Prisijungimų internete vis daugėja nuo 2010-ųjų, ypač atsiradus socialinei žiniasklaidai. Daugelis internetinių paslaugų skatina vartotojus ne visur naudoti tą patį slaptažodį.
Čia patenka slaptažodžių tvarkyklės padėti vartotojams saugoti visus turimus slaptažodžius centralizuotai naudojant saugos sluoksnį (pridėkite metaduomenis ir daug daugiau).
Kaip naudotis slaptažodžių tvarkykle?
Slaptažodžių valdytojai leisti saugoti ir gauti konfidencialią informaciją iš užšifruotos duomenų bazės.
Vartotojai tiki, kad jie siūlo geresnes saugumo garantijas nuo nutekėjimo nereikšmingas, palyginti su kitomis slaptažodžių saugojimo priemonėmis, pavyzdžiui, nesaugiais tekstiniais failais.
Kitaip tariant, slaptažodžių valdytojai visus internetinius slaptažodžius gali laikyti vienoje vietoje, todėl jie yra labai naudingi.
Ne viskas yra taip, kaip jie piešia
Nepaisant to, nepriklausomų saugumo bandytojų grupė, ISE šią savaitę pranešė, kad kai kurie populiariausi slaptažodžių valdytojai turi tam tikrų pažeidžiamumų kurią būtų galima panaudoti pavogiant tapatybės informaciją iš vartotojų, darant prielaidą, kad trečiosios šalys jos dar neišnaudojo.
Grupės pateiktoje ataskaitoje aprašė saugumo garantijas, kurias turėtų pasiūlyti slaptažodžių valdytojai, ir išnagrinėjo pagrindinę penkių populiarių slaptažodžių valdytojų operaciją.
Neapmokestinama net nemokama programinė įranga
Tai yra slaptažodžių tvarkyklės „1Password“, „Keepass“, „Dashlane“ ir „LastPass“. Visi šie toliau išvardyti slaptažodžių tvarkytuvai veikia taip pat, sako jie.
Vartotojai programinėje įrangoje įveda arba sugeneruoja slaptažodžius ir prideda atitinkamus metaduomenis (pavyzdžiui, atsakymus į saugos klausimus ir svetainę, kuriai sukurtas slaptažodis).
Ši informacija yra užšifruojama ir iššifruojama tik tada, kai ekrane būtina ją perduoti į naršyklės papildinį, kuris užpildo slaptažodį svetainėje arba nukopijuoja jį į mainų sritį.
Kiekvienam iš šių administratorių grupė apibrėžia tris egzistavimo būsenas: neveikia, atrakinta ir užrakinta.
Pirmoje būsenoje slaptažodžių tvarkyklė turi užtikrinti šifravimą kad vartotojas nenaudotų nereikšmingo slaptažodžio, užpuolikas negalėtų staiga atspėti pagrindinio slaptažodžio.
Antroje būsenoje neturėtų būti įmanoma iš atminties ištraukti pagrindinio slaptažodžio tiesiogiai ar bet kokiu kitu būdu atkurti pirminį pagrindinį slaptažodį.
Trečioje valstybėje visos neaktyvių slaptažodžių tvarkytuvės saugumo garantijos turi būti taikomos slaptažodžių valdytojui užrakintoje būsenoje.
Analizuodami testuotojai teigia išnagrinėję kiekvieno slaptažodžių tvarkytuvo naudojamą algoritmą, kad pagrindinis slaptažodis būtų paverstas šifravimo raktu, ir kad algoritmas neturi sudėtingumo atlaikyti šiandienos įtrūkimų atakas.
Dėl saugumo administratorių analizės
1Password 4 atveju (4.6.2.628 versija), jos saugumo vertinime nustatyta tinkama apsauga nuo pavienių slaptažodžių veikimo neužrakintoje būsenoje.
Deja, tai buvo apeinama tvarkant pagrindinį slaptažodį ir įvairiomis sugedusiomis įgyvendinimo detalėmis pereinant nuo atrakintos būsenos į užrakintą būseną. Pagrindinis slaptažodis lieka atmintyje.
