis, kui ekraanil on vaja see edastada brauseri pistikprogrammi, mis täidab veebisaidil parooli või kopeerib selle lõikepuhvrisse kasutamiseks.
Kõigi nende administraatorite puhul rühm määratleb kolm eksisteerimisseisundit: mitte jooksmine, lukustamata ja lukustamata.
Esimeses olekus peab paroolihaldur tagama krüptimise nii et seni, kuni kasutaja ei kasuta tühist parooli, ei saa ründaja järsku parooli peaparooli ära arvata.
Teises olekus ei tohiks peaparooli mälust välja tõmmata algse parooli taastamiseks otse või muul viisil.
Kolmandas riigis tuleb lukustamata paroolihaldurile rakendada kõik mitteaktiivse paroolihalduri turvagarantiid.
Oma analüüsis väidavad testijad, et nad on uurinud algoritmi, mida iga paroolihaldur kasutas põhiparooli krüptovõtmeks teisendamiseks, ja et algoritmil pole tänapäevaste krakkimisrünnakute talumiseks keerukust.
Turvalisuse administraatorite analüüsi kohta
1Password 4 (versioon 4.6.2.628) leiti oma operatiivturvalisuse hinnangus mõistlik kaitse üksikute paroolidega kokkupuute eest lukustamata olekus.
Kahjuks möödusid sellest põhiparooli käitlemine ja lukustatud olekust lukustatud olekusse minnes mitmesugused rikkis rakendamise üksikasjad. Põhiparool jääb mällu.
Seetõttu 1Parooli põhiparooli saab kätte, kuna seda ei kustutata mälust pärast paroolihalduri lukustatud olekusse viimist.
1Password (versioon 7.2.576), Üllatas neid see, et nad leidsid selle see on vähem turvaline kui 1Password oma eelmises versioonis kui 1Password 7, kuna see on andmebaasis kõik üksikud paroolid krakitud, testib andmeid kohe, kui need on lukustamata ja vahemällu salvestatud, erinevalt 1Password 4-st, kuhu on korraga salvestatud ainult üks kirje.
Ka leidis, et 1Password 7 ei kustuta üksikuid paroole, ei peaparooli ega salajast mäluvõtit lukustamata olekust lukustatud olekusse minnes.
Seejärel näitasid protsessid Dashlani hinnangus, et ekstraheerimisriskide vähendamiseks keskenduti saladuste varjamisele mällu.
Lisaks oli GUI ja mälukaadrite kasutamine, mis takistas saladuste edastamist erinevatele operatsioonisüsteemi API-dele, Dashlane'ile ainulaadne ja võis neid paljastada pahavara pealtkuulamises.
Ka Linux pole erand
Erinevalt teistest paroolihalduritest KeePass see on avatud lähtekoodiga projekt. Sarnaselt 1Password 4-ga dekrüpteerib KeePass kirjed nende suhtlemisel.
Kuid need kõik jäävad mällu, sest neid ei kustutata iga interaktsiooni järel eraldi. Põhiparool kustutatakse mälust ja seda ei saa tuua.
Kuigi KeePass püüab saladusi turvata mälust kustutades, on ilmselgelt nendes töövoogudes mõned vead, sest leidsime nende sõnul, et isegi lukustatud olekus võiksime välja tuua sisendid, millega ta oli suhelnud.
Püütud kirjed jäävad mällu ka pärast KeePassi lukustatud olekusse viimist.
Lõpuks, nagu 1. parool 4, LastPass peidab põhiparooli, kui see sisestatakse avamisväljale.
Kui dekrüpteerimisvõti on tuletatud põhiparoolist, asendatakse põhiparool fraasiga "lastpass".
allikas: turvalisuse hindajad
Paroole ei tohiks hoida kusagil mujal kui pastapliiatsiga kirjutatud märkmikus ... ülejäänu on nagu onu lugu.
täiesti nõus, kuna märkmikus pole midagi, kuna see on häkkerite jaoks natuke keeruline
sisenege oma koju, et oma märkmikku varastada
Mis oleks kõige turvalisem administraator?
Täielik liialdus on ilmne, et paroolihaldur pole 100% turvaline, sest miski pole 100% turvaline härrasmees ... Sellegipoolest on paroolihalduri kasutamine alati turvalisem kui selle kasutamata jätmine. Pliiats ja paber? Absurdne, kui teil pole ainult 3 või 4 parooli, kuid minusuguste inimeste jaoks, kellel on erinevates kohtades 50, 100 või rohkem erinevat kontot, pole sellel vähimatki mõtet, lisaks peame lisama, et kui kaotate paberi või pendrive'i , ütle neile hüvasti oma digitaalse eluga. 2019. aastal pole vähimatki mõtet paroole salvestada mujale kui pilve, kõik korralikult krüptitud. Lastpass on tänapäeval kõige kindlam kasutada, kes väidab vastupidist, ei tea, millest räägib, ta on lihtsalt keskmine kasutaja. Tervitused.
ma kasutan https://bitwarden.com/ Mida ütleb selle paroolihalduri aruanne?