Sambungan dalam talian semakin banyak sejak tahun 2010-an, terutamanya dengan munculnya media sosial. Banyak perkhidmatan dalam talian mendorong pengguna untuk tidak menggunakan kata laluan yang sama di mana sahaja.
Di sinilah pengurus kata laluan masuk untuk membantu pengguna menyimpan semua kata laluan yang mereka miliki dengan lapisan keselamatan (tambahkan metadata dan banyak lagi).
Bagaimana menggunakan pengurus kata laluan?
Pengurus kata laluan membenarkan penyimpanan dan pengambilan maklumat sulit dari pangkalan data yang disulitkan.
Pengguna mempercayai mereka untuk menawarkan jaminan keselamatan yang lebih baik terhadap kebocoran tidak signifikan berbanding dengan kaedah menyimpan kata laluan yang lain, seperti fail teks yang tidak selamat.
Dengan kata lain, pengurus kata laluan dapat menyimpan semua kata laluan anda yang digunakan di Internet di satu tempat, sehingga sangat berguna.
Tidak semuanya seperti yang mereka cat
Yang dikatakan, sekumpulan penguji keselamatan bebas, ISE melaporkan minggu ini bahawa beberapa pengurus kata laluan yang paling popular mempunyai beberapa kelemahan yang dapat dimanfaatkan untuk mencuri maklumat identiti dari pengguna, dengan anggapan mereka belum dimanfaatkan oleh pihak ketiga.
Dalam laporan yang dibentangkan oleh kumpulan itu, menerangkan jaminan keselamatan yang harus ditawarkan oleh pengurus kata laluan dan memeriksa operasi asas lima pengurus kata laluan yang popular.
Bahkan perisian percuma tidak terkecuali
Ini adalah pengurus kata laluan 1Password, Keepass, Dashlane, dan LastPass. Semua pengurus kata laluan yang disenaraikan di bawah berfungsi dengan cara yang sama, kata mereka.
Pengguna memasukkan atau menghasilkan kata laluan dalam perisian dan menambahkan metadata yang relevan (misalnya, jawapan kepada soalan keselamatan dan laman web yang mana kata laluan itu dirancang)
Maklumat ini dienkripsi dan kemudian didekripsi hanya apabila skrin perlu dihantar ke pemalam penyemak imbas yang mengisi kata laluan di laman web atau menyalinnya ke papan keratan untuk digunakan.
Untuk setiap pentadbir ini, kumpulan itu mentakrifkan tiga keadaan kewujudan: tidak berjalan, tidak dikunci, dan dikunci.
Dalam keadaan pertama, pengurus kata laluan mesti memastikan penyulitan sehingga selagi pengguna tidak menggunakan kata laluan sepele, penyerang tidak dapat tiba-tiba meneka kata kunci induk dalam kata laluan.
Dalam keadaan kedua, tidak mustahil untuk mengekstrak kata laluan induk dari memori secara langsung atau dengan cara lain untuk mendapatkan semula kata laluan induk asal.
Dan dalam keadaan ketiga, semua jaminan keselamatan pengurus kata laluan yang tidak aktif mesti digunakan untuk pengurus kata laluan dalam keadaan terkunci.
Dalam analisis mereka, penguji mendakwa telah memeriksa algoritma yang digunakan oleh setiap pengurus kata laluan untuk menukar kata laluan induk menjadi kunci penyulitan dan algoritma itu tidak mempunyai kerumitan untuk menahan serangan retak hari ini.
Mengenai analisis pentadbir keselamatan
Dalam kes 1Password 4 (versi 4.6.2.628), penilaian keselamatan operasinya mendapati perlindungan yang wajar terhadap pendedahan kata laluan individu dalam keadaan tidak terkunci.
Sayangnya ini dilewati oleh pengendalian kata laluan induk dan oleh pelbagai perincian pelaksanaan yang rosak ketika pergi dari keadaan tidak terkunci ke keadaan terkunci. Kata laluan induk kekal dalam ingatan.
