Onlineverbindingen worden steeds talrijker sinds de jaren 2010, vooral met de komst van sociale media. Veel onlinediensten moedigen gebruikers aan om niet overal hetzelfde wachtwoord te gebruiken.
Dit is waar wachtwoordmanagers binnenkomen om gebruikers te helpen alle wachtwoorden die ze hebben centraal te houden met een beveiligingslaag (voeg metadata toe en nog veel meer).
Hoe gebruik je een wachtwoordbeheerder?
Wachtwoordbeheerders het opslaan en ophalen van vertrouwelijke informatie uit een gecodeerde database mogelijk maken.
Gebruikers vertrouwen erop dat ze betere beveiligingsgaranties bieden tegen lekken onbeduidend in vergelijking met andere manieren om wachtwoorden op te slaan, zoals onveilige tekstbestanden.
Met andere woorden, wachtwoordbeheerders kunnen al uw wachtwoorden die op internet worden gebruikt, op één plaats bewaren, dus ze zijn erg handig.
Niet alles is zoals ze het schilderen
Dat gezegd hebbende, een groep onafhankelijke beveiligingstesters, ISE meldde deze week dat enkele van de meest populaire wachtwoordmanagers enkele kwetsbaarheden hebben die kunnen worden misbruikt om identiteitsinformatie van gebruikers te stelen, ervan uitgaande dat ze nog niet zijn uitgebuit door derden.
In het rapport van de groep, beschreef de beveiligingsgaranties die wachtwoordmanagers zouden moeten bieden en onderzocht de onderliggende werking van vijf populaire wachtwoordmanagers.
Zelfs gratis software is niet vrijgesteld
Dit zijn de wachtwoordmanagers 1Password, Keepass, Dashlane en LastPass. Al deze onderstaande wachtwoordmanagers werken op dezelfde manier, zeggen ze.
Gebruikers voeren wachtwoorden in of genereren ze in de software en voegen relevante metadata toe (bijvoorbeeld antwoorden op beveiligingsvragen en de site waarvoor het wachtwoord is ontworpen).
Deze informatie wordt alleen gecodeerd en vervolgens gedecodeerd als het nodig is dat het scherm deze naar een browserplug-in stuurt die het wachtwoord op een website invult of voor gebruik naar het klembord kopieert.
Voor elk van deze beheerders, de groep definieert drie bestaanstoestanden: niet actief, ontgrendeld en vergrendeld.
In de eerste toestand moet de wachtwoordbeheerder zorgen voor codering zodat zolang de gebruiker geen triviaal wachtwoord gebruikt, een aanvaller het hoofdwachtwoord in een wachtwoord niet plotseling kan raden.
In de tweede toestand zou het niet mogelijk moeten zijn om het hoofdwachtwoord uit het geheugen te halen rechtstreeks of op een andere manier om het originele hoofdwachtwoord te herstellen.
En in de derde toestand moeten alle beveiligingsgaranties van een niet-actieve wachtwoordbeheerder worden toegepast op een wachtwoordbeheerder in een vergrendelde toestand.
In hun analyse beweren de testers dat ze het algoritme hebben onderzocht dat door elke wachtwoordbeheerder wordt gebruikt om het hoofdwachtwoord om te zetten in een coderingssleutel en dat het algoritme niet de complexiteit heeft om de huidige kraakaanvallen te weerstaan.
Over de analyse van beveiligingsbeheerders
In het geval van 1Password 4 (versie 4.6.2.628), vond de operationele veiligheidsbeoordeling redelijke bescherming tegen blootstelling van individuele wachtwoorden in de niet-vergrendelde staat.
Helaas werd dit omzeild door de omgang met het hoofdwachtwoord en door verschillende defecte implementatiedetails bij het overschakelen van de ontgrendelde naar de vergrendelde toestand. Het hoofdwachtwoord blijft in het geheugen.
