Jesu li upravitelji lozinki sigurni za upotrebu?

Već znate važnost upotrebe snažnih lozinki i prijetnji s kojima se suočavate ako to ne činite. Mnogi od nas koriste upravitelje lozinki za primjenu snažnih lozinki. Oni bi trebali čuvati naše podatke u sigurnom, ali ponekad je moguće da je lažan osjećaj sigurnosti. Štoviše, ne nude svi upravitelji lozinki istu razinu sigurnosti. To bi moglo dovesti do hakera da koriste brutalne napade i ukrasti vam identitet.


Jesu li upravitelji lozinki sigurni za upotrebu?

Jesu li upravitelji lozinki sigurni za upotrebu?

Upravitelji lozinkom i zašto se koriste

Upravitelji lozinkama su aplikacije, proširenja preglednika ili alati koji se koriste za sigurno spremanje svih zaporki. Oni uključuju brojne lozinke koje stvorite na mnogim web lokacijama poput Amazona, Netflixa ili YouTubea kada se prijavite. Isto tako, možda ste stvorili jake lozinke koje je teško zapamtiti za svoju e-poštu, davatelja internetskih usluga, vašu telefonsku tvrtku i druge.

Sve ove lozinke možete spremiti u aplikaciju i zaključati ih stvaranjem druge lozinke. U osnovi, za pristup svim vašim vjerodajnicama za prijavu potrebna vam je samo jedna. To je lozinka koju imate za upravitelja lozinki. Otvorite aplikaciju, odaberite lozinku usluge koju želite koristiti, kopirajte je i zalijepite. Neki upravitelji lozinki nude dodatnu sigurnost s opcijama poput dvofaktorske provjere identiteta. Neki nude jednostavni pristup obrascima sa automatskim ispunjavanjem gdje automatski ulazi u polja za prijavu usluge ili web stranice.

Problemi s Upraviteljima lozinki

Iako je istina da vam aplikacije za upravljanje lozinkom dokazuju veću udobnost u pristupu mreži, ne možete zanemariti prijetnje koje predstavljaju. Prijetnje su ogromne, osobito kada koristite proširenje preglednika dostupno uz aplikaciju za upravljanje lozinkom. Posjećivanje web mjestu koje može zaraziti vaš uređaj zlonamjernim softverom čini vaše podatke ranjivim na brojne napade poput XSS (Cross-Site Scripting) ili CSRF (Cross-Site Request Forgery).

Slučaj je jedan od prethodnih sigurnosnih eksplozija LastPass-a, pri čemu je ranjivoj web stranici vjerojatno ubrizgao špijunski scenarij. Ovo bi moglo provjeriti vaš preglednik radi navedenog proširenja ako ga omogućite tijekom posjeta web mjestu. Na stranici će se prikazati obavijest identična onoj LastPass-a koja vam govori da je vaša sesija istekla i da se morate ponovno prijaviti. Ako kliknete na prikazanu vezu, preusmjeravat će vas na phishing web mjesto koje sliči na stranicu za prijavu LastPass-a..

Kad se prijavite, zlonamjerna web lokacija provjerava pomoću LastPass API-ja i potvrđuje vaše vjerodajnice. Ako su ispravne, web-lokacija bi tražila da unesete dvofaktorni žeton autentičnosti. Još jednom provjerom pomoću LastPass API-ja, web mjesto odmah šalje vaše podatke na hakerski poslužitelj. Ali ako se utvrdi da podaci o prijavi nisu točni, skripta na web mjestu učitava poruku o pogrešci, tražeći da pokušate ponovo.

Ostala pitanja sigurnosti u proteklom razdoblju LastPass predaju hakerima potpuni pristup njegovim internim privilegiranim RPC naredbama i izvršavaju kôd. Haker također može nadjačati legitimne poruke i stvoriti slične phishing napade.

Nesigurni Internet

Gornji primjer nije jedino pitanje upravitelja lozinki na temelju preglednika koji je izašao na vidjelo. Prema mreži svijeta, Keeper, 1Password i Dashlane također su imali sigurnosnih problema.

Jedna od prethodnih sigurnosnih ranjivosti Keeper bila je da je proširenje ubrizgalo njegovo pouzdano korisničko sučelje na nepouzdano mjesto. To je ostavilo otvorene za napade poput CSRF, XSS i drugih. Dashlane je iskusio univerzalnu sigurnosnu ranjivost XSS, koja će web lokacijama omogućiti da se međusobno napadaju XSS iskorištavanjem i kompromitiraju kolačiće, vjerodajnice i druge podatke korisnika. Prošli sigurnosni problemi 1Password doveli su do onemogućavanja lokalnog sigurnosnog modela, virtualizacije i slanja sanduka među ostalim značajkama.

