Менеджеры паролей имеют недостатки безопасности, но вы все равно должны использовать один отчет

Новое исследование выявило недостатки безопасности в пяти самых популярных менеджерах паролей.

Теперь несколько противоречивых советов: я все еще думаю, что вы должны использовать менеджер паролей. Так же поступают этические хакеры с независимыми оценщиками безопасности, которые пришли ко мне с новостями о недостатках. и других профессионалов в области безопасности, с которыми я говорил об исследовании, опубликованном во вторник. Вы не перестанете пользоваться ремнем безопасности, потому что он не сможет защитить вас от любой автомобильной аварии. То же самое относится и к менеджерам паролей.

Но исследование, которое обнаруживает, что пользователи менеджера паролей уязвимы для целевых атак вредоносных программ, проливает свет на способы укрепления нашей защиты. И это говорит о большей правде, которая теряется в заголовках о нарушениях и ошибках: безопасность в Интернете не сводится к тому, чтобы быть взломанным, она заключается в том, чтобы не быть самым висящим фруктом.

Менеджеры паролей. это программы, которые хранят все ваши данные для входа в систему в онлайн-сейфе. Они являются критически важными инструментами для обеспечения безопасности, потому что самая раздражающая вещь № 1 в Интернете. пароли. заставляет людей совершать ошибку безопасности № 1. повторное использование паролей. Хакеры знают, что мы делаем это, поэтому они берут пароли с одного взломанного сайта, а затем пробуют их на множестве других. Использование программы для отслеживания всех ваших уникальных паролей требует некоторой корректировки, но они становятся проще и могут ускорить вход в систему.

Вопрос, который часто посещает эти программы: как безопасно хранить все ваши пароли в одной корзине? Если кто-то украдет это, вы прокляты.

Для подотчетности важны такие аудиты, как новая, проведенная ISE. Он обнаружил, что приложения Windows 10 для 1Password, Dashlane, KeePass, LastPass и RoboForm оставили некоторые пароли открытыми в памяти компьютера, когда приложения находились в «заблокированном» режиме. Для хакера, имеющего доступ к ПК, пароли, которые должны были быть скрыты, были не более безопасны, чем текстовый файл на рабочем столе вашего компьютера. (Исследователи изучали только приложения для Windows, но говорят, что это также может повлиять на Apple Mac и мобильные операционные системы.)

1Password, LastPass и Roboform даже раскрыли мастер-пароли, используемые для разблокировки всех других ваших паролей. «Кнопка« заблокировать »на менеджерах паролей сломана. некоторые более серьезные, чем другие»,. сказал ведущий исследователь Адриан Беднарек.

Читайте так же

Сколько Раз Вводить Пароль На Айфоне... Понимаете тех людей, которые берут в руки ваш iPhone и начинают пробовать подобрать пароль. Попытка за попыткой и друга останавливает iOS, которая гласит об выключении устройства на 1 минутку. После чего человек обычно дает телефон и всё отлично завершается. Однако наверное вас всегда истязал вопрос, и же будет, если почти всегда ввести не тот паро...
Как Разблокировать Телефон Мтс Если Забыл Пароль... Как разблокировать андроид, если забыл пароль? 10 способов разблокировать графический ключ Android Что делать, если забыл пароль от телефона? Как разблокировать андроид? Не стоит волноваться, существует несколько способов возобновить доступ к своему мобильному устройству. В этой статье можно найти основные варианты того, сбросить блокировку, как са...
Google повышает безопасность пароля с расширением ... Новое расширение может обнаружить, если ваши учетные данные были скомпрометированы В целях дальнейшей защиты данных своих пользователей Google запустил новое расширение Chrome под названием Password Checkup для защиты всех учетных записей пользователя от несанкционированного доступа к данным. Одновременно с запуском поисковый гигант также выпус...

Компании получили широкий спектр ответов. LastPass и RoboForm сказали мне, что будут выпускать обновления на этой неделе. Dashlane сказал, что он задокументировал проблему в течение некоторого времени и работал над исправлениями, но он имеет более приоритетные проблемы безопасности. KeePass и 1Password проигнорировали это как известное ограничение для Windows и принятый риск.

