Менеджеры паролей имеют недостатки безопасности, но вы все равно должны использовать один отчет

Новое исследование выявило недостатки безопасности в пяти самых популярных менеджерах паролей.

Теперь несколько противоречивых советов: я все еще думаю, что вы должны использовать менеджер паролей. Так же поступают этические хакеры с независимыми оценщиками безопасности, которые пришли ко мне с новостями о недостатках. и других профессионалов в области безопасности, с которыми я говорил об исследовании, опубликованном во вторник. Вы не перестанете пользоваться ремнем безопасности, потому что он не сможет защитить вас от любой автомобильной аварии. То же самое относится и к менеджерам паролей.

Но исследование, которое обнаруживает, что пользователи менеджера паролей уязвимы для целевых атак вредоносных программ, проливает свет на способы укрепления нашей защиты. И это говорит о большей правде, которая теряется в заголовках о нарушениях и ошибках: безопасность в Интернете не сводится к тому, чтобы быть взломанным, она заключается в том, чтобы не быть самым висящим фруктом.

Менеджеры паролей. это программы, которые хранят все ваши данные для входа в систему в онлайн-сейфе. Они являются критически важными инструментами для обеспечения безопасности, потому что самая раздражающая вещь № 1 в Интернете. пароли. заставляет людей совершать ошибку безопасности № 1. повторное использование паролей. Хакеры знают, что мы делаем это, поэтому они берут пароли с одного взломанного сайта, а затем пробуют их на множестве других. Использование программы для отслеживания всех ваших уникальных паролей требует некоторой корректировки, но они становятся проще и могут ускорить вход в систему.

Вопрос, который часто посещает эти программы: как безопасно хранить все ваши пароли в одной корзине? Если кто-то украдет это, вы прокляты.

Для подотчетности важны такие аудиты, как новая, проведенная ISE. Он обнаружил, что приложения Windows 10 для 1Password, Dashlane, KeePass, LastPass и RoboForm оставили некоторые пароли открытыми в памяти компьютера, когда приложения находились в «заблокированном» режиме. Для хакера, имеющего доступ к ПК, пароли, которые должны были быть скрыты, были не более безопасны, чем текстовый файл на рабочем столе вашего компьютера. (Исследователи изучали только приложения для Windows, но говорят, что это также может повлиять на Apple Mac и мобильные операционные системы.)

1Password, LastPass и Roboform даже раскрыли мастер-пароли, используемые для разблокировки всех других ваших паролей. «Кнопка« заблокировать »на менеджерах паролей сломана. некоторые более серьезные, чем другие»,. сказал ведущий исследователь Адриан Беднарек.

Читайте так же
Как Разблокировать Телефон Иксперия Если Забыл Пар... Как разблокировать Sony пароль, если его забыл (Xperia) Мы можем назвать множество причин для блокировки доступа к телефону Sony. Одна из основных причин – забыли пароль, который вы создали. Хотя маловероятно, чтобы кто-то не забывал свой пароль, это случается довольно часто среди пользователей. Невозможность обойти блокировку экрана раздражает, та...
Как Разблокировать Телефон Асус Если Забыл Пароль... Это, на данный момент времени защита графическим паролем является одной из самых надежных, но во время работы с ней нередко появляется вопрос, связанный с той целью, как разблокировать телефон, если запамятовал графический пароль. Существует, что юзеры часто просто запамятывают, что они вводили ранее. В вебе найдете много альтернатив по решению это...
Iforgot Apple Com Сброс Пароля На Телефоне... Восстановление пароля Apple Id в сервисе iForgot В основной части современных интернет-сервисов употребляются бухгалтерской системы аккаунтов, дозволяющие юзерам хранить свои данные в надежности. Не являются исключением тому и современные девайсы производства всемирно известной компании Apple, которые также имеют свою пасмурную систему. Мы говорим ...