Ova su izdanja samo savjeti ledenog brijega

Sa svakim danom hakeri pronalaze pametnije načine za napad, a krađe identiteta postaju sve bolje u otkrivanju. Vidjeli smo da je nekoliko upravitelja lozinki omogućeno značajku automatskog popunjavanja. Prema Wiredu, dodavanje obrasca za prijavu na web stranicu sa spremljenim vjerodajnicama najveća je sigurnosna ugroženost. Prema Centru za politiku informacijske tehnologije u Princetonu, hakeri koji iskorištavaju ove dugogodišnje ranjivosti u proširenjima web preglednika za upravitelje lozinki tek su početak.

Napredne skripte hakera mogu pratiti ovu značajku automatskog popunjavanja i ukrasti vaše vjerodajnice za prijavu. Iako brojke pokazuju da su se takvi napadi dosad dogodili na samo tisuću web lokacija, možemo biti sigurni da se oni tek spremaju. Kad otkrijete kršenje sigurnosti, mogli biste promijeniti zaporku. Međutim, s ovim ranjivostima vaši će podaci o korisnicima biti ukradeni bez vašeg znanja. Upravitelji lozinki neće vas moći spasiti nakon što se to dogodi.

Zaštita lozinki

Pa, zar vas web stranice neće obavijestiti ako su bile hakirane? Ako vam ovo pitanje pada na pamet, morate znati da je bilo mnogo slučajeva u kojima web stranice nisu učinile ništa kako bi informirale svoje korisnike. Čak i kada su velike kompanije poput Yahoo! i Uber je prekršio podatke, korisnici nisu obaviješteni. Stoga, čak i ako vjerujete sigurnom upravitelju lozinki, shvatite da vaši podaci ne mogu biti sigurni od web stranica ili kompanija koje nemaju odgovarajuću sigurnost na svojim web lokacijama..

Mišljenje ljudi o upraviteljima lozinki

Mnogo je ljudi koji se ne slažu da su upravitelji lozinki sigurni. Na primjer, pogledajmo mišljenje Davea, koji je programer u softverskoj tvrtki, vjeruje da je „Korištenje lokalnog upravitelja lozinki bolje kao oblačna usluga može se lako hakirati. Također, ima smisla koristiti klijenta za upravljanje lozinkom ako trebate spremiti stotine vjerodajnica za prijavu, kao što sam to ja, u poslovne svrhe. “

Međutim, to također nije siguran način, kaže Matt, koji je računovođa. Kaže da voli ovisiti o vlastitoj memoriji, umjesto da vjeruje nekom uređaju za spremanje svojih vrijednih lozinki. Prema njegovim riječima, svi su uređaji ranjivi, a podatke bi mogao ukrasti netko tko ima fizički pristup vašim uređajima.

Slično mišljenje izražava i Rosie, studentica koja vjeruje: „Imam naviku spremati svoje lozinke na zaštićenom radnom listu u MS Excel-u. Koristim propusnicu od preko 20 znakova za koju sam siguran da je prilično teško probiti se. Ne vjerujem ni u pohranu na bazi oblaka ni na lokalni uređaj više nego u vlastitu memoriju kako bih zaštitio svoje najosjetljivije podatke. ”  

Trebate li koristiti upravitelj lozinki?

Sada kada znate za sve moguće sigurnosne ranjivosti upravitelja lozinki, biste li trebali prestati s korištenjem? Činjenica je da ako imate više broja računa, bolje je koristiti jedan jer ste dobili dodatni sloj sigurnosti. Daleko je bolje od toga da ga nema; ako ih ne štedite predstavlja mnogo veće rizike od takvih. Ali budite sigurni da koristite sigurni upravitelj lozinki i da često nadograđuje svoju sigurnost protiv grubih napada.   

U svakom slučaju, nikada ne koristite proširenja preglednika ili ugrađene pregledničke aplikacije za upravljanje lozinkama, poput one koju ste dobili sa Chromeom. Umjesto toga, koristite bilo koju opciju koja se temelji na radnoj površini jer nude najveću sigurnost i značajku automatskog punjenja. Kao sigurnosnu kopiju, svoje lozinke možete spremiti i na šifrirani uređaj ili datoteku.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me