Todėl 1 Slaptažodžio pagrindinį slaptažodį galima gauti, nes jis neištrinamas iš atminties įvedę slaptažodžių tvarkyklę užrakintoje būsenoje.
„1Password“ (7.2.576 versija), Juos nustebino tai, kad jie tai rado tai yra mažiau saugu paleisti nei 1Password ankstesnėje versijoje nei 1 slaptažodis 7, nes jis nulaužė visus atskirus slaptažodžius duomenų bazėje, bando duomenis, kai tik jie atrakinami ir talpinami, skirtingai nei „1Password 4“, kuriame vienu metu saugomas tik vienas įrašas.
Taip pat nustatė, kad „1Password 7“ neišvalo atskirų slaptažodžių, nei pagrindinio slaptažodžio, nei slapto atminties rakto einant iš atrakintos būsenos į užrakintą būseną.
Tada, vertinant Dashlane'ą, procesai parodė, kad dėmesys buvo sutelktas į paslapčių slėpimą atmintyje, kad būtų sumažinta išgavimo rizika.
Be to, GUI ir atminties rėmelių, kurie neleido perduoti paslapčių įvairioms operacinės sistemos API, naudojimas buvo unikalus „Dashlane“ ir galėjo juos pakenkti kenkėjiškoms programoms.
„Linux“ taip pat nėra išimtis
Skirtingai nuo kitų slaptažodžių tvarkyklių, KeePass tai yra atviro kodo projektas. Panašiai kaip „1Password 4“, „KeePass“ iššifruoja įrašus, kai jie sąveikauja.
Tačiau jie visi lieka atmintyje, nes po kiekvienos sąveikos nėra atskirai ištrinami. Pagrindinis slaptažodis ištrinamas iš atminties ir jo negalima gauti.
Tačiau, nors „KeePass“ bando apsaugoti paslaptis, ištrindamas jas iš atminties, akivaizdu, kad šiose darbo eigose yra klaidų, nes, jų teigimu, mes nustatėme, kad net užrakintoje būsenoje galime išgauti įvestis, su kuriomis jis bendravo.
Sulaikyti įrašai lieka atmintyje net ir tada, kai „KeePass“ buvo užrakinta.
Galiausiai, kaip ir 1 slaptažodyje 4, „LastPass“ slepia pagrindinį slaptažodį, kai jis įvedamas atrakinimo lauke.
Iššifravimo raktą gavus iš pagrindinio slaptažodžio, pagrindinis slaptažodis pakeičiamas fraze „lastpass“.
Fuente: saugumo vertintojai
Slaptažodžių negalima laikyti niekur kitur, išskyrus sąsiuvinį, parašytą tušinuku ... visa kita panašu į dėdės istoriją.
visiškai sutinku, nes užrašų knygelėje nėra nieko, nes įsilaužėliams yra šiek tiek sunku
įeikite į savo namus, kad pavogtumėte užrašų knygelę
Koks būtų saugiausias administratorius?
Visiškas perdėjimas, akivaizdu, kad slaptažodžių tvarkyklė nėra 100% saugi, nes niekas nėra 100% saugūs ponai ... Nepaisant to, visada bus saugiau naudoti slaptažodžių tvarkyklę nei nenaudoti. Pieštukas ir popierius? Absurdas, nebent turite tik 3 ar 4 slaptažodžius, tačiau tokiems žmonėms kaip aš, turintiems 50, 100 ar daugiau skirtingų paskyrų skirtingose vietose, nėra prasmės, be to, turime pridurti, kad jei pametate popierių ar „Pendrive“ , atsisveikinkite su savo skaitmeniniu gyvenimu. 2019 m. Nėra prasmės išsaugoti slaptažodžių bet kur, išskyrus debesį, tinkamai užšifruotus. „Lastpass“ yra saugiausias dalykas, kurį šiandien galima naudoti, kas teigia kitaip, nežino, apie ką kalba, jis tiesiog yra paprastas vartotojas. Sveikinimai.
aš naudoju https://bitwarden.com/ Ką sako šio slaptažodžių tvarkyklės ataskaita?