การเชื่อมต่อออนไลน์มีมากขึ้นเรื่อย ๆ ตั้งแต่ปี 2010 โดยเฉพาะอย่างยิ่งกับการถือกำเนิดของโซเชียลมีเดีย บริการออนไลน์จำนวนมากสนับสนุนให้ผู้ใช้ไม่ใช้รหัสผ่านเดียวกันทุกที่
นี่คือที่ที่ผู้จัดการรหัสผ่านเข้ามา เพื่อช่วยให้ผู้ใช้เก็บรหัสผ่านทั้งหมดที่มีไว้จากส่วนกลางด้วยชั้นความปลอดภัย (เพิ่มข้อมูลเมตาและอื่น ๆ อีกมากมาย)
จะใช้ตัวจัดการรหัสผ่านได้อย่างไร?
ผู้จัดการรหัสผ่าน อนุญาตให้จัดเก็บและดึงข้อมูลที่เป็นความลับจากฐานข้อมูลที่เข้ารหัส
ผู้ใช้เชื่อมั่นในการรับประกันความปลอดภัยที่ดีขึ้นจากการรั่วไหล ไม่มีความสำคัญเมื่อเทียบกับวิธีการจัดเก็บรหัสผ่านอื่น ๆ เช่นไฟล์ข้อความที่ไม่ปลอดภัย
กล่าวอีกนัยหนึ่งผู้จัดการรหัสผ่านสามารถเก็บรหัสผ่านทั้งหมดของคุณที่ใช้บนอินเทอร์เน็ตไว้ในที่เดียวดังนั้นจึงมีประโยชน์มาก
ทุกอย่างไม่เป็นไปตามที่พวกเขาวาดไว้
ดังที่กล่าวไว้คือกลุ่มผู้ทดสอบความปลอดภัยอิสระ ISE รายงานในสัปดาห์นี้ว่าโปรแกรมจัดการรหัสผ่านยอดนิยมบางตัวมีช่องโหว่บางอย่าง ที่อาจถูกใช้ประโยชน์เพื่อขโมยข้อมูลประจำตัวจากผู้ใช้โดยถือว่าบุคคลที่สามยังไม่ได้ใช้ประโยชน์
ในรายงานที่นำเสนอโดยกลุ่ม อธิบายถึงการรักษาความปลอดภัยรับประกันว่าผู้จัดการรหัสผ่านควรเสนอและตรวจสอบการทำงานพื้นฐานของผู้จัดการรหัสผ่านยอดนิยมห้าตัว
แม้แต่ซอฟต์แวร์ฟรีก็ไม่ได้รับการยกเว้น
เหล่านี้คือตัวจัดการรหัสผ่าน 1Password, Keepass, Dashlane และ LastPass ผู้จัดการรหัสผ่านทั้งหมดที่ระบุไว้ด้านล่างนี้ทำงานในลักษณะเดียวกัน
ผู้ใช้ป้อนหรือสร้างรหัสผ่านในซอฟต์แวร์และเพิ่มข้อมูลเมตาที่เกี่ยวข้อง (ตัวอย่างเช่นคำตอบสำหรับคำถามเพื่อความปลอดภัยและไซต์ที่ออกแบบรหัสผ่าน)
ข้อมูลนี้จะถูกเข้ารหัสและถอดรหัสเมื่อจำเป็นเท่านั้นที่หน้าจอจะส่งไปยังปลั๊กอินของเบราว์เซอร์ที่กรอกรหัสผ่านบนเว็บไซต์หรือคัดลอกไปยังคลิปบอร์ดเพื่อใช้งาน
สำหรับผู้ดูแลระบบเหล่านี้แต่ละคน กลุ่มกำหนดสถานะการดำรงอยู่สามสถานะ: ไม่ทำงานปลดล็อกและล็อก
ในสถานะแรกผู้จัดการรหัสผ่านต้องมั่นใจว่ามีการเข้ารหัส ดังนั้นตราบใดที่ผู้ใช้ไม่ได้ใช้รหัสผ่านที่ไม่สำคัญผู้โจมตีจะไม่สามารถเดารหัสผ่านหลักในรหัสผ่านได้ในทันที
