Менеджеры паролей имеют недостатки безопасности, но вы все равно должны использовать один отчет

Новое исследование выявило недостатки безопасности в пяти самых популярных менеджерах паролей.

Теперь несколько противоречивых советов: я все еще думаю, что вы должны использовать менеджер паролей. Так же поступают этические хакеры с независимыми оценщиками безопасности, которые пришли ко мне с новостями о недостатках. и других профессионалов в области безопасности, с которыми я говорил об исследовании, опубликованном во вторник. Вы не перестанете пользоваться ремнем безопасности, потому что он не сможет защитить вас от любой автомобильной аварии. То же самое относится и к менеджерам паролей.

Но исследование, которое обнаруживает, что пользователи менеджера паролей уязвимы для целевых атак вредоносных программ, проливает свет на способы укрепления нашей защиты. И это говорит о большей правде, которая теряется в заголовках о нарушениях и ошибках: безопасность в Интернете не сводится к тому, чтобы быть взломанным, она заключается в том, чтобы не быть самым висящим фруктом.

Менеджеры паролей. это программы, которые хранят все ваши данные для входа в систему в онлайн-сейфе. Они являются критически важными инструментами для обеспечения безопасности, потому что самая раздражающая вещь № 1 в Интернете. пароли. заставляет людей совершать ошибку безопасности № 1. повторное использование паролей. Хакеры знают, что мы делаем это, поэтому они берут пароли с одного взломанного сайта, а затем пробуют их на множестве других. Использование программы для отслеживания всех ваших уникальных паролей требует некоторой корректировки, но они становятся проще и могут ускорить вход в систему.

Вопрос, который часто посещает эти программы: как безопасно хранить все ваши пароли в одной корзине? Если кто-то украдет это, вы прокляты.

Для подотчетности важны такие аудиты, как новая, проведенная ISE. Он обнаружил, что приложения Windows 10 для 1Password, Dashlane, KeePass, LastPass и RoboForm оставили некоторые пароли открытыми в памяти компьютера, когда приложения находились в «заблокированном» режиме. Для хакера, имеющего доступ к ПК, пароли, которые должны были быть скрыты, были не более безопасны, чем текстовый файл на рабочем столе вашего компьютера. (Исследователи изучали только приложения для Windows, но говорят, что это также может повлиять на Apple Mac и мобильные операционные системы.)

1Password, LastPass и Roboform даже раскрыли мастер-пароли, используемые для разблокировки всех других ваших паролей. «Кнопка« заблокировать »на менеджерах паролей сломана. некоторые более серьезные, чем другие»,. сказал ведущий исследователь Адриан Беднарек.

Читайте так же
Как Разблокировать Телефон Престижио Если Забыл Па... Как разблокировать андроид, если забыл пароль? 10 способов разблокировать графический ключ Android Что делать, если забыл пароль от телефона? Как разблокировать андроид? Не стоит волноваться, существует несколько способов возобновить доступ к своему мобильному устройству. В этой статье можно найти основные варианты того, сбросить блокировку, как са...
Как Активировать Айфон Если Забыл Пароль... Современные юзеры телефонов нередко устанавливают для них пароль с целью собственной безопасности и недопущения ситуации доступа к личным данным. Но такая благая цель может обернуться неприятностями – код просто забывается. Потому принципиально выяснить методы того, как разблокировать айфон, если запамятовал пароль, чтоб всегда быть он-лайн с друзь...
Поменять Пароль На Роутере Tp Link Wr841n... Как поменять пароль на Wi-Fi роутере Tp-link TL-WR841N? Возникают часто такие ситуации, когда необходимо в срочном порядке поменять пароль на вашем роутере, который обеспечивает возможностью подключения к Wi-Fi. Как действовать в этой ситуации? Разберем на примере одного из устройств – марки Tp-link модели TL-WR841N. При этом происходить будет смен...

