Çevrimiçi bağlantılar giderek daha fazla sayıda hale geldi 2010'lardan beri, özellikle sosyal medyanın gelişiyle. Birçok çevrimiçi hizmet, kullanıcıları her yerde aynı parolayı kullanmamaya teşvik eder.
Şifre yöneticilerinin devreye girdiği yer burasıdır kullanıcıların sahip oldukları tüm parolaları merkezi olarak bir güvenlik katmanı ile tutmalarına yardımcı olmak için (meta verileri ve daha fazlasını ekleyin).
Bir şifre yöneticisi nasıl kullanılır?
Parola yöneticileri gizli bilgilerin şifrelenmiş bir veritabanından depolanmasına ve alınmasına izin verir.
Kullanıcılar, sızıntılara karşı daha iyi güvenlik garantileri sunmak için onlara güvenir güvenli olmayan metin dosyaları gibi diğer parola saklama yöntemlerine kıyasla önemsizdir.
Diğer bir deyişle, şifre yöneticileri İnternette kullanılan tüm şifrelerinizi tek bir yerde tutabilir, bu yüzden çok faydalıdırlar.
Her şey boyadıkları gibi değil
Bununla birlikte, bir grup bağımsız güvenlik test edicisi, ISE bu hafta en popüler şifre yöneticilerinden bazılarının bazı güvenlik açıklarına sahip olduğunu bildirdi. henüz üçüncü şahıslar tarafından istismar edilmedikleri varsayılarak, kullanıcılardan kimlik bilgilerini çalmak için kötüye kullanılabilir.
Grubun sunduğu raporda, Parola yöneticilerinin sunması gereken güvenlik garantilerini açıkladı ve beş popüler parola yöneticisinin temelindeki işlemleri inceledi.
Özgür yazılım bile muaf değildir
Bunlar 1Password, Keepass, Dashlane ve LastPass şifre yöneticileridir. Aşağıda listelenen bu şifre yöneticilerinin tümü aynı şekilde çalışıyor diyorlar.
Kullanıcılar yazılıma parolalar girer veya oluşturur ve ilgili meta verileri ekler (örneğin, güvenlik sorularına verilen yanıtlar ve parolanın tasarlandığı site).
Bu bilgiler şifrelenir ve ardından yalnızca ekranın bir web sitesinde şifreyi dolduran veya kullanım için panoya kopyalayan bir tarayıcı eklentisine iletmesi gerektiğinde şifresi çözülür.
Bu yöneticilerin her biri için, grup üç varoluş durumunu tanımlar: çalışmama, kilidi açılma ve kilitlenme.
İlk durumda, şifre yöneticisi şifrelemeyi sağlamalıdır böylece kullanıcı önemsiz bir parola kullanmadığı sürece, saldırgan bir paroladaki ana parolayı aniden tahmin edemez.
İkinci durumda, ana parolayı bellekten çıkarmak mümkün olmamalıdır. doğrudan veya başka bir şekilde orijinal ana parolayı kurtarmak için.
Üçüncü durumda, etkin olmayan bir parola yöneticisinin tüm güvenlik garantileri, kilitli bir durumda bir parola yöneticisine uygulanmalıdır.
Test uzmanları, analizlerinde, ana parolayı bir şifreleme anahtarına dönüştürmek için her bir parola yöneticisinin kullandığı algoritmayı incelediklerini ve algoritmanın günümüzün kırma saldırılarına dayanacak karmaşıklıktan yoksun olduğunu iddia ediyor.
Güvenlik yöneticilerinin analizi hakkında
1Password 4 durumunda (sürüm 4.6.2.628), operasyonel güvenlik değerlendirmesi, kilitli olmayan durumda bireysel parolaların açığa çıkmasına karşı makul koruma sağladı.
Ne yazık ki bu, ana parolanın işlenmesi ve kilitli durumdan kilitli duruma geçerken çeşitli bozuk uygulama ayrıntıları tarafından atlandı. Ana şifre bellekte kalır.
