Wiele błędów w menedżerach haseł
Korzystanie z programów wspomagających zarządzanie hasłami należy do kanonu porad bezpieczeństwa. Programy te zapamiętują za nas skomplikowane hasła, różne dla każdego serwisu, czyli coś, czego większość użytkowników nie jest w stanie zapamiętać samodzielnie. Niestety niektóre z tych programów posiadają błędy, które narażają ich użytkowników na spore ryzyko.
Naukowcy przebadali bardzo dokładnie te menedżery haseł, które działają jako strony internetowe, wtyczki czy skrypty JS w formie zakładek. Spośród pięciu rozwiązań dostępnych na rynku (LastPass, RoboForm, My1login, PasswordBox i NeedMyPassword) żaden nie oparł się wszystkim atakom, a niektóre błędy były dość poważne (ujawnienie hasła użytkownika liczy się jako poważne). Większość producentów już błędy załatała, ale nadal warto poznać, na jakie ryzyko wystawieni byli ich użytkownicy. Polecamy lekturę całości raportu, a szczególnie rozdziału 4.
Zestawienie odkrytych podatności
Pod wpływem tego raportu nie rekomendujemy używania menedżerów haseł w trybie online. Menedżery „tradycyjne”, oparte na aplikacji z danymi przechowywanymi lokalnie, oferują może mniej funkcjonalności (np. nie ma możliwości udostępnienia hasła komuś innemu), ale dają atakującemu dużo mniejsze pole do popisu.
Podobne wpisy
- Ciekawy incydent bezpieczeństwa w LastPassie (nie, hasła nie wyciekły)
- Podstawy Bezpieczeństwa: Menedżery haseł – który wybrać i jak go używać
- Kryptografia jest trudna, czyli CVE-2020-0601 aka CurveBall aka ChainOfFools
- Jak pewien Polak mógł latami przejmować ruch milionów komputerów
- Zhakowali Ubera przez lukę w VPN-ie Palo Alto
LastPass już na szybko mam odinstalowywać?
Sam pomysł, żeby trzymać hasła na serwerze „kogoś innego” jest słaby. Nieważne jakie bajki o zabezpieczeniach są napisane na ich stronach http://www...
Jaki jest sens korzystania z takich stron jak hasła zapamiętać może sama przeglądarka a przenoszenie zapamiętanych haseł zapewnia synchronizacja?
Taki, że większość osób nie korzysta z master password w przeglądarce (lub ma to ustawione na „12345”, a niektóre wcale nie stosują tego mechanizmu), zaś malware jako pierwszy cel bierze pliki z hasłami z przeglądarek. Oczywiście to tylko przy założeniu, że master password faktycznie szyfruje dane w pliku. Poza tym synchronizacja haseł w chmurze? Wolne żarciki.
Zobacz sobie jak jest zrealizowana synchronizacja w Firefoksie :)
Pieniaczom zalecam przeczytać jak działa synchronizacja LastPass w chmurze zanim zaczną wyrażać swoje zdanie o tym.
Mam pytanie do was: Jakie programy polecacie do Menedżera haseł+wtyczki do Firefox’a?