Koneksi online menjadi semakin banyak sejak tahun 2010-an, terutama dengan munculnya media sosial. Banyak layanan online mendorong pengguna untuk tidak menggunakan kata sandi yang sama di mana-mana.
Di sinilah pengelola kata sandi masuk untuk membantu pengguna menyimpan semua sandi yang mereka miliki secara terpusat dengan lapisan keamanan (tambahkan metadata dan banyak lagi).
Bagaimana cara menggunakan pengelola kata sandi?
Pengelola kata sandi memungkinkan penyimpanan dan pengambilan informasi rahasia dari database terenkripsi.
Pengguna mempercayai mereka untuk menawarkan jaminan keamanan yang lebih baik terhadap kebocoran tidak signifikan dibandingkan dengan cara lain untuk menyimpan kata sandi, seperti file teks yang tidak aman.
Dengan kata lain, pengelola kata sandi dapat menyimpan semua kata sandi Anda yang digunakan di Internet di satu tempat, sehingga sangat berguna.
Tidak semuanya seperti yang mereka cat
Karena itu, sekelompok penguji keamanan independen, ISE melaporkan minggu ini bahwa beberapa pengelola kata sandi paling populer memiliki beberapa kerentanan yang dapat dimanfaatkan untuk mencuri informasi identitas dari pengguna, dengan asumsi bahwa mereka belum dieksploitasi oleh pihak ketiga.
Dalam laporan yang disajikan oleh kelompok, menjelaskan jaminan keamanan bahwa pengelola kata sandi harus menawarkan dan memeriksa operasi yang mendasari lima pengelola kata sandi populer.
Bahkan tidak ada perangkat lunak bebas yang dikecualikan
Ini adalah pengelola kata sandi 1Password, Keepass, Dashlane, dan LastPass. Semua pengelola kata sandi yang tercantum di bawah ini bekerja dengan cara yang sama, kata mereka.
Pengguna memasukkan atau menghasilkan kata sandi dalam perangkat lunak dan menambahkan metadata yang relevan (misalnya, jawaban atas pertanyaan keamanan dan situs yang dirancang kata sandi).
Informasi ini dienkripsi dan kemudian didekripsi hanya jika layar diperlukan untuk mengirimkannya ke plugin browser yang mengisi sandi di situs web atau menyalinnya ke clipboard untuk digunakan.
Untuk setiap administrator ini, kelompok tersebut mendefinisikan tiga keadaan keberadaan: tidak berjalan, tidak terkunci, dan terkunci.
Di negara bagian pertama, pengelola kata sandi harus menjamin enkripsi sehingga selama pengguna tidak menggunakan kata sandi sepele, penyerang tidak bisa tiba-tiba menebak kata sandi utama dalam kata sandi.
Dalam keadaan kedua, seharusnya tidak mungkin untuk mengekstrak kata sandi master dari memori secara langsung atau dengan cara lain untuk memulihkan kata sandi master asli.
Dan di negara bagian ketiga, semua jaminan keamanan dari pengelola kata sandi non-aktif harus diterapkan ke pengelola kata sandi dalam keadaan terkunci.
Dalam analisis mereka, penguji mengklaim telah memeriksa algoritme yang digunakan oleh setiap pengelola kata sandi untuk mengubah kata sandi utama menjadi kunci enkripsi dan bahwa algoritme tersebut tidak memiliki kerumitan untuk menahan serangan peretas saat ini.
Tentang analisis administrator keamanan
Dalam kasus 1Password 4 (versi 4.6.2.628), penilaian keamanan operasionalnya menemukan perlindungan yang wajar terhadap pemaparan kata sandi individu dalam keadaan tidak terkunci.
Sayangnya, ini dilewati oleh penanganannya terhadap kata sandi utama dan berbagai detail implementasi yang rusak saat beralih dari status tidak terkunci ke status terkunci. Kata sandi utama tetap ada di memori.