Компании получили широкий спектр ответов. LastPass и RoboForm сказали мне, что будут выпускать обновления на этой неделе. Dashlane сказал, что он задокументировал проблему в течение некоторого времени и работал над исправлениями, но он имеет более приоритетные проблемы безопасности. KeePass и 1Password проигнорировали это как известное ограничение для Windows и принятый риск.

Кейси Эллис, основатель Bugcrowd, сайта для исследователей, чтобы сообщать об уязвимостях, сказал мне, что компании должны взвесить риск каждой обнаруженной ошибки и выяснить, что расставить приоритеты. «У компаний, работающих с паролями, одни из самых высоких стандартов безопасности, и люди должны иметь возможность хорошо спать по ночам, зная, что эти компании серьезно относятся к проблемам»,. сказал он. «Уязвимости не таинственны. они являются результатом того, что люди не идеальны. и находить их. это хорошо».

Почему это не вопрос «горящие штаны»? Потому что на данный момент мы впереди угрозы. Нет никаких доказательств того, что хакеры нацелены на компьютеры отдельных пользователей менеджера паролей. Вопрос в том, как долго это продлится?

Да, есть риск хранить все ваши пароли в одном месте с менеджером паролей. Но полезно смотреть на риск как на хакера: здесь нет «безопасного» и «небезопасного». Там "безопаснее чем" или "лучше чем". Для обеспечения 100-процентной безопасности потребуется отключиться от Интернета и перейти в неизвестный бункер.

Предполагая, что бункер не подходит для вас, вы можете выбрать: повторно использовать пароли или доверять менеджеру паролей.

Последнее, конечно, не было бы безопаснее, если бы компании, управляющие паролями, обнажали миллионы наших паролей одновременно через взломы своих серверов. Компании шифруют наши секреты и не хранят наши главные пароли, используемые для разблокировки шифрования. Если их серверы взломаны, данные будут бесполезными без мастер-пароля, который знает только каждый отдельный пользователь. (Так что выбирайте уникальный мастер-пароль, никогда не делитесь им ни с кем, и определенно не забывайте его.)

Обнаруженная ISE ошибка создает другой вид риска: пароли, размещаемые в памяти компьютеров отдельных пользователей. Любое разоблачение «ставит под угрозу секретные записи пользователей без необходимости», пишет Беднарек в своем отчете. Но это открытие далеко не соответствует нашему худшему сценарию. Чтобы заглянуть в память вашего ПК, хакеру, скорее всего, придется либо сидеть за вашим компьютером, либо обманом заставить вас установить вредоносную программу, которая контролирует ваш компьютер.

Хакеры обычно предпочитают массовые атаки вместо того, чтобы преследовать отдельных лиц, если только это не чрезвычайно ценный человек. Для массовых атак гораздо ниже висящий фрукт. например, все эти люди все еще используют пароли.

Беспокойство за Беднарека: поскольку все больше людей используют менеджеры паролей, производители вредоносных программ могут начать ориентировать свои ПК на кражу паролей. Умноженная на миллионы пользователей менеджера паролей, низкий риск для индивидуума может превратить в большое количество открытых паролей. Он говорит, что его цель. «установить разумный минимальный базовый уровень, которому должны соответствовать все менеджеры паролей».

Компании заявили, что вредоносное ПО. это не просто риск для пользователей менеджера паролей. Хакер, имеющий доступ к вашему компьютеру, может также использовать код, такой как регистратор ключей, который сводит на нет всю вашу активность. в этот момент использование диспетчера паролей не является вашей единственной проблемой.

Читайте так же
Как Разблокировать Ноутбук Hp Если Забыл Пароль... Как разблокировать ноутбук, если запамятовал пароль? Обыкновенные методы, аннотация и советы Чтоб защитить свои данные, хранящиеся на ноутбуке, юзеры устанавливают пароли. Увы при появляется такая противная ситуация, как невозможность вспомнить код, позволяющий вход в Операционной системы. Не нужно отчаиваться. Что остается сделать нашему клиенту к...
Как Разблокировать Телефон Если Забыл Пароль Цифро... Как разблокировать android, если запамятовал пароль? 10 методов разблокировать графический ключ Android Что делать, если запамятовал пароль от телефона? Как разблокировать android? Не имеет смысла беспокоиться, существует несколько методов возобновить доступ к собственному мобильному устройству. Далее всегда найдете главные варианты того, скинуть ...
Как Разблокировать Телефон Если Забыл Пароль Цифра... Как разблокировать телефон? Каждый день тысячи человек пользуются средствами сотовой связи, сейчас трудно представить себе жизнь без мобильного телефона. Безусловно, каждый пользователь такой технологии старается обезопасить данные, сохраняемые в телефоне, тем самым устанавливая пароли и коды. Случается так, что по каким то причинам пользователь з...

