A jelszókezelők biztonságosan használhatók?

Már tudja, hogy fontos az erős jelszavak használata, valamint a fenyegetésekkel, amelyekkel szemben szembesül, ha nem. Az erős jelszavak érvényesítése érdekében sokan jelszókezelőket használnak. Feltételezzük, hogy adataink biztonságát őrzik, de időnként valószínűleg hamis biztonsági érzésük van. Sőt, nem minden jelszókezelő kínál azonos biztonsági szintet. Ez azt eredményezheti, hogy a hackerek brutális erőszakos támadásokat használnak és ellopják személyazonosságát.


A jelszókezelők biztonságosan használhatók?

A jelszókezelők biztonságosan használhatók?

Jelszókezelők és miért használják őket

A jelszókezelők olyan alkalmazások, böngészőbővítmények vagy eszközök, amelyeket az összes jelszó biztonságos tárolására használnak. Ide tartoznak a számos jelszó, amelyet sok webhelyen hoz létre, például az Amazon, a Netflix vagy a YouTube, amikor feliratkozik. Hasonlóképpen, létrehozhatott erős jelszavakat, amelyeket nehéz megjegyezni az e-mailben, az internetszolgáltatóban, a telefonszolgáltatóban és másokban.

Ezeket a jelszavakat az alkalmazásba mentheti, és egy másik jelszó létrehozásával bezárhatja. Alapvetően ahhoz, hogy az összes bejelentkezési hitelesítő adata elérhető legyen, csak az egyikre van szüksége. Ez a jelszókezelő jelszava. Nyissa meg az alkalmazást, válassza ki a használni kívánt szolgáltatás jelszavát, másolja és illessze be. Egyes jelszókezelők további biztonságot kínálnak olyan lehetőségekkel, mint például a két tényezős hitelesítés. Egyesek könnyű hozzáférést kínálnak az automatikus kitöltő űrlapokkal, ahol automatikusan belépnek egy szolgáltatás vagy webhely bejelentkezési mezőibe.

Problémák a jelszókezelőkkel

Noha igaz, hogy a jelszókezelő alkalmazások nagyobb kényelmet nyújtanak a hálózathoz való hozzáféréshez, nem szabad figyelmen kívül hagyni az általuk jelentett fenyegetéseket. Különösen akkor, ha a jelszókezelő alkalmazásával elérhető böngésző-kiterjesztést használ, a fenyegetések óriási. Ha olyan webhelyet látogat meg, amely kártékony programmal megfertőzheti az eszközét, az adatait számos támadás veszélyezteti, például az XSS (helyszíni szkriptek) vagy a CSRF (helyszíni kérések hamisítása)..

A jelen eset egy korábbi LastPass biztonsági kizsákmányolás, ahol a kiszolgáltatott webhelyre valószínűleg egy kém szkriptet adtak be. Ellenőrizheti böngészőjét az említett kiterjesztés szempontjából, ha engedélyezte azt a webhely látogatása közben. A LastPasséval megegyező értesítés jelenik meg az oldalon, amely arról szól, hogy a munkamenet lejárt, és újra be kell jelentkeznie. Ha rákattint a megjelenített linkre, egy adathalász webhelyre vezet, amely hasonló a LastPass bejelentkezési oldalához.

Bejelentkezéskor a rosszindulatú webhely ellenőrzi a LastPass API-t, és megerősíti a hitelesítő adatait. Ha ezek helyesek, a webhely kéri, hogy írja be a két tényezős hitelesítési jogkivonatot. Még egyszer megvizsgálva a LastPass API-t, a webhely azonnal elküldi az adatait a hackerek szerverének. De ha a bejelentkezési adatok helytelennek bizonyulnak, akkor a webhely szkripte hibaüzenetet tölt be, kérve újból.

A. Korábbi biztonsági kérdései LastPass átadják a hackerek teljes hozzáférését a belső privilegizált RPC parancsaihoz és végrehajtják a kódot. A hackerek felülbírálhatják a törvényes üzeneteket és hasonló adathalász támadásokat hozhatnak létre.

A nem biztonságos internet

A fenti példa nem csak a böngésző alapú jelszókezelők kérdése, amely napvilágra került. Mint egy hálózati világban, Keeper, 1Password és Dashlane biztonsági problémákat is tapasztaltak.

A Keeper biztonsági rése az volt, hogy a kiterjesztés megbízhatatlan felhasználói felületét adott nem megbízható webhelyre. Ez nyitva hagyta a támadásokat, például a CSRF, az XSS és mások. A Dashlane egy univerzális XSS biztonsági rést tapasztalhatott meg, amely megengedte, hogy a webhelyek támadjanak egymást az XSS kihasználásával és kompromittálással a sütikkel, a bejelentkezési adatokkal és más felhasználói adatokkal. Az 1Password korábbi biztonsági problémái többek között a helyi biztonsági modell, a virtualizáció és a homokozó használatának letiltásához vezettek.