Кейси Эллис, основатель Bugcrowd, сайта для исследователей, чтобы сообщать об уязвимостях, сказал мне, что компании должны взвесить риск каждой обнаруженной ошибки и выяснить, что расставить приоритеты. «У компаний, работающих с паролями, одни из самых высоких стандартов безопасности, и люди должны иметь возможность хорошо спать по ночам, зная, что эти компании серьезно относятся к проблемам»,. сказал он. «Уязвимости не таинственны. они являются результатом того, что люди не идеальны. и находить их. это хорошо».

Почему это не вопрос «горящие штаны»? Потому что на данный момент мы впереди угрозы. Нет никаких доказательств того, что хакеры нацелены на компьютеры отдельных пользователей менеджера паролей. Вопрос в том, как долго это продлится?

Да, есть риск хранить все ваши пароли в одном месте с менеджером паролей. Но полезно смотреть на риск как на хакера: здесь нет «безопасного» и «небезопасного». Там "безопаснее чем" или "лучше чем". Для обеспечения 100-процентной безопасности потребуется отключиться от Интернета и перейти в неизвестный бункер.

Предполагая, что бункер не подходит для вас, вы можете выбрать: повторно использовать пароли или доверять менеджеру паролей.

Последнее, конечно, не было бы безопаснее, если бы компании, управляющие паролями, обнажали миллионы наших паролей одновременно через взломы своих серверов. Компании шифруют наши секреты и не хранят наши главные пароли, используемые для разблокировки шифрования. Если их серверы взломаны, данные будут бесполезными без мастер-пароля, который знает только каждый отдельный пользователь. (Так что выбирайте уникальный мастер-пароль, никогда не делитесь им ни с кем, и определенно не забывайте его.)

Обнаруженная ISE ошибка создает другой вид риска: пароли, размещаемые в памяти компьютеров отдельных пользователей. Любое разоблачение «ставит под угрозу секретные записи пользователей без необходимости», пишет Беднарек в своем отчете. Но это открытие далеко не соответствует нашему худшему сценарию. Чтобы заглянуть в память вашего ПК, хакеру, скорее всего, придется либо сидеть за вашим компьютером, либо обманом заставить вас установить вредоносную программу, которая контролирует ваш компьютер.

Хакеры обычно предпочитают массовые атаки вместо того, чтобы преследовать отдельных лиц, если только это не чрезвычайно ценный человек. Для массовых атак гораздо ниже висящий фрукт. например, все эти люди все еще используют пароли.

Беспокойство за Беднарека: поскольку все больше людей используют менеджеры паролей, производители вредоносных программ могут начать ориентировать свои ПК на кражу паролей. Умноженная на миллионы пользователей менеджера паролей, низкий риск для индивидуума может превратить в большое количество открытых паролей. Он говорит, что его цель. «установить разумный минимальный базовый уровень, которому должны соответствовать все менеджеры паролей».

Компании заявили, что вредоносное ПО. это не просто риск для пользователей менеджера паролей. Хакер, имеющий доступ к вашему компьютеру, может также использовать код, такой как регистратор ключей, который сводит на нет всю вашу активность. в этот момент использование диспетчера паролей не является вашей единственной проблемой.

Читайте так же

Как Сбросить Пароль На Айпаде Если Забыл... Восстанавливаем пароль на iPad К сожалению, память человека несовершенна, и к тому же достаточно мало изучена наукой. Потому человек порой забывает даже достаточно простые вещи. Ситуация, в которой пользователь забыл пароль на iPad, относится как раз относится к таким, так как сам пароль представляет из себя цифровой код, который при постоянном ис...
Сколько Раз Вводить Пароль На Айфоне... Понимаете тех людей, которые берут в руки ваш iPhone и начинают пробовать подобрать пароль. Попытка за попыткой и друга останавливает iOS, которая гласит об выключении устройства на 1 минутку. После чего человек обычно дает телефон и всё отлично завершается. Однако наверное вас всегда истязал вопрос, и же будет, если почти всегда ввести не тот паро...
Как Разблокировать Телефон Если Забыл Пароль Ксиао... Что делать если запамятовал пароль на Xiaomi Современный телефон обладает огромным количеством защитных частей: символьный, графический пароль, цифровой код или детектор отпечатка пальцев (в определенных моделях). Данная статья будет полезна каждому, если юзер Xiaomi запамятовал пароль или отсутствует возможность его введения. Главные методы разб...