Компании получили широкий спектр ответов. LastPass и RoboForm сказали мне, что будут выпускать обновления на этой неделе. Dashlane сказал, что он задокументировал проблему в течение некоторого времени и работал над исправлениями, но он имеет более приоритетные проблемы безопасности. KeePass и 1Password проигнорировали это как известное ограничение для Windows и принятый риск.

Кейси Эллис, основатель Bugcrowd, сайта для исследователей, чтобы сообщать об уязвимостях, сказал мне, что компании должны взвесить риск каждой обнаруженной ошибки и выяснить, что расставить приоритеты. «У компаний, работающих с паролями, одни из самых высоких стандартов безопасности, и люди должны иметь возможность хорошо спать по ночам, зная, что эти компании серьезно относятся к проблемам»,. сказал он. «Уязвимости не таинственны. они являются результатом того, что люди не идеальны. и находить их. это хорошо».

Почему это не вопрос «горящие штаны»? Потому что на данный момент мы впереди угрозы. Нет никаких доказательств того, что хакеры нацелены на компьютеры отдельных пользователей менеджера паролей. Вопрос в том, как долго это продлится?

Да, есть риск хранить все ваши пароли в одном месте с менеджером паролей. Но полезно смотреть на риск как на хакера: здесь нет «безопасного» и «небезопасного». Там "безопаснее чем" или "лучше чем". Для обеспечения 100-процентной безопасности потребуется отключиться от Интернета и перейти в неизвестный бункер.

Предполагая, что бункер не подходит для вас, вы можете выбрать: повторно использовать пароли или доверять менеджеру паролей.

Последнее, конечно, не было бы безопаснее, если бы компании, управляющие паролями, обнажали миллионы наших паролей одновременно через взломы своих серверов. Компании шифруют наши секреты и не хранят наши главные пароли, используемые для разблокировки шифрования. Если их серверы взломаны, данные будут бесполезными без мастер-пароля, который знает только каждый отдельный пользователь. (Так что выбирайте уникальный мастер-пароль, никогда не делитесь им ни с кем, и определенно не забывайте его.)

Обнаруженная ISE ошибка создает другой вид риска: пароли, размещаемые в памяти компьютеров отдельных пользователей. Любое разоблачение «ставит под угрозу секретные записи пользователей без необходимости», пишет Беднарек в своем отчете. Но это открытие далеко не соответствует нашему худшему сценарию. Чтобы заглянуть в память вашего ПК, хакеру, скорее всего, придется либо сидеть за вашим компьютером, либо обманом заставить вас установить вредоносную программу, которая контролирует ваш компьютер.

Хакеры обычно предпочитают массовые атаки вместо того, чтобы преследовать отдельных лиц, если только это не чрезвычайно ценный человек. Для массовых атак гораздо ниже висящий фрукт. например, все эти люди все еще используют пароли.

Беспокойство за Беднарека: поскольку все больше людей используют менеджеры паролей, производители вредоносных программ могут начать ориентировать свои ПК на кражу паролей. Умноженная на миллионы пользователей менеджера паролей, низкий риск для индивидуума может превратить в большое количество открытых паролей. Он говорит, что его цель. «установить разумный минимальный базовый уровень, которому должны соответствовать все менеджеры паролей».

Компании заявили, что вредоносное ПО. это не просто риск для пользователей менеджера паролей. Хакер, имеющий доступ к вашему компьютеру, может также использовать код, такой как регистратор ключей, который сводит на нет всю вашу активность. в этот момент использование диспетчера паролей не является вашей единственной проблемой.