ในสถานะที่สองไม่ควรแยกรหัสผ่านหลักออกจากหน่วยความจำ โดยตรงหรือด้วยวิธีอื่นใดในการกู้คืนรหัสผ่านหลักเดิม
และในสถานะที่สามการรับประกันความปลอดภัยทั้งหมดของตัวจัดการรหัสผ่านที่ไม่ได้ใช้งานจะต้องถูกนำไปใช้กับตัวจัดการรหัสผ่านในสถานะที่ถูกล็อก
ในการวิเคราะห์ผู้ทดสอบอ้างว่าได้ตรวจสอบอัลกอริทึมที่ผู้จัดการรหัสผ่านแต่ละคนใช้เพื่อแปลงรหัสผ่านหลักเป็นคีย์เข้ารหัสและอัลกอริทึมไม่มีความซับซ้อนในการต้านทานการโจมตีแบบแคร็กในปัจจุบัน
เกี่ยวกับการวิเคราะห์ของผู้ดูแลระบบความปลอดภัย
ในกรณีของ 1Password 4 (เวอร์ชัน 4.6.2.628)) การประเมินความปลอดภัยในการปฏิบัติงานพบว่ามีการป้องกันที่เหมาะสมจากการเปิดเผยรหัสผ่านแต่ละรายการในสถานะปลดล็อก
น่าเสียดายที่สิ่งนี้ถูกข้ามไปโดยการจัดการรหัสผ่านหลักและรายละเอียดการใช้งานที่เสียหายหลายอย่างเมื่อเปลี่ยนจากสถานะปลดล็อกไปเป็นสถานะล็อก รหัสผ่านหลักยังคงอยู่ในหน่วยความจำ
ดังนั้น สามารถดึงรหัสผ่านหลัก 1Password ได้เนื่องจากไม่ได้ลบออกจากหน่วยความจำ หลังจากทำให้ตัวจัดการรหัสผ่านอยู่ในสถานะล็อก
รับ 1Password (เวอร์ชัน 7.2.576) สิ่งที่ทำให้พวกเขาประหลาดใจคือพวกเขาพบสิ่งนั้น มีความปลอดภัยน้อยกว่าที่จะรันมากกว่า 1Password ในเวอร์ชันก่อนหน้า มากกว่า 1Password 7 เนื่องจากมีการถอดรหัสรหัสผ่านแต่ละรายการในฐานข้อมูลจะทดสอบข้อมูลทันทีที่ปลดล็อกและแคชซึ่งแตกต่างจาก 1Password 4 ที่มีการจัดเก็บเพียงครั้งละหนึ่งรายการ
นอกจากนี้ยังมี พบว่า 1Password 7 ไม่ล้างรหัสผ่านแต่ละรายการไม่ใช่ทั้งรหัสผ่านหลักหรือคีย์หน่วยความจำลับเมื่อเปลี่ยนจากสถานะปลดล็อกเป็นสถานะล็อก
จากนั้นในการประเมิน Dashlane กระบวนการต่างๆระบุว่าโฟกัสอยู่ที่การซ่อนความลับในหน่วยความจำเพื่อลดความเสี่ยงในการสกัด
นอกจากนี้การใช้ GUI และเฟรมหน่วยความจำที่ป้องกันการส่งผ่านความลับไปยัง API ของระบบปฏิบัติการต่างๆนั้นเป็นลักษณะเฉพาะของ Dashlane และอาจทำให้มัลแวร์ดักฟังได้
Linux ไม่ใช่ข้อยกเว้นเช่นกัน