Bu yüzden, 1Parola ana parolası bellekten silinmediği için geri alınabilir şifre yöneticisini kilitli bir duruma getirdikten sonra.
1Password (sürüm 7.2.576) alarak, Onları şaşırtan şey bulmalarıdır. önceki sürümünde 1Password çalıştırmaktan daha az güvenlidir Veritabanındaki tüm bireysel şifreleri kırdığı için 1Password 7'den daha fazla, bir seferde yalnızca bir girişi saklayan 1Password 4'ün aksine, verileri kilitlenir ve önbelleğe alınır alınmaz test edin.
Buna ek olarak, aynı zamanda 1Password 7'nin tek tek parolaları temizlemediğini tespit etti, kilitli durumdan kilitli duruma geçerken ne ana parola ne de gizli bellek anahtarı.
Daha sonra, Dashlane değerlendirmesinde, süreçler, çıkarma riskini azaltmak için sırların bellekte saklanmasına odaklanıldığını gösterdi.
Ek olarak, sırların çeşitli işletim sistemi API'lerine aktarımını engelleyen GUI ve bellek çerçevelerinin kullanımı Dashlane'e özeldi ve bunları kötü amaçlı yazılımlar tarafından gizlice dinlenmeye maruz bırakabilirdi.
Linux da bir istisna değil
Diğer şifre yöneticilerinin aksine, KeePass açık kaynak kodlu bir projedir. 1Password 4'e benzer şekilde, KeePass etkileşime girdiklerinde girişlerin şifresini çözer.
Ancak, her etkileşimden sonra ayrı ayrı silinmedikleri için hepsi hafızada kalır. Ana şifre bellekten silinir ve geri alınamaz.
Bununla birlikte, KeePass sırları bellekten silerek güvenli hale getirmeye çalışırken, bu iş akışlarında belli ki hatalar var, çünkü bulduk ki, kilitli bir durumda bile etkileşime girdiği girdileri çıkarabiliriz.
Kesilen girişler, KeePass kilitli duruma getirildikten sonra bile bellekte kalır.
Son olarak, 1Password 4'te olduğu gibi, LastPass, kilit açma alanına girildiğinde ana parolayı gizler.
Şifre çözme anahtarı ana şifreden elde edildiğinde, ana şifre "lastpass" ifadesi ile değiştirilir.
kaynak: güvenlik değerlendiricileri
Şifreler, tükenmez kalemle yazılmış bir defter dışında hiçbir yerde saklanmamalıdır ... gerisi amcanın hikayesi gibidir.
Bilgisayar korsanları için biraz zor olduğundan dizüstü bilgisayar olarak hiçbir şey olmadığına tamamen katılıyorum
defterinizi çalmak için evinize girin
En güvenli yönetici ne olurdu?
Tamamen abartılı bir şekilde, bir şifre yöneticisinin% 100 güvenli olmadığı açıktır, çünkü hiçbir şey% 100 güvenli değildir beyler… Öyle olsa bile, bir şifre yöneticisi kullanmak onu kullanmamaktan daha güvenli olacaktır. Kalem ve kağıt mı? Sadece 3 veya 4 şifreniz olmadıkça saçma, ancak benim gibi farklı yerlerde 50, 100 veya daha fazla farklı hesabı olan insanlar için en ufak bir anlam ifade etmiyor, buna, kağıdı veya pendrive'ı kaybederseniz eklememiz gerektiğini eklememiz gerekir onlara dijital yaşamınıza veda edin. 2019'da şifrelerinizi bulut dışında herhangi bir yere, tamamen şifrelenmiş olarak kaydetmek en ufak bir anlam ifade etmiyor. Lastpass bugün kullanmak için en güvenli şeydir, kim başka türlü ne hakkında konuştuğunu bilmediğini iddia ederse, sadece ortalama bir kullanıcıdır. Selamlar.
kullanırım https://bitwarden.com/ Bu şifre yöneticisinin raporu ne diyor?