Читайте так же
Лучшие менеджеры паролей на 2018 год... Мэтт Эллиот Добро пожаловать в каталог менеджеров паролей CNET 2018. Это наш универсальный дом для обзора лучших менеджеров паролей, которые можно использовать для приведения в порядок хаоса всех этих учетных записей и паролей. И ... будем честными друг с другом. "хаос" является точным описанием. Использование идентификаторов пользовате...
Как Сбросить Пароль На Айпаде Если Забыл... Восстанавливаем пароль на iPad К сожалению, память человека несовершенна, и к тому же достаточно мало изучена наукой. Потому человек порой забывает даже достаточно простые вещи. Ситуация, в которой пользователь забыл пароль на iPad, относится как раз относится к таким, так как сам пароль представляет из себя цифровой код, который при постоянном ис...
Как Сбросить Пароль На Айфоне Без Компьютера... Как на "Айфоне" сбросить все настройки без пароля? Многие люди пользуются смартфонами под названием "Айфон". Эта продукция Apple завоевала сердца абонентов. Многофункциональный смартфон радует своей работой и возможностями. Иногда приходится задумываться над тем, как на "Айфоне" сбросить все настройки. Что для этого по...

Компании и исследователи также не согласны с тем, как много они могут сделать с проблемой утечки памяти без фундаментальных изменений в операционных системах. Генеральный директор Dashlane Эммануэль Шалит сказал, что атаки на локальную память все еще остаются гипотетической проблемой. «Для нас более важно работать над усилением еще более важных компонентов нашей серверной инфраструктуры или криптографии, потому что это оказывает более существенное влияние на безопасность наших пользователей»,. сказал он.

Обе стороны согласны в одном: ваши личные устройства являются слабым звеном. Менеджеру паролей или любому программному обеспечению намного сложнее защитить ваши ценные данные, если компьютер, на котором вы работаете, скомпрометирован.

Так что не стоит взламывать себя

— Своевременное обновление программного обеспечения: новые версии содержат очень важные исправления безопасности.

— Проверка вашего компьютера на наличие вредоносных программ. Я рекомендую Malwarebytes для Windows и MacOS.

— Будьте очень осторожны с установкой программного обеспечения, которое поставляется не из Microsoft, Apple и магазинов приложений, управляемых Google. Скажи нет расширениям веб-браузера и всплывающим сообщениям.

— Не хранить чрезвычайно ценные секреты, такие как секретные ключи биткойнов, в менеджерах паролей.

Другой урок из нового исследования заключается в том, как менеджеры паролей справились с проблемой. «Они все не созданы равными»,. сказал Беднарек. Dashlane и KeePass сделали все возможное для защиты мастер-паролей в памяти компьютера. Dashlane остается моим лучшим менеджером паролей для потребителей, хотя он и самый дорогой.

Я также узнал, насколько серьезно они отреагировали на ISE, когда Беднарек связался с ними, и мне, когда я продолжил. KeePass отклонил это как старые новости, и RoboForm мало что мог сказать. Дашлан позвонил мне по телефону со своим генеральным директором. 1 Главный Защитник Пароля против Темных Искусств прислал мне длинные письма. LastPass заставил меня поговорить с его высшим техническим руководителем. но он также запретил Беднареку Bugcrowd, сайт для исследователей, чтобы сообщать о недостатках, потому что он раскрыл мне ошибку.

Читайте так же
Как Сбросить Пароль На Айфоне Без Компьютера... Как на "Айфоне" сбросить все настройки без пароля? Многие люди пользуются смартфонами под названием "Айфон". Эта продукция Apple завоевала сердца абонентов. Многофункциональный смартфон радует своей работой и возможностями. Иногда приходится задумываться над тем, как на "Айфоне" сбросить все настройки. Что для этого по...
Как Разблокировать Телефон Если Забыл Пароль Ксиао... Что делать если запамятовал пароль на Xiaomi Современный телефон обладает огромным количеством защитных частей: символьный, графический пароль, цифровой код или детектор отпечатка пальцев (в определенных моделях). Данная статья будет полезна каждому, если юзер Xiaomi запамятовал пароль или отсутствует возможность его введения. Главные методы разб...
Телефон Или Email Пароль Войти Забыли Пароль... Все мы пользуемся стандартным набором инструментов в интернет сети: соц сетями, разными мессенджерами для неформального общения и почтой для корреспонденции в более деловом формате. Правда, обычно, в сетях проводят чем просто времени, чем в почтовом ящике (беспристрастно исходя из тех обстоятельств, что инфы там множество). И так то уж сложилось, ч...