4 Причины Менеджеры паролей не достаточно, чтобы сохранить ваши пароли в безопасности

Если вы кропотливо прошли через настройку менеджера паролей

вы можете подумать, что вы защищены от посторонних глаз хакеров и киберпреступников.

Ты не прав.

Да, менеджеры паролей являются ценным инструментом в постоянной борьбе за безопасность, но они не безопасны и не защищены от идиотов, а также не обеспечивают достаточной защиты сами по себе.

Вот четыре причины, почему менеджеров паролей недостаточно, чтобы самим хранить ваши пароли в безопасности.

1. Менеджеры паролей — это Святой Грааль для хакеров

Менеджеры паролей очень безопасны

? Да. Используют ли они строгие системы шифрования и криптографии?

? Да. Можете ли вы категорически заявить, что ни один хакер не сможет взломать систему и получить доступ к миллионам паролей пользователей внутри нее?

Нет.

Подумайте об этом: службы менеджера паролей — чрезвычайно привлекательная перспектива для хакеров. Если бы они могли прорваться через внешние стены хранилищ паролей, у них был бы доступ к неисчислимому количеству сокровищ. Они будут продолжать пытаться взломать. Это неизбежно.

Давайте использовать LastPass в качестве примера. Киберпреступники дважды атаковали серверы

в последние пять лет. Каждый раз компания была непреклонна, что ее пользователям нужно было только изменить главный пароль для своих учетных записей, и хранилища паролей все еще были в безопасности.

Но взломы доказывают, что дыры в безопасности существуют. Это только вопрос времени, когда уполномоченное лицо получит доступ? Наверное.

2. Эксперты говорят, что у менеджеров паролей есть серьезные недостатки

В 2014 году исследователи в области безопасности обнаружили, что у LastPass, RoboForm, My1login, PasswordBox и NeedMyPassword было несколько опасных недостатков безопасности.

Наиболее тревожный из этих недостатков позволил хакерам украсть незашифрованные пароли непосредственно у пользователей LastPass с помощью букмарклета, при этом ни пользователь, ни компания не знали, что что-то не так.

4 причины, по которым менеджерам паролей недостаточно, чтобы сохранить ваши пароли в безопасности lastpass hack 412x500

В LastPass также был недостаток, заключающийся в том, что вредоносный код на веб-сайте мог украсть все зашифрованное хранилище паролей пользователя, если хакер знал адрес электронной почты пользователя.

RoboForm, My1login, PasswordBox и NeedMyPassword имели одинаково серьезные дефекты, включая лазейку, которая позволяла злоумышленникам украсть полное имя пользователя, имя пользователя и любой URL-адрес, по которому был введен пароль.

К счастью, поставщики услуг исправили эти ошибки, но было бы глупо полагать, что они теперь совершенны. Почти наверняка есть еще неоткрытые ошибки, ожидающие, пока кто-нибудь их найдет.

Широкое распространение небезопасных менеджеров паролей может усугубить ситуацию: добавить новую непроверенную единую точку отказа в экосистему веб-аутентификации.

— Живей Ли, Уоррен Хе, Девдатта Акхаве и Доун Сонг, авторы нового менеджера паролей Emperor: анализ безопасности веб-менеджеров паролей

В конечном счете, вы доверяете менеджеру паролей некоторые из ваших самых важных деталей. Складывать все яйца в одну корзину неразумно.

3. Облачные базы данных против локальных баз данных

Вы заметили, что все пять услуг, о которых я говорил выше, основаны на веб-технологиях Если вы используете локальный менеджер паролей (например, KeePass или 1Password), не впадайте в ложное чувство безопасности; В исследовании рассматривались только веб-варианты.

Есть аргумент, чтобы предположить, что локальные менеджеры по своей природе более безопасны, чем облачные менеджеры. Хакеру труднее получить доступ и сложнее украсть базу данных.

Но они не дураки. Мы все знаем, как насчет угроз безопасности, с которыми сталкиваются пользователи компьютеров

: клавиатурные шпионы, хакеры, скрывающиеся в общественных сетях Wi-Fi, бесконечные вредоносные программы и многое другое. Если вам не повезло оказаться под атакой, локально сохраненная база паролей может оказаться одной из первых вещей, которые хакеры украдут.

А что если ваша база данных будет сохранена на вашем мобильном устройстве? Если вы потеряете свое устройство, оно может легко попасть в чужие руки. Да, он зашифрован, но если вы настроили ваше приложение так, чтобы для доступа к базе данных требовался только мастер-пароль или отпечаток пальца, шифрование не стоило бы много.

4. Ваши настройки могут сделать вас уязвимым

Я только кратко коснулся этого. Менеджеры паролей имеют множество настроек, которые вы можете настроить; некоторые из них делают сервис более безопасным

, Однако многие из них предназначены для удобства — включение их сделает вас более уязвимым.

Например, LastPass не будет автоматически запрашивать у вас мастер-пароль при попытке доступа к учетным данным человека в вашем хранилище (Настройки> Расширенные настройки> Повторный запрос мастер-пароля).

4 причины, по которым менеджерам паролей недостаточно, чтобы сохранить ваши пароли в безопасном состоянии. Lastpass reprompt 670x376

Кроме того, большинство мобильных приложений служб позволяют отключить проверку подлинности по отпечатку пальца и / или паролю на срок до 24 часов после каждого успешного входа в систему. Не делай этого. Вы бы оставили свой онлайн-банкинг в сети на 24 часа, чтобы сэкономить несколько кликов?

И, конечно же, будьте осторожны, с кем вы делитесь паролями, используя встроенную службу обмена службами — возможно, из-за их настроек ваши учетные записи останутся открытыми? Убедитесь, что ваши друзья и семья знают о последствиях для безопасности.

Не используйте ярлыки. Вместо этого потратьте время на работу с расширенными настройками своих служб и сделайте их максимально надежными.

Менеджеры паролей: использовать или избегать?

Являются ли менеджеры паролей лучше, чем хранить все ваши данные на листе Excel или использовать одинаковые учетные данные для каждого сайта? Несомненно. Но являются ли они так безопасен, как вы могли бы верить, спорно.

Большинство людей используют услуги для удобства, а также для безопасности. Но тем самым вы потенциально подвергаете себя риску. Я не собираюсь говорить вам прекратить их использование, но действуйте с осторожностью. Например, возможно, вам следует разделить свой пароль между несколькими менеджерами

?

И помните, суть в том, что нет замены вашему мозгу. Если вы сможете создать надежный код, который вы слегка подстраиваете для каждого отдельного входа, у вас будет больше безопасности, чем может предложить любой менеджер паролей.

Вы доверяете менеджерам паролей? Дайте нам знать в комментариях ниже.

Ссылка на основную публикацию
Adblock
detector