Administratorii de parolă sunt în siguranță de utilizat?

Știți deja importanța folosirii parolelor puternice și a amenințărilor cu care vă confruntați dacă nu. Pentru a aplica parole puternice, mulți dintre noi folosim administratorii de parole. Se presupune că ne păstrează datele în siguranță, dar uneori este posibil să existe un fals sentiment de securitate. Mai mult, nu toți administratorii de parole oferă același nivel de securitate. Aceasta ar putea determina hackerii să folosească atacuri de forță brută și să vă fure identitatea.


Administratorii de parolă sunt în siguranță de utilizat?

Administratorii de parolă sunt în siguranță de utilizat?

Managerii de parolă și de ce sunt folosiți

Administratorii de parole sunt aplicații, extensii de browser sau instrumente care sunt utilizate pentru a stoca toate parolele în siguranță. Acestea includ numeroasele parole pe care le creați pe mai multe site-uri precum Amazon, Netflix sau YouTube când vă înscrieți. De asemenea, este posibil să fi creat parole puternice greu de reținut pentru e-mailul dvs., ISP, compania dvs. de telefonie și altele.

Puteți salva toate aceste parole în aplicație și să îl blocați creând o altă parolă. Practic, pentru a accesa toate datele de autentificare de conectare, aveți nevoie doar de una. Aceasta este parola pe care o aveți pentru managerul de parole. Deschideți aplicația, alegeți parola serviciului pe care doriți să-l utilizați, copiați și lipiți-l. Unii manageri de parole oferă securitate suplimentară cu opțiuni precum autentificarea cu doi factori. Unii oferă ușurință de acces cu formularele de completare automată unde intră automat câmpurile de conectare ale unui serviciu sau site-ul web.

Probleme cu administratorii de parole

Deși este adevărat că aplicațiile de gestionare a parolelor se dovedesc a vă oferi mai mult confort în accesarea pe net, nu puteți ignora amenințările pe care le prezintă. Mai ales când utilizați o extensie de browser disponibilă cu aplicația de manager de parole, amenințările sunt uriașe. Vizitarea unui site web care vă poate infecta dispozitivul cu malware face ca datele dvs. să fie vulnerabile la o serie de atacuri precum XSS (Cross-Site Scripting) sau CSRF (Cross-Site Request Forgery).

Cazul de mai jos este unul dintre exploatările anterioare de securitate LastPass, în cazul în care site-ul web vulnerabil a fost probabil injectat cu un script de spionaj. Aceasta poate verifica extensia menționată a browserului dvs. dacă o activați în timp ce vizitați site-ul. Pe pagina se va afișa o notificare identică cu cea a LastPass care vă va spune că sesiunea a expirat și că trebuie să vă autentificați din nou. Dacă faceți clic pe linkul afișat, v-ar duce pe un site de phishing care arată similar cu pagina de conectare a LastPass.

Când vă autentificați, site-ul rău intenționat se verifică cu API-ul LastPass și vă confirmă datele de acreditare. Dacă sunt corecte, site-ul vă va solicita să introduceți simbolul de autentificare cu doi factori. Verificând încă o dată cu API-ul LastPass, site-ul trimite imediat datele dvs. pe serverul hackerului. Însă, dacă detaliile de autentificare se află incorecte, scriptul de pe site ar încărca un mesaj de eroare, solicitând să încercați din nou.

Alte probleme de securitate din trecut LastPass predau hackerii acces complet la comenzile RPC privilegiate interne și execută codul. Hackerul ar putea de asemenea să înlocuiască mesajele legitime și să creeze atacuri de phishing similare.

Internetul nesigur

Exemplul de mai sus nu este singura problemă a administratorilor de parole bazate pe browser care au apărut. În conformitate cu Network World, Keeper, 1Password și Dashlane au avut și probleme de securitate.

O vulnerabilitate a securității din trecut a Keeper a fost că extensia și-a injectat UI de încredere pe un site neîncredut. Aceasta l-a lăsat deschisă atacurilor precum CSRF, XSS și altele. Dashlane a experimentat o vulnerabilitate universală de securitate XSS, care ar permite ca site-urile să se atace unul pe altul cu exploatări XSS și să compromită cookie-urile, datele de autentificare și alte date ale utilizatorilor. Problemele de securitate anterioare 1Password au dus la dezactivarea modelului local de securitate, virtualizare și sandboxing, printre alte funcții.