ไม่เหมือนกับโปรแกรมจัดการรหัสผ่านอื่น ๆ KeePass เป็นโครงการโอเพ่นซอร์ส เช่นเดียวกับ 1Password 4 KeePass จะถอดรหัสรายการในขณะที่โต้ตอบ
อย่างไรก็ตามพวกเขาทั้งหมดยังคงอยู่ในความทรงจำเนื่องจากไม่ได้ถูกลบทีละรายการหลังจากการโต้ตอบแต่ละครั้ง รหัสผ่านหลักถูกลบออกจากหน่วยความจำและไม่สามารถเรียกคืนได้
อย่างไรก็ตามในขณะที่ KeePass พยายามรักษาความลับโดยการลบออกจากหน่วยความจำ แต่ก็มีข้อบกพร่องบางอย่างในเวิร์กโฟลว์เหล่านี้เนื่องจากเราพบว่าพวกเขากล่าวว่าแม้จะอยู่ในสถานะล็อกเราก็สามารถดึงข้อมูลอินพุตที่โต้ตอบด้วยได้
รายการที่ถูกสกัดกั้นจะยังคงอยู่ในหน่วยความจำแม้ว่า KeePass จะอยู่ในสถานะล็อกแล้วก็ตาม
สุดท้ายเช่นเดียวกับใน 1Password 4 LastPass จะซ่อนรหัสผ่านหลักเมื่อป้อนในช่องปลดล็อก
เมื่อคีย์ถอดรหัสได้มาจากรหัสผ่านหลักรหัสผ่านหลักจะถูกแทนที่ด้วยวลี "lastpass"
Fuente: ความปลอดภัย
ไม่ควรเก็บรหัสผ่านไว้ในที่อื่นนอกจากสมุดบันทึกที่เขียนด้วยปากกาลูกลื่น ... ที่เหลือก็เหมือนเรื่องเล่าของลุง
เห็นด้วยอย่างยิ่งที่โน้ตบุ๊กไม่มีอะไรเลยเนื่องจากแฮกเกอร์ค่อนข้างยาก
เข้าไปในบ้านของคุณเพื่อขโมยโน้ตบุ๊กของคุณ
ผู้ดูแลระบบที่ปลอดภัยที่สุดคืออะไร?
การพูดเกินจริงโดยรวมเห็นได้ชัดว่าตัวจัดการรหัสผ่านไม่ปลอดภัย 100% เนื่องจากไม่มีสิ่งใดที่ปลอดภัย 100% สำหรับสุภาพบุรุษ ... ถึงอย่างนั้นการใช้ตัวจัดการรหัสผ่านจะปลอดภัยกว่าการไม่ใช้รหัสผ่านเสมอ ดินสอและกระดาษ? ไร้สาระเว้นแต่คุณจะมีรหัสผ่านเพียง 3 หรือ 4 รหัส แต่สำหรับคนอย่างฉันที่มีบัญชีที่แตกต่างกัน 50, 100 บัญชีขึ้นไปในที่ต่างๆมันไม่สมเหตุสมผลเลยที่เราจะต้องเพิ่มว่าถ้าคุณทำกระดาษหรือเพนไดรฟ์หาย บอกลาชีวิตดิจิทัลของคุณ ในปี 2019 การบันทึกรหัสผ่านของคุณที่ใดก็ได้นอกจากในระบบคลาวด์นั้นไม่สมเหตุสมผลเลยแม้แต่น้อย แต่ทั้งหมดนี้ได้รับการเข้ารหัสอย่างถูกต้อง Lastpass เป็นสิ่งที่ปลอดภัยที่สุดที่จะใช้ในปัจจุบันใครก็ตามที่อ้างว่าไม่รู้ว่าพวกเขากำลังพูดถึงอะไรพวกเขาเป็นเพียงผู้ใช้ทั่วไป ทักทาย.
ฉันใช้ https://bitwarden.com/ รายงานของตัวจัดการรหัสผ่านนี้พูดว่าอย่างไร?