Daarom Het 1Password-hoofdwachtwoord kan worden opgehaald aangezien het niet uit het geheugen wordt gewist nadat u de wachtwoordbeheerder in een vergrendelde staat hebt gezet.
1Password gebruiken (versie 7.2.576), Wat hen verbaasde, is dat ze dat ontdekten het is minder veilig om uit te voeren dan 1Password in de vorige versie dan 1Password 7 omdat het alle individuele wachtwoorden in de database heeft gekraakt, test de gegevens zodra ze worden ontgrendeld en in de cache worden opgeslagen, in tegenstelling tot 1Password 4 dat slechts één item tegelijk heeft opgeslagen.
Daarnaast ook ontdekte dat 1Password 7 geen individuele wachtwoorden wist, noch het hoofdwachtwoord, noch de geheime geheugensleutel bij het overschakelen van de ontgrendelde toestand naar de vergrendelde toestand.
Vervolgens gaven de processen in de Dashlane-beoordeling aan dat de focus lag op het verbergen van geheimen in het geheugen om de risico's van extractie te verminderen.
Bovendien was het gebruik van GUI en geheugenframes die de overdracht van geheimen naar verschillende API's van het besturingssysteem verhinderden uniek voor Dashlane en konden ze worden blootgesteld aan afluisteren door malware.
Linux is ook geen uitzondering
In tegenstelling tot andere wachtwoordbeheerders, KeePass het is een open source-project. Net als bij 1Password 4, ontsleutelt KeePass inzendingen terwijl ze communiceren.
Ze blijven echter allemaal in het geheugen omdat ze niet na elke interactie afzonderlijk worden gewist. Het hoofdwachtwoord wordt uit het geheugen gewist en kan niet worden teruggehaald.
Hoewel KeePass geheimen probeert te beveiligen door ze uit het geheugen te wissen, zitten er duidelijk enkele bugs in deze workflows, omdat we ontdekten, zeggen ze, dat we zelfs in een vergrendelde toestand de invoer konden extraheren waarmee het interactie had gehad.
Onderschepte vermeldingen blijven in het geheugen, zelfs nadat KeePass in een vergrendelde toestand is geplaatst.
Eindelijk, zoals in 1Password 4, LastPass verbergt het hoofdwachtwoord wanneer het wordt ingevoerd in het ontgrendelingsveld.
Zodra de decoderingssleutel is afgeleid van het hoofdwachtwoord, wordt het hoofdwachtwoord vervangen door de zin "lastpass".
bron: beveiligingsevaluatoren
Wachtwoorden mogen nergens anders worden bewaard dan in een notitieboekje dat met een balpen is geschreven ... de rest is als het verhaal van de oom.
helemaal mee eens, aangezien de notebook er niets is, omdat het een beetje moeilijk is voor hackers
ga je huis binnen om je notitieboekje te stelen
Wat zou de veiligste beheerder zijn?
Totaal overdreven, het is duidelijk dat een wachtwoordbeheerder niet 100% veilig is, want niets is 100% veilig heren ... Toch zal het altijd veiliger zijn om een wachtwoordbeheerder te gebruiken dan om het niet te gebruiken. Potlood en papier? Absurd tenzij je maar 3 of 4 wachtwoorden hebt, maar voor mensen zoals ik die 50, 100 of meer verschillende accounts op verschillende plaatsen hebben, is het niet logisch, daar moeten we aan toevoegen dat als je het papier of de pendrive kwijtraakt , neem afscheid van uw digitale leven. Anno 2019 heeft het geen zin om uw wachtwoorden ergens anders op te slaan dan in de cloud, allemaal correct versleuteld. Lastpass is tegenwoordig het veiligste om te gebruiken, wie anders beweert, weet niet waar ze het over hebben, ze zijn gewoon een gemiddelde gebruiker. Groeten.
ik gebruik https://bitwarden.com/ Wat zegt het rapport van deze wachtwoordbeheerder?