Інтернет-зв’язків стає все більше і більше починаючи з 2010-х, особливо з появою соціальних мереж. Багато онлайн-сервісів закликають користувачів не використовувати однаковий пароль скрізь.
Тут заходять менеджери паролів щоб допомогти користувачам зберігати всі свої паролі, які вони мають централізовано, за допомогою рівня безпеки (додайте метадані та багато іншого).
Як користуватися менеджером паролів?
Менеджери паролів дозволяють зберігати та отримувати конфіденційну інформацію із зашифрованої бази даних.
Користувачі довіряють їм пропонувати кращі гарантії безпеки від витоків незначна порівняно з іншими засобами зберігання паролів, такими як незахищені текстові файли.
Іншими словами, менеджери паролів можуть зберігати всі ваші паролі, що використовуються в Інтернеті, в одному місці, тому вони дуже корисні.
Не все так, як вони малюють
З огляду на це, група незалежних тестувальників безпеки, Цього тижня ISE повідомила, що деякі найпопулярніші менеджери паролів мають деякі уразливості які можуть бути використані для викрадення інформації про особу у користувачів, припускаючи, що вони ще не використовувалися третіми сторонами.
У звіті, представленому групою, описав гарантії безпеки, які повинні пропонувати менеджери паролів, та вивчив основні дії п'яти популярних менеджерів паролів.
Навіть безкоштовне програмне забезпечення не звільняється
Це менеджери паролів 1Password, Keepass, Dashlane та LastPass. За їхніми словами, усі перелічені нижче менеджери паролів працюють однаково.
Користувачі вводять або генерують паролі в програмне забезпечення та додають відповідні метадані (наприклад, відповіді на питання безпеки та веб-сайт, для якого призначений пароль).
Ця інформація зашифровується, а потім розшифровується лише тоді, коли екрану необхідно передати її до плагіна браузера, який вводить пароль на веб-сайті або копіює його в буфер обміну для використання.
Для кожного з цих адміністраторів група визначає три стани існування: не запущений, розблокований та заблокований.
У першому стані менеджер паролів повинен забезпечити шифрування так що поки користувач не використовує тривіальний пароль, зловмисник не може раптово вгадати головний пароль у паролі.
У другому стані не повинно бути можливо витягти головний пароль з пам'яті безпосередньо або будь-яким іншим способом відновити початковий головний пароль.
А в третьому стані всі гарантії безпеки неактивного менеджера паролів повинні застосовуватися до менеджера паролів у заблокованому стані.
У своєму аналізі тестувальники стверджують, що вивчили алгоритм, який використовується кожним менеджером паролів для перетворення головного пароля в ключ шифрування, і що алгоритму бракує складності для протистояння сьогоднішнім атакам злому.
Про аналіз адміністраторів безпеки
У випадку з 1Password 4 (версія 4.6.2.628), його оперативна оцінка безпеки знайшла розумний захист від відкриття індивідуальних паролів у незаблокованому стані.
На жаль, це було оброблено обробкою головного пароля та різними невдалими деталями реалізації при переході із незаблокованого стану у заблокований. Головний пароль залишається в пам'яті.
Таким чином, 1 Головний пароль пароля можна отримати, оскільки він не стирається з пам'яті після переведення менеджера паролів у заблокований стан.
Беручи 1Password (версія 7.2.576), Їх здивувало те, що вони це виявили він менш безпечний для запуску, ніж 1Password у попередній версії ніж 1Password 7, оскільки він зламав усі окремі паролі в базі даних, протестує дані відразу після їх розблокування та кешування, на відміну від 1Password 4, який зберігає лише один запис за раз.
Також виявив, що 1Password 7 не очищає окремі паролі, ні головний пароль, ні секретний ключ пам'яті при переході з незаблокованого стану в заблокований.
Потім, під час оцінки Dashlane, процеси вказували на те, що основна увага приділялася приховуванню секретів у пам’яті, щоб зменшити ризики вилучення.
Крім того, використання графічного інтерфейсу та фреймів пам'яті, що перешкоджало передачі секретів до різних API операційної системи, було унікальним для Dashlane і могло піддавати їх підслуховуванню зловмисним програмним забезпеченням.
Linux - також не виняток
На відміну від інших менеджерів паролів, KeePass це проект з відкритим кодом. Подібно до 1Password 4, KeePass розшифровує записи під час їх взаємодії.
Однак усі вони залишаються в пам'яті, оскільки не стираються окремо після кожної взаємодії. Головний пароль стирається з пам'яті і не може бути отриманий.
Однак, хоча KeePass намагається захистити секрети, стираючи їх з пам'яті, в цих робочих процесах очевидно є деякі помилки, оскільки ми виявили, мовляв, навіть у заблокованому стані ми могли б витягти вхідні дані, з якими він взаємодіяв.
Перехоплені записи залишаються в пам'яті навіть після того, як KeePass переведено в заблокований стан.
Нарешті, як і в 1Паролі 4, LastPass приховує головний пароль, коли він вводиться в поле розблокування.
Як тільки ключ дешифрування отриманий із головного пароля, головний пароль замінюється фразою "lastpass".
Фуенте: оцінювачі безпеки
Паролі не слід зберігати деінде, крім блокнота, написаного кульковою ручкою ... все інше схоже на історію дядька.
цілком погоджуюсь, оскільки в ноутбуці немає нічого, оскільки це трохи важко для хакерів
увійдіть у ваш будинок, щоб викрасти ваш ноутбук
Який найбезпечніший адміністратор?
Повне перебільшення, очевидно, що менеджер паролів не є на 100% захищеним, оскільки ніщо не є на 100% захищеним джентльменом ... Навіть незважаючи на це, завжди буде безпечніше використовувати менеджер паролів, ніж не використовувати його. Олівець і папір? Абсурд, якщо у вас немає лише 3 або 4 паролів, але для таких людей, як я, які мають 50, 100 або більше різних облікових записів у різних місцях, це не має ні найменшого сенсу, до цього ми повинні додати, що якщо ви втратите папір чи маятник , попрощайтеся з вашим цифровим життям. У 2019 році немає ні найменшого сенсу зберігати свої паролі в будь-якому іншому місці, крім як у хмарі, всі належним чином зашифровані. Lastpass - найбезпечніша річ, яку можна використовувати сьогодні, хто ж стверджує інакше, не знає, про що йде мова, це просто пересічний користувач. Привітання.
я використовую https://bitwarden.com/ Що говорить звіт цього менеджера паролів?