Компании и исследователи также не согласны с тем, как много они могут сделать с проблемой утечки памяти без фундаментальных изменений в операционных системах. Генеральный директор Dashlane Эммануэль Шалит сказал, что атаки на локальную память все еще остаются гипотетической проблемой. «Для нас более важно работать над усилением еще более важных компонентов нашей серверной инфраструктуры или криптографии, потому что это оказывает более существенное влияние на безопасность наших пользователей»,. сказал он.

Обе стороны согласны в одном: ваши личные устройства являются слабым звеном. Менеджеру паролей или любому программному обеспечению намного сложнее защитить ваши ценные данные, если компьютер, на котором вы работаете, скомпрометирован.

Так что не стоит взламывать себя

— Своевременное обновление программного обеспечения: новые версии содержат очень важные исправления безопасности.

— Проверка вашего компьютера на наличие вредоносных программ. Я рекомендую Malwarebytes для Windows и MacOS.

— Будьте очень осторожны с установкой программного обеспечения, которое поставляется не из Microsoft, Apple и магазинов приложений, управляемых Google. Скажи нет расширениям веб-браузера и всплывающим сообщениям.

— Не хранить чрезвычайно ценные секреты, такие как секретные ключи биткойнов, в менеджерах паролей.

Другой урок из нового исследования заключается в том, как менеджеры паролей справились с проблемой. «Они все не созданы равными»,. сказал Беднарек. Dashlane и KeePass сделали все возможное для защиты мастер-паролей в памяти компьютера. Dashlane остается моим лучшим менеджером паролей для потребителей, хотя он и самый дорогой.

Я также узнал, насколько серьезно они отреагировали на ISE, когда Беднарек связался с ними, и мне, когда я продолжил. KeePass отклонил это как старые новости, и RoboForm мало что мог сказать. Дашлан позвонил мне по телефону со своим генеральным директором. 1 Главный Защитник Пароля против Темных Искусств прислал мне длинные письма. LastPass заставил меня поговорить с его высшим техническим руководителем. но он также запретил Беднареку Bugcrowd, сайт для исследователей, чтобы сообщать о недостатках, потому что он раскрыл мне ошибку.

Читайте так же
Где На Роутере Пароль От Вай Фая... Как на роутере отключить вай-фай: пошаговая инструкция Без технологии вай-фай сложно представить современное кафе, образовательное учреждение или обычный дом. Эти волны настолько сильно вплелись в нашу жизнь, что порой их становится слишком много, тогда и появляется желание сделать сеть неактивной. Ниже речь и пойдет о том, как отключить вай-фай на...
Как Удалить Сохраненный Пароль В Вк Айфон... Как удалить сохраненные пароли на Айфоне и Айпаде? Как поглядеть сохраненные пароли и удалить сохраненные пароли на Айфоне и Айпаде (В вк, и браузере)? Apple занесла некие конфигурации в управлении паролями и учетными записями в новейшей iOS. Одна где – возможность доступа к хранимым учетным записям и паролям, которые сохранены в браузере и в при...
Как Активировать Айфон Если Забыл Пароль... Современные юзеры телефонов нередко устанавливают для них пароль с целью собственной безопасности и недопущения ситуации доступа к личным данным. Но такая благая цель может обернуться неприятностями – код просто забывается. Потому принципиально выяснить методы того, как разблокировать айфон, если запамятовал пароль, чтоб всегда быть он-лайн с друзь...