Ezek a kérdések csak a jéghegy tippjei

A hackerek minden nap okosabb módszereket találnak a támadásokra, és az adathalász webhelyek egyre jobban észlelhetetlenek. Láttuk, hogy számos jelszókezelő engedélyezte az automatikus kitöltési funkciót. Wired szerint a legnagyobb biztonsági rés a bejelentkezési űrlap kitöltése a mentett hitelesítő adatokkal egy weboldalra. A Princetoni Információs Technológia Központja szerint a hackerek a jelszókezelők webböngésző-kiterjesztéseiben ezeket a régóta fennálló biztonsági réseket kihasználva csak a kezdet.

A hackerek fejlett szkriptei nyomon követhetik ezt az automatikus kitöltési funkciót, és ellophatják a bejelentkezési adatait. Noha a számok azt mutatják, hogy az ilyen támadások eddig csak ezer webhelyen történt meg, biztosak lehetünk abban, hogy ezek csak felkészülnek. A biztonsági rés észlelésekor megváltoztathatja a jelszavát. Ezekkel a biztonsági résekkel azonban felhasználói adataikat az Ön tudta nélkül ellopják. A jelszókezelők nem fogják tudni megmenteni téged, ha ez megtörténik.

Jelszavak védelme

Szóval, a webhelyek nem értesítik-e Önt, ha feltörték őket? Ha ez a kérdés gondolkodik, akkor tudnia kell, hogy számos esetben a webhelyek nem tettek semmit a felhasználók tájékoztatása érdekében. Még akkor is, ha olyan nagyvállalatok, mint a Yahoo! és az Uber adatsértést szenvedett, a felhasználókat nem értesítették. Ezért, még ha megbízunk egy biztonságos jelszókezelőben is, értsd meg, hogy adatai nem biztonságosak azoktól a webhelyektől vagy a cégektől, amelyek nem rendelkeznek megfelelő biztonsággal webhelyeiken.

Az emberek véleménye a jelszókezelőkről

Sok ember nem ért egyet azzal, hogy a jelszókezelők biztonságosak. Lássuk például Dave véleményét, aki egy szoftvercég programozója. Úgy gondolja, hogy „jobb a helyi jelszókezelő használata, mivel egy felhőalapú szolgáltatás könnyen támadható meg. Ezenkívül akkor is értelmes egy jelszókezelő klienst használni, ha üzleti célokból több száz bejelentkezési hitelesítő adatot kell mentenie, mint én. ”

Ez könyvelőként Matt szerint ugyanakkor nem is biztonságos módszer. Azt mondja, hogy szereti a saját memóriájától függni, ahelyett, hogy valamilyen eszközbe bízol, mert elmenti az értékes jelszavait. Elmondása szerint minden eszköz sebezhető, és az adatokat ellophatja valaki, aki fizikailag hozzáfér az Ön készülékéhez.

Hasonló véleményt mond Rosie, egy hallgató, aki úgy gondolja: „Szokásom, hogy jelszavaimat egy védett munkalapra mentsem az MS Excel programban. 20 karaktert meghaladó jelmondatot használok, amit biztosan meglehetősen nehéz feltörni. Nem bízom a felhőalapú vagy a helyi eszközök tárolásában, csak a saját memóriámban a legérzékenyebb információm biztosításában. ”  

Használjon Jelszókezelőt?

Most, hogy tisztában van a jelszókezelők összes lehetséges biztonsági résével, abba kell hagynia az egyik használatát? A helyzet az, hogy ha több számlája van, akkor jobb egy fiókot használni, mivel extra biztonsági réteggel jár. Sokkal jobb, ha egyáltalán nincs; ha nem takarít meg őket, akkor sokkal nagyobb kockázatot jelent, mint ha ilyen lenne. De ügyeljen arra, hogy biztonságos jelszókezelőt használjon, és gyakran frissíti a biztonságát a brutális erőszakos támadások ellen.   

Akárhogy is, soha ne használjon böngészőbővítményeket vagy beépített böngészőalkalmazásokat a jelszókezeléshez, mint például a Chrome-val. Ehelyett használjon bármilyen asztali beállítást, mivel ezek a legtöbb biztonságot és az automatikus kitöltés funkciót nyújtják. Biztonsági másolatként titkosított eszközre vagy fájlra mentheti a jelszavait.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me