Компании и исследователи также не согласны с тем, как много они могут сделать с проблемой утечки памяти без фундаментальных изменений в операционных системах. Генеральный директор Dashlane Эммануэль Шалит сказал, что атаки на локальную память все еще остаются гипотетической проблемой. «Для нас более важно работать над усилением еще более важных компонентов нашей серверной инфраструктуры или криптографии, потому что это оказывает более существенное влияние на безопасность наших пользователей»,. сказал он.

Обе стороны согласны в одном: ваши личные устройства являются слабым звеном. Менеджеру паролей или любому программному обеспечению намного сложнее защитить ваши ценные данные, если компьютер, на котором вы работаете, скомпрометирован.

Так что не стоит взламывать себя

— Своевременное обновление программного обеспечения: новые версии содержат очень важные исправления безопасности.

— Проверка вашего компьютера на наличие вредоносных программ. Я рекомендую Malwarebytes для Windows и MacOS.

— Будьте очень осторожны с установкой программного обеспечения, которое поставляется не из Microsoft, Apple и магазинов приложений, управляемых Google. Скажи нет расширениям веб-браузера и всплывающим сообщениям.

— Не хранить чрезвычайно ценные секреты, такие как секретные ключи биткойнов, в менеджерах паролей.

Другой урок из нового исследования заключается в том, как менеджеры паролей справились с проблемой. «Они все не созданы равными»,. сказал Беднарек. Dashlane и KeePass сделали все возможное для защиты мастер-паролей в памяти компьютера. Dashlane остается моим лучшим менеджером паролей для потребителей, хотя он и самый дорогой.

Я также узнал, насколько серьезно они отреагировали на ISE, когда Беднарек связался с ними, и мне, когда я продолжил. KeePass отклонил это как старые новости, и RoboForm мало что мог сказать. Дашлан позвонил мне по телефону со своим генеральным директором. 1 Главный Защитник Пароля против Темных Искусств прислал мне длинные письма. LastPass заставил меня поговорить с его высшим техническим руководителем. но он также запретил Беднареку Bugcrowd, сайт для исследователей, чтобы сообщать о недостатках, потому что он раскрыл мне ошибку.

Читайте так же

Как перехватить кадры с камеры безопасности с помо... В предыдущем руководстве я продемонстрировал, как извлекать изображения с камеры безопасности через Wi-Fi с помощью Wireshark, если вы знаете пароль. Если вы не знаете пароль, вы всегда можете получить физическую информацию с помощью Hak5 Plunder Bug. С помощью этого небольшого крана локальной сети мы можем перехватывать трафик, такой как изображен...
Как Восстановить Айфон 5 Если Забыл Пароль... CandyGeek.ru Немного из IT и интернета Главная / Apple / Забыл пароль на iPhone: инструкция по решению проблемы Забыл пароль на iPhone: инструкция по решению проблемы Многие пользователи устройств торговой марки Apple предпочитают обеспечить своему гаджету и содержащейся в нем информации дополнительную защиту, устанавливая на экран блокировк...
Как Разблокировать Телефон Redmi Если Забыл Пароль... Что делать если запамятовал пароль на Xiaomi Современный телефон обладает огромным количеством защитных частей: символьный, графический пароль, цифровой код либо детектор отпечатка пальцев (в определенных моделях). Данная статья будет полезна каждому, если юзер Xiaomi запамятовал пароль либо отсутствует возможность его введения. Главные методы ра...