Salasanojen hallinta ei ole niin turvallista kuin he väittävät

password-manager-relaunch_2018

Verkkoyhteyksiä on yhä enemmän 2010-luvulta lähtien, etenkin sosiaalisen median myötä. Monet verkkopalvelut kannustavat käyttäjiä olemaan käyttämättä samaa salasanaa kaikkialla.

Täällä salasanojen hallitsijat tulevat sisään auttaa käyttäjiä pitämään kaikki salasanansa keskitetysti suojauskerroksen avulla (lisää metatiedot ja paljon muuta).

Kuinka käyttää salasananhallintaa?

Salasanojen hallinta sallia luottamuksellisten tietojen tallentaminen ja noutaminen salatusta tietokannasta.

Käyttäjät luottavat siihen, että he tarjoavat parempia suojaustakeita vuotoja vastaan merkityksetön verrattuna muihin salasanojen tallennusmenetelmiin, kuten turvattomiin tekstitiedostoihin.

Toisin sanoen salasanojen hallinta voi pitää kaikki Internetissä käytetyt salasanasi yhdessä paikassa, joten ne ovat erittäin hyödyllisiä.

Kaikki ei ole niin kuin ne maalataan

Siitä huolimatta ryhmä riippumattomia turvatestaajia, ISE ilmoitti tällä viikolla, että joillakin suosituimmista salasananhallinnoijista on haavoittuvuuksia joita voitaisiin hyödyntää varastamaan henkilöllisyystietoja käyttäjiltä, ​​olettaen, että kolmannet osapuolet eivät ole vielä hyödyntäneet niitä.

Ryhmän esittämässä raportissa kuvasi turvatakuita, joita salasanahallinnoijien tulisi tarjota, ja tarkasteli viiden suositun salasanahallinnan taustalla olevaa toimintaa.

Edes ilmaiset ohjelmistot eivät ole vapautettuja

Nämä ovat salasanojen hallintaohjelmat 1Password, Keepass, Dashlane ja LastPass. Kaikki nämä alla luetellut salasananhallintaohjelmat toimivat samalla tavalla, he sanovat.

Käyttäjät syöttävät tai luovat salasanoja ohjelmistoon ja lisäävät asiaankuuluvia metatietoja (esimerkiksi vastauksia turvakysymyksiin ja sivuston, jolle salasana on suunniteltu).

Nämä tiedot salataan ja puretaan sitten vasta, kun näytön on tarpeen lähettää se selaimen laajennukselle, joka täyttää verkkosivuston salasanan tai kopioi sen leikepöydälle käyttöä varten.

Jokaiselle ylläpitäjälle ryhmä määrittelee kolme olemassaolotilaa: ei käynnissä, lukitsematon ja lukittu.

Ensimmäisessä tilassa salasanojen hallinnan on taattava salaus jotta hyökkääjä ei voi yhtäkkiä arvata pääsalasanaa salasanassa niin kauan kuin käyttäjä ei käytä triviaalia salasanaa.

Toisessa tilassa pääsalasanan ei pitäisi olla mahdollista purkaa muistista suoraan tai millään muulla tavalla alkuperäisen pääsalasanan palauttamiseksi.

Ja kolmannessa tilassa kaikki ei-aktiivisen salasananhallinnan suojaustakuut on sovellettava salasananhallintaan lukitussa tilassa.

Analyysissään testaajat väittävät tutkineensa kunkin salasananhallinnan käyttämän algoritmin pääsalasanan muuntamiseksi salausavaimeksi ja että algoritmilla ei ole monimutkaisuutta kestää nykyisiä halkeiluhyökkäyksiä.

Turvallisuuden järjestelmänvalvojien analyysistä

1Password 4 (versio 4.6.2.628), sen käyttöturvallisuusarvioinnissa havaittiin kohtuulliset suojautumiset yksittäisten salasanojen altistumista vastaan ​​lukitsemattomassa tilassa.

Valitettavasti tämä ohitettiin käsittelemällä pääsalasanaa ja erilaisilla rikkinäisillä toteutuksen yksityiskohdilla siirryttäessä lukitsemattomasta tilasta lukittuun tilaan. Pääsalasana on muistissa.