Aceste probleme sunt doar sfaturi ale aisbergului

Cu fiecare zi, hackerii găsesc modalități mai inteligente de a ataca, iar site-urile de phishing sunt din ce în ce mai bune pentru a fi nedetectabile. Am văzut că mai mulți manageri de parole au funcția de completare automată activată. Conform Wired, popularea formularului de autentificare pe o pagină web cu datele de acreditare salvate este cea mai mare vulnerabilitate de securitate. Conform Centrului pentru Politica Tehnologiei Informației de la Princeton, hackerii care exploatează aceste vulnerabilități de lungă durată în extensiile browser-ului web pe managerii de parole sunt doar începutul.

Scripturile avansate ale hackerilor pot urmări această caracteristică de completare automată și vă pot fura datele de autentificare. În timp ce numerele arată că astfel de atacuri s-au întâmplat pe doar o mie de site-uri până acum, putem fi siguri că acestea se pregătesc doar. Când detectați o încălcare de securitate, puteți modifica parola. Cu toate acestea, cu aceste vulnerabilități, detaliile utilizatorului dvs. vor fi furate fără știrea dvs. Managerii de parole nu vă vor putea salva odată ce se întâmplă acest lucru.

Protejarea parolelor

Deci, site-urile web nu vă notifică dacă au fost hacked? Dacă această întrebare vă stă în minte, trebuie să știți că au existat multe cazuri în care site-urile web nu au făcut nimic pentru a-și menține utilizatorii informați. Chiar și când marile companii precum Yahoo! și Uber a avut o încălcare a datelor, utilizatorii nu au fost anunțați. Prin urmare, chiar dacă aveți încredere într-un administrator securizat de parole, înțelegeți că datele dvs. nu pot fi în siguranță de site-uri web sau companii care nu au securitate adecvată pe site-urile lor.

Opinia oamenilor cu privire la managerii de parole

Există multe persoane care nu sunt de acord că administratorii de parole sunt sigure. De exemplu, să vedem părerea lui Dave, care este un programator la o firmă de software, consideră că „Folosirea unui manager local de parole este mai bună, deoarece un serviciu bazat pe cloud poate fi hacked cu ușurință. De asemenea, are sens să utilizați un client de administrare a parolei dacă aveți nevoie pentru a salva sute de credențiale de autentificare, așa cum fac eu, în scopuri de afaceri. “

Totuși, acesta nu este un mod sigur, potrivit lui Matt, care este contabil. El spune că îi place să depindă de propria sa memorie, în loc să aibă încredere într-un dispozitiv pentru a-și salva parolele valoroase. Potrivit acestuia, toate dispozitivele sunt vulnerabile, iar datele ar putea fi furate de către cineva care are acces fizic la dispozitivele tale.

O viziune similară este exprimată de Rosie, o studentă, care crede că „am un obicei de a-mi salva parolele pe o foaie de lucru protejată de pe MS Excel. Folosesc o parolă de peste 20 de caractere, pe care sunt sigur că este destul de greu de spart. Nu am încredere în spațiul de stocare a dispozitivului local sau în cloud mai mult decât în ​​propria mea memorie pentru a-mi asigura cele mai sensibile informații. ”  

Dacă ar trebui să utilizați un Manager de parole?

Acum că știți despre toate vulnerabilitățile posibile ale securității managerilor de parole, ar trebui să încetați să utilizați una? Cert este că, dacă aveți mai multe număr de conturi, este mai bine să folosiți unul, deoarece primiți un strat suplimentar de securitate. Este mult mai bine decât să nu ai deloc; a nu le salva prezintă riscuri mult mai mari decât a avea unul. Dar asigurați-vă că utilizați un manager securizat de parole și că acesta își actualizează frecvent securitatea împotriva atacurilor de forță brută.   

Oricum, nu folosiți niciodată extensii de browser sau aplicații de browser încorporate pentru administrarea parolelor, precum cea pe care o obțineți cu Chrome. În loc de asta, utilizați orice opțiune bazată pe desktop deoarece oferă cea mai mare siguranță și randament al funcției de completare automată. Ca copie de rezervă, puteți salva, de asemenea, parolele pe un dispozitiv sau fișier criptat.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map