Tiešsaistes savienojumi ir kļuvuši arvien vairāk kopš 2010. gadiem, īpaši ar sociālo mediju parādīšanos. Daudzi tiešsaistes pakalpojumi mudina lietotājus neizmantot vienu un to pašu paroli visur.
Šeit ienāk paroļu pārvaldnieki lai palīdzētu lietotājiem saglabāt visas paroles, kas viņiem ir centralizēti, izmantojot drošības slāni (pievienojiet metadatus un daudz ko citu).
Kā izmantot paroļu pārvaldnieku?
Paroļu pārvaldnieki atļaut uzglabāt un iegūt konfidenciālu informāciju no šifrētas datu bāzes.
Lietotāji uzticas, ka viņi piedāvā labākas drošības garantijas pret noplūdēm nenozīmīgs salīdzinājumā ar citiem paroļu glabāšanas līdzekļiem, piemēram, nedrošiem teksta failiem.
Citiem vārdiem sakot, paroļu pārvaldnieki var glabāt visas jūsu internetā izmantotās paroles vienā vietā, tāpēc tās ir ļoti noderīgas.
Ne viss ir tā, kā viņi to krāso
To sakot, neatkarīgu drošības testētāju grupa, ISE šonedēļ ziņoja, ka dažiem populārākajiem paroļu pārvaldniekiem ir dažas vājās vietas ko varētu izmantot, lai nozagtu identitātes informāciju no lietotājiem, pieņemot, ka trešās personas tos vēl nav izmantojušas.
Grupas iesniegtajā ziņojumā aprakstīja drošības garantijas, kas paroļu pārvaldniekiem jāpiedāvā, un pārbaudīja piecu populāru paroļu pārvaldnieku pamatā esošo darbību.
Pat bezmaksas programmatūra nav atbrīvota
Tie ir paroļu pārvaldnieki 1Password, Keepass, Dashlane un LastPass. Visi šie zemāk uzskaitītie paroļu pārvaldnieki darbojas vienādi, viņi saka.
Lietotāji programmatūrā ievada vai ģenerē paroles un pievieno attiecīgos metadatus (piemēram, atbildes uz drošības jautājumiem un vietni, kurai paredzēta parole).
Šī informācija tiek šifrēta un pēc tam atšifrēta tikai tad, kad ekrānam ir nepieciešams to pārsūtīt uz pārlūkprogrammas spraudni, kas aizpilda vietnes paroli vai kopē to uz starpliktuvi lietošanai.
Katram no šiem administratoriem grupa nosaka trīs eksistences stāvokļus: nedarbojas, nav atbloķēts un bloķēts.
Pirmajā stāvoklī paroļu pārvaldniekam jānodrošina šifrēšana lai tik ilgi, kamēr lietotājs neizmanto triviālu paroli, uzbrucējs nevar pēkšņi uzminēt galveno paroli parolē.
Otrajā stāvoklī nevajadzētu būt iespējai iegūt galveno paroli no atmiņas tieši vai kādā citā veidā atjaunot sākotnējo galveno paroli.
Trešajā stāvoklī visas neaktīvās paroļu pārvaldnieka drošības garantijas jāpiemēro paroļu pārvaldniekam bloķētā stāvoklī.
Analizējot, testētāji apgalvo, ka ir pārbaudījuši katra paroļu pārvaldnieka izmantoto algoritmu, lai galveno paroli pārveidotu par šifrēšanas atslēgu, un ka algoritmam nav sarežģītības, lai izturētu šodienas krekinga uzbrukumus.
Par drošības administratoru analīzi
1 parole 4 (versija 4.6.2.628), tās darbības drošības novērtējumā tika konstatēta pamatota aizsardzība pret atsevišķu paroļu iedarbību atbloķētā stāvoklī.
Diemžēl tas tika apiets, apstrādājot galveno paroli un dažādus bojātus ieviešanas datus, pārejot no atbloķētā stāvokļa uz bloķēto stāvokli. Galvenā parole paliek atmiņā.