Oleh karena itu, 1Password master password dapat diambil karena tidak terhapus dari memori setelah menempatkan pengelola kata sandi dalam keadaan terkunci.
Mengambil 1Password (versi 7.2.576), Yang mengejutkan mereka adalah mereka menemukannya ini kurang aman untuk dijalankan dibandingkan 1Password di versi sebelumnya dari 1Password 7 karena telah memecahkan semua kata sandi individu dalam database menguji data segera setelah dibuka dan di-cache, tidak seperti 1Password 4 yang hanya menyimpan satu entri pada satu waktu.
Juga menemukan bahwa 1Password 7 tidak menghapus kata sandi individu, baik sandi master, maupun kunci memori rahasia saat beralih dari status tidak terkunci ke status terkunci.
Kemudian, dalam penilaian Dashlane, proses menunjukkan bahwa fokusnya adalah menyembunyikan rahasia dalam memori untuk mengurangi risiko ekstraksi.
Selain itu, penggunaan GUI dan bingkai memori yang mencegah transmisi rahasia ke berbagai API sistem operasi adalah unik untuk Dashlane dan dapat menyebabkan mereka disadap oleh malware.
Linux juga bukan pengecualian
Tidak seperti pengelola kata sandi lainnya, KeePass itu adalah proyek open source. Mirip dengan 1Password 4, KeePass mendekripsi entri saat mereka berinteraksi.
Namun, semuanya tetap dalam memori karena tidak dihapus satu per satu setelah setiap interaksi. Kata sandi utama dihapus dari memori dan tidak dapat diambil kembali.
Namun, sementara KeePass mencoba mengamankan rahasia dengan menghapusnya dari memori, jelas ada beberapa bug dalam alur kerja ini, karena kami menemukan, kata mereka, bahwa bahkan dalam keadaan terkunci, kami dapat mengekstrak input yang berinteraksi dengannya.
Entri yang dicegat tetap berada dalam memori bahkan setelah KeePass telah ditempatkan dalam keadaan terkunci.
Akhirnya, seperti pada 1Password 4, LastPass menyembunyikan kata sandi utama saat dimasukkan di bidang buka kunci.
Setelah kunci dekripsi diturunkan dari kata sandi utama, kata sandi utama diganti dengan frase "lastpass".
sumber: securityevaluator
Kata sandi tidak boleh disimpan dimanapun selain buku catatan yang ditulis dengan bolpoin… selebihnya seperti cerita sang paman.
Setuju sekali, sebagai notebook tidak ada apa-apa karena memang agak sulit bagi para hacker
datang ke rumah Anda untuk mencuri buku catatan Anda
Apa yang akan menjadi administrator teraman?
Benar-benar berlebihan, jelas bahwa pengelola kata sandi tidak 100% aman, karena tidak ada yang 100% aman sekalian ... Meski begitu, selalu, akan selalu lebih aman menggunakan pengelola kata sandi daripada tidak menggunakannya. Pensil dan kertas? Tidak masuk akal kecuali jika Anda hanya memiliki 3 atau 4 kata sandi, tetapi untuk orang-orang seperti saya yang memiliki 50, 100 atau lebih akun berbeda di tempat yang berbeda tidak masuk akal sedikit pun, untuk itu kita harus menambahkan bahwa jika Anda kehilangan kertas atau flashdisk , ucapkan selamat tinggal pada kehidupan digital Anda. Pada tahun 2019, sama sekali tidak masuk akal untuk menyimpan kata sandi Anda di mana pun selain di cloud, semuanya dienkripsi dengan benar. Lastpass adalah hal teraman untuk digunakan saat ini, siapa pun yang mengklaim sebaliknya tidak tahu apa yang mereka bicarakan, mereka hanyalah pengguna biasa. Salam pembuka.
saya menggunakan https://bitwarden.com/ Apa isi laporan pengelola kata sandi ini?