Online pripojenia sú čoraz početnejšie od roku 2010, najmä s príchodom sociálnych médií. Mnoho online služieb povzbudzuje používateľov, aby nepoužívali všade rovnaké heslo.
To je miesto, kde prichádzajú správcovia hesiel pomôcť používateľom udržať si všetky heslá, ktoré majú, centrálne pomocou bezpečnostnej vrstvy (pridať metadáta a mnoho ďalších).
Ako používať správcu hesiel?
Správcovia hesiel umožniť ukladanie a získavanie dôverných informácií zo šifrovanej databázy.
Používatelia im dôverujú, že ponúkajú lepšie bezpečnostné záruky proti úniku informácií v porovnaní s inými prostriedkami na ukladanie hesiel, napríklad s nezabezpečenými textovými súbormi, nevýznamné.
Inými slovami, správcovia hesiel môžu uchovávať všetky vaše heslá používané na internete na jednom mieste, takže sú veľmi užitočné.
Nie všetko je tak, ako to maľujú
To znamená, že skupina nezávislých bezpečnostných testerov, ISE tento týždeň informovala, že niektorí z najpopulárnejších správcov hesiel majú určité chyby zabezpečenia ktoré by sa mohli zneužiť na získanie informácií o totožnosti používateľov, za predpokladu, že ich ešte nevyužili tretie strany.
V správe predloženej skupinou popísal bezpečnostné záruky, ktoré by správcovia hesiel mali ponúkať, a preskúmal základné operácie piatich populárnych správcov hesiel.
Výnimkou nie je ani slobodný softvér
Toto sú správcovia hesiel 1Password, Keepass, Dashlane a LastPass. Všetci títo správcovia hesiel, ktorí sú uvedení nižšie, fungujú podľa nich rovnakým spôsobom.
Používatelia zadávajú alebo generujú heslá v softvéri a pridávajú príslušné metadáta (napríklad odpovede na bezpečnostné otázky a web, pre ktorý je heslo určené).
Tieto informácie sú šifrované a potom dešifrované, iba ak je to nevyhnutné na to, aby ich obrazovka preniesla do doplnku prehľadávača, ktorý vyplní heslo na webovej stránke alebo ju skopíruje do schránky na použitie.
Pre každého z týchto správcov skupina definuje tri stavy existencie: nebežiace, odomknuté a zamknuté.
V prvom stave musí správca hesiel zaručiť šifrovanie takže pokiaľ používateľ nepoužíva triviálne heslo, útočník nemôže v hesle náhle uhádnuť hlavné heslo.
V druhom stave by nemalo byť možné extrahovať hlavné heslo z pamäte priamo alebo iným spôsobom obnoviť pôvodné hlavné heslo.
A v treťom štáte musia byť všetky bezpečnostné záruky neaktívneho správcu hesiel použité na správcu hesiel v uzamknutom stave.
Testéri vo svojej analýze tvrdia, že preskúmali algoritmus používaný každým správcom hesiel na konverziu hlavného hesla na šifrovací kľúč a algoritmu chýba zložitosť, aby odolal dnešným prelomovacím útokom.
Na základe analýzy bezpečnostných správcov
V prípade 1Password 4 (verzia 4.6.2.628), v jej posúdení prevádzkovej bezpečnosti sa našla primeraná ochrana pred odhalením jednotlivých hesiel v odblokovanom stave.
Nanešťastie sa to dalo obísť manipuláciou s hlavným heslom a rôznymi nefunkčnými podrobnosťami implementácie pri prechode z odomknutého stavu do zamknutého stavu. Hlavné heslo zostáva v pamäti.
Preto, 1 Hlavné heslo hesla je možné získať, pretože sa nevymaže z pamäte po uvedení správcu hesiel do uzamknutého stavu.
Taking 1Password (verzia 7.2.576), Čo ich prekvapilo, je, že to našli je menej bezpečné na spustenie ako 1Password v predchádzajúcej verzii ako 1Password 7, pretože prelomil všetky jednotlivé heslá v databáze, otestuje údaje ihneď po ich odomknutí a uložení do medzipamäte, na rozdiel od 1Password 4, ktorý má naraz uložený iba jeden záznam.
Okrem toho tiež zistil, že 1Password 7 nevymaže jednotlivé heslá, ani hlavné heslo, ani tajný kľúč pamäte pri prechode z odomknutého stavu do uzamknutého stavu.
Potom v hodnotení Dashlane procesy naznačili, že sa pozornosť sústredila na skrytie tajomstiev v pamäti, aby sa znížilo riziko ťažby.
Používanie grafického používateľského rozhrania a pamäťových rámcov, ktoré bránili prenosu tajomstiev do rôznych rozhraní API operačného systému, bolo navyše pre Dashlane jedinečné a mohlo ich vystaviť odpočúvaniu škodlivým softvérom.
Výnimkou nie je ani Linux
Na rozdiel od iných správcov hesiel KeePass je to projekt s otvoreným zdrojom. Podobné ako 1Password 4, KeePass dešifruje položky pri ich vzájomnej interakcii.
Všetky však zostávajú v pamäti, pretože po každej interakcii nie sú jednotlivo vymazané. Hlavné heslo je vymazané z pamäte a nie je možné ho získať.
Zatiaľ čo sa však KeePass snaží zabezpečiť tajomstvá ich vymazaním z pamäte, v týchto pracovných tokoch sú zjavne nejaké chyby, pretože sme zistili, že vraj aj v uzamknutom stave môžeme extrahovať vstupy, s ktorými interagoval.
Zachytené záznamy zostávajú v pamäti aj po umiestnení KeePassu do uzamknutého stavu.
Nakoniec, ako v 1 hesle 4, LastPass skryje hlavné heslo, keď je zadané do odblokovacieho poľa.
Len čo je dešifrovací kľúč odvodený od hlavného hesla, je hlavné heslo nahradené vetou „lastpass“.
Fuente: hodnotitelia bezpečnosti
Heslá by sa nemali ukladať nikde inde ako v notebooku napísanom guľôčkovým perom ... zvyšok je ako príbeh strýka.
úplne súhlasím, pretože notebook neobsahuje nič, pretože je to pre hackerov trochu náročné
príď do svojho domu a ukradni ti notebook
Aký by bol najbezpečnejší správca?
S úplnou nadsázkou je zrejmé, že správca hesiel nie je stopercentne zabezpečený, pretože nič nie je stopercentne zabezpečené, páni ... Aj napriek tomu bude vždy bezpečnejšie používať správcu hesiel, ako ho nepoužívať. Ceruzka a papier? Absurdné, pokiaľ nemáte iba 100 alebo 100 heslá, ale pre ľudí ako ja, ktorí majú 3, 4 alebo viac rôznych účtov na rôznych miestach, to nemá najmenší zmysel, k tomu musíme dodať, že ak stratíte papier alebo pendrive , povedzte im zbohom vášmu digitálnemu životu. V roku 50 nebude mať najmenší zmysel ukladať heslá kdekoľvek inde ako v cloude, a to všetko správne šifrované. Lastpass je najbezpečnejšia vec, ktorú dnes môžete použiť, kto tvrdí opak, nevie, o čom hovorí, je to jednoducho priemerný užívateľ. Zdravím vás.
používam https://bitwarden.com/ Čo hovorí správa tohto správcu hesiel?