Conexiunile online au devenit din ce în ce mai numeroase începând cu anii 2010, în special odată cu apariția rețelelor sociale. Multe servicii online încurajează utilizatorii să nu folosească aceeași parolă peste tot.
Aici intervin managerii de parole pentru a ajuta utilizatorii să păstreze toate parolele pe care le au la nivel central cu un strat de securitate (adăugați metadate și multe altele).
Cum se folosește un manager de parole?
Administratori de parole permite stocarea și recuperarea informațiilor confidențiale dintr-o bază de date criptată.
Utilizatorii au încredere în ei pentru a oferi garanții mai bune de securitate împotriva scurgerilor nesemnificativ în comparație cu alte mijloace de stocare a parolelor, cum ar fi fișiere text nesigure.
Cu alte cuvinte, administratorii de parole vă pot păstra toate parolele folosite pe internet într-un singur loc, deci sunt foarte utile.
Nu totul este așa cum îl pictează
Acestea fiind spuse, un grup de testeri independenți de securitate, ISE a raportat săptămâna aceasta că unii dintre cei mai cunoscuți manageri de parole au unele vulnerabilități care ar putea fi exploatate pentru a fura informații de identitate de la utilizatori, presupunând că acestea nu au fost încă exploatate de terți.
În raportul prezentat de grup, a descris garanțiile de securitate pe care ar trebui să le ofere managerii de parole și a examinat funcționarea de bază a cinci manageri de parole populare.
Nici măcar software-ul gratuit nu este scutit
Acestea sunt administratorii de parole 1Password, Keepass, Dashlane și LastPass. Toți acești manageri de parole enumerate mai jos funcționează în același mod, spun ei.
Utilizatorii introduc sau generează parole în software și adaugă metadate relevante (de exemplu, răspunsuri la întrebări de securitate și site-ul pentru care este proiectată parola).
Aceste informații sunt criptate și apoi decriptate numai atunci când este necesar ca ecranul să le transmită unui plug-in de browser care completează parola de pe un site web sau le copiază în clipboard pentru utilizare.
Pentru fiecare dintre acești administratori, grupul definește trei stări de existență: neexecutare, deblocare și blocare.
În prima stare, managerul de parole trebuie să asigure criptarea astfel încât, atâta timp cât utilizatorul nu folosește o parolă banală, un atacator nu poate ghici brusc parola principală într-o parolă.
În a doua stare, nu ar trebui să fie posibilă extragerea parolei master din memorie direct sau în orice alt mod pentru a recupera parola master originală.
Și în a treia stare, toate garanțiile de securitate ale unui manager de parole inactiv trebuie să fie aplicate unui manager de parole într-o stare blocată.
În analiza lor, testerii susțin că au examinat algoritmul utilizat de fiecare manager de parole pentru a converti parola principală într-o cheie de criptare și că algoritmului îi lipsește complexitatea pentru a rezista atacurilor de cracare de astăzi.
Cu privire la analiza administratorilor de securitate
În cazul 1Password 4 (versiunea 4.6.2.628), evaluarea sa de securitate operațională a găsit protecții rezonabile împotriva expunerii parolelor individuale în starea deblocată.
Din păcate, acest lucru a fost ocolit de gestionarea parolei master și de diferite detalii de implementare defecte atunci când a trecut de la starea deblocată la starea blocată. Parola principală rămâne în memorie.
În consecință, 1 Parola principală a parolei poate fi recuperată deoarece nu este ștearsă din memorie după ce ați pus managerul de parole într-o stare blocată.
Luând 1Password (versiunea 7.2.576), Ceea ce i-a surprins este că au descoperit asta rularea este mai puțin sigură decât 1Password în versiunea sa anterioară decât 1Password 7 deoarece a spart toate parolele individuale din baza de date testează datele de îndată ce sunt deblocate și memorate în cache, spre deosebire de 1Password 4 care a stocat o singură intrare la un moment dat.
În plus, de asemenea, a constatat că 1Password 7 nu șterge parolele individuale, nici parola principală, nici cheia de memorie secretă când se trece de la starea deblocată la starea blocată.
Apoi, în evaluarea Dashlane, procesele au indicat faptul că accentul a fost pus pe ascunderea secretelor în memorie pentru a reduce riscurile de extracție.
În plus, utilizarea GUI și a cadrelor de memorie care împiedicau transmiterea secretelor către diferite API-uri ale sistemului de operare a fost unică pentru Dashlane și le-a putut expune la ascultarea de malware.
Nici Linux nu face excepție
Spre deosebire de alți manageri de parole, KeePass este un proiect open source. Similar cu 1Password 4, KeePass decriptează intrările pe măsură ce interacționează.
Cu toate acestea, toate rămân în memorie, deoarece nu sunt șterse individual după fiecare interacțiune. Parola principală este ștearsă din memorie și nu poate fi recuperată.
Cu toate acestea, în timp ce KeePass încearcă să securizeze secretele ștergându-le din memorie, există în mod evident câteva bug-uri în aceste fluxuri de lucru, deoarece am constatat, spun ei, că chiar și într-o stare blocată, am putea extrage intrările cu care a interacționat.
Intrările interceptate rămân în memorie chiar și după ce KeePass a fost plasat într-o stare blocată.
În sfârșit, la fel ca în 1Parola 4, LastPass ascunde parola principală atunci când este introdusă în câmpul de deblocare.
Odată ce cheia de decriptare este derivată din parola master, parola master este înlocuită cu sintagma „lastpass”.
Fuente: evaluatori de securitate
Parolele nu trebuie stocate nicăieri altul decât un caiet scris cu stilou ... restul este ca povestea unchiului.
sunt total de acord, deoarece notebook-ul nu are nimic, deoarece este puțin dificil pentru hackeri
intră în casa ta să-ți fure carnetul
Care ar fi cel mai sigur administrator?
Exagerare totală, este evident că un manager de parole nu este 100% sigur, pentru că nimic nu este 100% sigur domnilor ... Chiar și așa, va fi întotdeauna mai sigur să folosiți un manager de parole decât să nu îl utilizați. Creion și hârtie? Absurd, cu excepția cazului în care aveți doar 3 sau 4 parole, dar pentru persoanele ca mine care au 50, 100 sau mai multe conturi diferite în diferite locuri nu are niciun sens, la asta trebuie să adăugăm că, dacă pierdeți hârtia sau pendrive-ul , spune-le la revedere de la viața ta digitală. În 2019 nu are niciun sens să vă salvați parolele oriunde altfel decât în cloud, toate criptate corespunzător. Lastpass este cel mai sigur lucru de folosit astăzi, oricine susține altfel nu știe despre ce vorbește, este pur și simplu un utilizator obișnuit. Salutari.
eu folosesc https://bitwarden.com/ Ce spune raportul acestui manager de parole?