Oleh itu, Kata laluan utama 1Password boleh diambil kerana tidak dipadamkan dari memori setelah meletakkan pengurus kata laluan dalam keadaan terkunci.
Mengambil 1Password (versi 7.2.576), Yang mengejutkan mereka ialah mereka mendapati bahawa kurang selamat untuk dijalankan daripada 1Password pada versi sebelumnya daripada 1Password 7 kerana telah memecahkan semua kata laluan individu dalam pangkalan data menguji data sebaik sahaja ia dibuka dan disimpan dalam cache, tidak seperti 1Password 4 yang hanya menyimpan satu entri pada satu masa.
Juga mendapati bahawa 1Password 7 tidak membersihkan kata laluan individu, kata laluan induk, atau kunci memori rahsia ketika pergi dari keadaan tidak terkunci ke keadaan terkunci.
Kemudian, dalam penilaian Dashlane, proses menunjukkan bahawa fokusnya adalah menyembunyikan rahsia dalam ingatan untuk mengurangkan risiko pengekstrakan.
Selain itu, penggunaan GUI dan bingkai memori yang mencegah penyebaran rahsia ke berbagai API sistem operasi adalah unik untuk Dashlane dan dapat mengeksposnya dari penyadapan malware.
Linux juga tidak terkecuali
Tidak seperti pengurus kata laluan yang lain, KeePass ia adalah projek sumber terbuka. Mirip dengan 1Password 4, KeePass menyahsulitkan entri semasa mereka berinteraksi.
Namun, mereka semua masih dalam ingatan kerana tidak dipadamkan secara individu selepas setiap interaksi. Kata laluan induk dihapus dari memori dan tidak dapat diambil.
Walau bagaimanapun, sementara KeePass berusaha untuk menyimpan rahsia dengan menghapusnya dari memori, jelas terdapat beberapa bug dalam aliran kerja ini, kerana kami mendapati, mereka mengatakan, walaupun dalam keadaan terkunci, kami dapat mengekstrak input yang telah berinteraksi dengannya.
Entri yang dipintas tetap ada dalam ingatan walaupun KeePass diletakkan dalam keadaan terkunci.
Akhirnya, seperti dalam 1Password 4, LastPass menyembunyikan kata laluan induk ketika dimasukkan di medan buka kunci.
Sebaik sahaja kunci dekripsi diambil dari kata laluan induk, kata laluan induk digantikan dengan frasa "jalan terakhir".
Fuente: penilaian keselamatan
Kata laluan tidak boleh disimpan di tempat lain selain buku nota yang ditulis dengan bolpoin ... selebihnya adalah seperti kisah bapa saudara.
sangat setuju, kerana buku nota tidak ada kerana agak sukar bagi penggodam
masuk ke rumah anda untuk mencuri buku nota anda
Apakah pentadbir yang paling selamat?
Secara berlebihan, jelas bahawa pengurus kata laluan tidak 100% selamat, kerana tidak ada yang selamat 100% tuan-tuan ... Walaupun begitu, akan lebih selamat menggunakan pengurus kata laluan daripada tidak menggunakannya. Pensel dan kertas? Tidak masuk akal melainkan anda hanya mempunyai 3 atau 4 kata laluan, tetapi bagi orang seperti saya yang mempunyai 50, 100 atau lebih akaun berbeza di tempat yang berbeza, tidak masuk akal sedikit pun, kita mesti menambah bahawa jika anda kehilangan kertas atau pendrive , katakan selamat tinggal kepada kehidupan digital anda. Pada tahun 2019, tidak masuk akal untuk menyimpan kata laluan anda di tempat lain daripada di awan, semuanya disulitkan dengan betul. Lastpass adalah perkara paling selamat untuk digunakan hari ini, sesiapa yang mendakwa sebaliknya tidak tahu apa yang mereka bicarakan, mereka hanyalah pengguna biasa. Salam.
saya guna https://bitwarden.com/ Apa kata laporan pengurus kata laluan ini?