Näin ollen, 1Salasanan pääsalasana voidaan noutaa, koska sitä ei poisteta muistista asettamisen jälkeen salasananhallinta lukittuun tilaan.

1Password (versio 7.2.576), Yllätti heidät se, että he löysivät sen se on vähemmän turvallinen suorittaa kuin 1Password edellisessä versiossaan kuin 1Password 7, koska se on murtanut kaikki yksittäiset salasanat tietokannassa, testaa tiedot heti, kun ne on avattu ja välimuisti, toisin kuin 1Password 4, joka on tallentanut vain yhden merkinnän kerrallaan.

Lisäksi myös havaitsi, että 1Password 7 ei tyhjennä yksittäisiä salasanoja, ei pääsalasanaa eikä salaista muistiavainta, kun siirryt lukitsemattomasta tilasta lukittuun tilaan.

Sitten Dashlane-arvioinnissa prosessit osoittivat, että painopiste oli salaisuuksien piilottamisessa muistissa uuttoriskien vähentämiseksi.

Lisäksi käyttöliittymien ja muistikehysten käyttö, joka esti salaisuuksien siirtämisen eri käyttöjärjestelmän sovellusliittymiin, oli ainutlaatuista Dashlaneille ja saattoi altistaa heidät salakuuntelulle haittaohjelmien avulla.

Myöskään Linux ei ole poikkeus

Toisin kuin muut salasanojen hallintaohjelmat, KeePass se on avoimen lähdekoodin projekti. Samoin kuin 1Password 4, KeePass purkaa merkinnät salauksen ollessa vuorovaikutuksessa.

Ne kaikki kuitenkin jäävät muistiin, koska niitä ei poisteta erikseen jokaisen vuorovaikutuksen jälkeen. Pääsalasana poistetaan muistista, eikä sitä voi noutaa.

Vaikka KeePass yrittää suojata salaisuuksia poistamalla ne muistista, näissä työnkuluissa on ilmeisesti joitain virheitä, koska havaitsimme heidän mukaansa, että jopa lukitussa tilassa voisimme purkaa syötteet, joiden kanssa se oli ollut vuorovaikutuksessa.

Siepatut merkinnät pysyvät muistissa, vaikka KeePass on asetettu lukittuun tilaan.

Lopuksi, kuten 1. salasanassa 4, LastPass piilottaa pääsalasanan, kun se syötetään avauskenttään.

Kun salauksenpurkuavain on johdettu pääsalasanasta, pääsalasana korvataan lauseella "lastpass".

lähde: turvallisuusarvioijat


5 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   anonyymi dijo

    Salasanoja ei saa tallentaa muualle kuin kuulakärkikynällä kirjoitettuun muistikirjaan ... loput ovat kuin setän tarina.

  2.   Paco dijo

    täysin samaa mieltä, koska muistikirja ei ole mitään, koska se on vähän vaikeaa hakkereille
    tule talosi varastamaan muistikirjaasi

  3.   luix dijo

    Mikä olisi turvallisin järjestelmänvalvoja?

  4.   ruohohattu dijo

    Täydellinen liioittelu, on selvää, että salasanojen hallinta ei ole 100% turvallista, koska mikään ei ole 100% turvallista herraa ... Siitä huolimatta on aina turvallisempaa käyttää salasanan hallintaa kuin olla käyttämättä sitä. Lyijykynä ja paperi? Absurdi, ellei sinulla ole vain 3 tai 4 salasanaa, mutta kaltaisilleni ihmisille, joilla on 50, 100 tai enemmän eri tilejä eri paikoissa, ei ole mitään järkeä, siihen on lisättävä, että jos menetät paperin tai pendriven , sano heille hyvästit digitaaliseen elämään. Vuonna 2019 ei ole järkevää tallentaa salasanoja mihinkään muuhun kuin pilveen, kaikki oikein salattuina. Lastpass on turvallisin asia käyttää nykyään, kuka väittää toisin, ei tiedä mistä puhuu, hän on yksinkertaisesti keskimääräinen käyttäjä. Terveisiä.

  5.   räystäspääsky dijo

    käytän https://bitwarden.com/ Mitä tämän salasananhallinnan raportti sanoo?