12.07.2014 | 00:20

Adam Haertle

7 komentarzy

Wiele błędów w menedżerach haseł

Korzystanie z programów wspomagających zarządzanie hasłami należy do kanonu porad bezpieczeństwa. Programy te zapamiętują za nas skomplikowane hasła, różne dla każdego serwisu, czyli coś, czego większość użytkowników nie jest w stanie zapamiętać samodzielnie. Niestety niektóre z tych programów posiadają błędy, które narażają ich użytkowników na spore ryzyko.

Naukowcy przebadali bardzo dokładnie te menedżery haseł, które działają jako strony internetowe, wtyczki czy skrypty JS w formie zakładek. Spośród pięciu rozwiązań dostępnych na rynku (LastPass, RoboForm, My1login, PasswordBox i NeedMyPassword) żaden nie oparł się wszystkim atakom, a niektóre błędy były dość poważne (ujawnienie hasła użytkownika liczy się jako poważne). Większość producentów już błędy załatała, ale nadal warto poznać, na jakie ryzyko wystawieni byli ich użytkownicy. Polecamy lekturę całości raportu, a szczególnie rozdziału 4.

Zestawienie odkrytych podatności

Zestawienie odkrytych podatności

Pod wpływem tego raportu nie rekomendujemy używania menedżerów haseł w trybie online. Menedżery „tradycyjne”, oparte na aplikacji z danymi przechowywanymi lokalnie, oferują może mniej funkcjonalności (np. nie ma możliwości udostępnienia hasła komuś innemu), ale dają atakującemu dużo mniejsze pole do popisu.

Powrót

Komentarze

  • 2014.07.12 09:13 Hopp

    LastPass już na szybko mam odinstalowywać?

    Odpowiedz
  • 2014.07.12 09:50 q

    Sam pomysł, żeby trzymać hasła na serwerze „kogoś innego” jest słaby. Nieważne jakie bajki o zabezpieczeniach są napisane na ich stronach http://www...

    Odpowiedz
  • 2014.07.12 16:25 Oskar

    Jaki jest sens korzystania z takich stron jak hasła zapamiętać może sama przeglądarka a przenoszenie zapamiętanych haseł zapewnia synchronizacja?

    Odpowiedz
    • 2014.07.12 16:46 wilk

      Taki, że większość osób nie korzysta z master password w przeglądarce (lub ma to ustawione na „12345”, a niektóre wcale nie stosują tego mechanizmu), zaś malware jako pierwszy cel bierze pliki z hasłami z przeglądarek. Oczywiście to tylko przy założeniu, że master password faktycznie szyfruje dane w pliku. Poza tym synchronizacja haseł w chmurze? Wolne żarciki.

      Odpowiedz
      • 2014.07.12 21:00 pm7

        Zobacz sobie jak jest zrealizowana synchronizacja w Firefoksie :)

        Odpowiedz
  • 2014.07.14 20:38 bre

    Pieniaczom zalecam przeczytać jak działa synchronizacja LastPass w chmurze zanim zaczną wyrażać swoje zdanie o tym.

    Odpowiedz
  • 2014.07.21 21:32 Krzysztof

    Mam pytanie do was: Jakie programy polecacie do Menedżera haseł+wtyczki do Firefox’a?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Wiele błędów w menedżerach haseł

Komentarze