Tāpēc, 1Paroles galveno paroli var iegūt, jo tā netiek izdzēsta no atmiņas pēc paroļu pārvaldnieka ievietošanas bloķētā stāvoklī.
Ņemot 1Password (versija 7.2.576), Kas viņus pārsteidza, ir tas, ka viņi to atrada tā ir mazāk droša palaist nekā 1Password iepriekšējā versijā nekā 1Password 7, jo tas ir uzlauzis visas atsevišķās paroles datu bāzē, pārbauda datus, tiklīdz tie ir atbloķēti un saglabāti kešatmiņā, atšķirībā no 1Password 4, kurā vienlaikus ir saglabāts tikai viens ieraksts.
Arī konstatēja, ka 1Password 7 neizdzēš atsevišķas paroles, ne galvenā parole, ne slepenā atmiņas atslēga, pārejot no atbloķētā stāvokļa uz bloķēto stāvokli.
Tad Dashlane novērtējumā procesi liecināja, ka uzmanības centrā ir noslēpumu slēpšana atmiņā, lai samazinātu ieguves riskus.
Turklāt GUI un atmiņas rāmju izmantošana, kas neļāva nosūtīt noslēpumus uz dažādām operētājsistēmas API, bija unikāla Dashlane un varēja pakļaut tos ļaunprātīgas programmatūras noklausīšanos.
Arī Linux nav izņēmums
Atšķirībā no citiem paroļu pārvaldniekiem, KeePass tas ir atvērtā koda projekts. Līdzīgi kā 1Password 4, arī KeePass atšifrē ierakstus, kad tie mijiedarbojas.
Tomēr tie visi paliek atmiņā, jo pēc katras mijiedarbības tos atsevišķi neizdzēš. Galvenā parole tiek izdzēsta no atmiņas, un to nevar izgūt.
Tomēr, lai gan KeePass mēģina nodrošināt noslēpumus, izdzēšot tos no atmiņas, acīmredzot šajās darbplūsmās ir dažas kļūdas, jo mēs atklājām, viņi saka, ka pat bloķētā stāvoklī mēs varētu iegūt ievadus, ar kuriem tā bija mijiedarbojusies.
Pārņemtie ieraksti paliek atmiņā pat pēc tam, kad KeePass ir ievietots bloķētā stāvoklī.
Visbeidzot, tāpat kā 1. parolē 4, LastPass paslēpj galveno paroli, kad tā tiek ievadīta atbloķēšanas laukā.
Kad atšifrēšanas atslēga ir atvasināta no galvenās paroles, galvenā parole tiek aizstāta ar frāzi "lastpass".
Fuente: drošības novērtētāji
Paroles nevajadzētu glabāt nekur citur, kā tikai piezīmju grāmatiņā, kas rakstīta ar lodīšu pildspalvu ... pārējais ir kā tēvoča stāsts.
pilnīgi piekrītu, jo piezīmju grāmatiņā nav nekā, jo hakeriem tas ir mazliet grūti
ieej savā mājā, lai nozagtu piezīmju grāmatiņu
Kāds būtu drošākais administrators?
Pilnīgs pārspīlējums ir acīmredzams, ka paroļu pārvaldnieks nav 100% drošs, jo nekas nav 100% drošs kungs ... Pat ja tā, vienmēr ir drošāk izmantot paroļu pārvaldnieku nekā to neizmantot. Zīmulis un papīrs? Absurds, ja vien jums nav tikai 3 vai 4 paroles, bet cilvēkiem, piemēram, man, kuriem ir 50, 100 vai vairāk dažādi konti dažādās vietās, nav mazākās jēgas, pie tam mums jāpiebilst, ka, ja jūs pazaudējat papīru vai pendrive , atvadieties viņiem no savas digitālās dzīves. 2019. gadā nav jēgas saglabāt paroles citur, nevis tikai mākonī, pareizi šifrētas. Lastpass ir drošākā lieta, ko izmantot šodien, kurš apgalvo citādi, nezina, par ko runā, viņš vienkārši ir vidusmēra lietotājs. Sveiciens.
ES izmantoju https://bitwarden.com/ Ko saka šī paroļu pārvaldnieka ziņojums?