Používají se správci hesel bezpečně?

Již víte, jak je důležité používat silná hesla a hrozby, kterým čelíte, pokud tomu tak není. Abychom si vynutili silná hesla, mnoho z nás používá správce hesel. Mají udržovat naše data v bezpečí, ale občas může být vše, co je falešný pocit bezpečí. Navíc ne všichni správci hesel nabízejí stejnou úroveň zabezpečení. To by mohlo vést hackery k použití útoků hrubou silou a odcizení vaší identity.

Používají se správci hesel bezpečně?

Používají se správci hesel bezpečně?

Správci hesel a proč jsou používány

Správci hesel jsou aplikace, rozšíření prohlížeče nebo nástroje, které slouží k bezpečnému ukládání všech hesel. Patří k nim četná hesla, která vytvoříte na mnoha webech, jako jsou Amazon, Netflix nebo YouTube, když se zaregistrujete. Podobně jste možná vytvořili silná hesla, která se pro váš e-mail, poskytovatele internetových služeb, telefonní společnost a další těžko pamatují.

Všechna tato hesla můžete uložit do aplikace a zamknout je vytvořením jiného hesla. Pro přístup ke všem svým přihlašovacím údajům v zásadě potřebujete pouze jedno. To je heslo, které máte pro správce hesel. Otevřete aplikaci, vyberte heslo služby, kterou chcete použít, zkopírujte a vložte. Někteří správci hesel nabízejí další zabezpečení s možnostmi, jako je dvoufaktorové ověření. Některé nabízejí snadný přístup pomocí formulářů pro automatické vyplňování, kde automaticky zadávají přihlašovací pole služby nebo webu.

Problémy se správci hesel

I když je pravda, že aplikace pro správu hesel vám poskytují větší pohodlí při přístupu k síti, nemůžete ignorovat hrozby, které představují. Zejména v případě, že používáte rozšíření prohlížeče dostupné v aplikaci pro správu hesel, jsou hrozby obrovské. Při návštěvě webu, který může infikovat vaše zařízení malwarem, jsou vaše data zranitelná vůči řadě útoků, jako je XSS (Cross-Site Scripting) nebo CSRF (Cross-Site Request Forgery).

Příkladem je jedno předchozí bezpečnostní zneužití LastPass, kde zranitelnou webovou stránku pravděpodobně dostalo špionážní skript. Pokud povolíte při návštěvě webu, mohlo by to v prohlížeči zkontrolovat uvedené rozšíření. Na stránce se zobrazí upozornění shodné s oznámením LastPass, které vám oznamuje, že vaše relace vypršela a musíte se znovu přihlásit. Pokud kliknete na zobrazený odkaz, dostanete se na web phishing, který vypadá podobně jako přihlašovací stránka LastPass.

Při přihlášení se škodlivý web zkontroluje pomocí rozhraní LastPass API a potvrdí vaše přihlašovací údaje. Pokud jsou správné, web vás požádá o zadání dvoufaktorového autentizačního tokenu. Po opětovném ověření pomocí rozhraní LastPass API web okamžitě odešle vaše údaje na server hackera. Pokud se však zjistí, že přihlašovací údaje nejsou správné, skript na webu načte chybovou zprávu a požádá vás o opakování pokusu.

Další minulé bezpečnostní problémy systému LastPass předávají hackerům úplný přístup k interním privilegovaným příkazům RPC a provádějí kód. Hacker by také mohl potlačit legitimní zprávy a vytvářet podobné phishingové útoky.

Nejistý internet

Výše uvedený příklad není jediným problémem správců hesel v prohlížeči, které vyšly na světlo. Podle sítě World, Strážce, 1Password a Dashlane také došlo k problémům se zabezpečením.

Jednou z minulých bezpečnostních chyb Keeperu bylo, že rozšíření vložilo důvěryhodné uživatelské rozhraní na nedůvěryhodný web. Toto ponechalo to otevřené útokům takový jako CSRF, XSS, a jiní. Dashlane zaznamenal univerzální bezpečnostní zranitelnost XSS, která by webům umožnila útoky navzájem pomocí zneužití a kompromitování souborů cookie, přihlašovacích údajů a dalších uživatelských dat. Předchozí problémy s bezpečností hesla 1Password vedly mimo jiné k deaktivaci modelu místní bezpečnosti, virtualizace a karantény.

Tato čísla jsou pouze tipy na ledovce

Hackeři každý den hledají chytřejší způsoby, jak zaútočit, a weby phishingu se zlepšují v tom, že jsou nezjistitelné. Viděli jsme, že několik správců hesel má povolenou funkci automatického doplňování. Podle Wired je naplnění přihlašovacího formuláře na webové stránce uloženými přihlašovacími údaji největší zranitelností zabezpečení. Podle Centra pro politiku informačních technologií v Princetonu jsou hackeři využívající tyto dlouhodobé chyby zabezpečení v rozšířeních webového prohlížeče na správcích hesel teprve začátek.

Pokročilé skripty hackerů mohou sledovat tuto funkci automatického vyplňování a ukrást vaše přihlašovací údaje. I když čísla ukazují, že k takovým útokům doposud došlo pouze na jednom tisíce stránek, můžeme si být jisti, že se právě připravují. Pokud zjistíte narušení zabezpečení, můžete změnit své heslo. S těmito zranitelnostmi však budou vaše uživatelské údaje ukradeny bez vašeho vědomí. Jakmile se to stane, správce hesel vás nebude moci zachránit.

Ochrana hesel

Nebudou vás tedy webové stránky upozorňovat, pokud byly napadeny hackery? Pokud je tato otázka na vaší mysli, musíte vědět, že v mnoha případech webové stránky neudělaly nic pro to, aby informovaly své uživatele. I když hlavní společnosti jako Yahoo! a Uber porušil data, uživatelé nebyli upozorněni. I když tedy důvěřujete bezpečnému správci hesel, pochopte, že vaše data nemohou být bezpečná z webů nebo společností, které na svých stránkách nemají řádné zabezpečení..

Názor lidí na správce hesel

Existuje mnoho lidí, kteří nesouhlasí s bezpečností správců hesel. Například, podívejme se na názor Davea, který je programátorem v softwarové firmě, se domnívá, že „Použití místního správce hesel je lepší, protože cloudová služba může být snadno hackována. Také je rozumné používat klienta pro správu hesel, pokud potřebujete uložit stovky přihlašovacích údajů, jako já, pro obchodní účely. “

Podle Matta, který je účetním, to také není bezpečný způsob. Říká, že se rád spoléhá na svou vlastní paměť, namísto důvěryhodnosti některého zařízení k uložení jeho cenných hesel. Podle něj jsou všechna zařízení zranitelná a data mohla ukradnout někdo, kdo má fyzický přístup k vašim zařízením.

Podobný názor vyjadřuje studentka Rosie, která věří: „Mám zvyk ukládat svá hesla na chráněném listu v MS Excel. Používám přístupovou frázi o více než 20 znacích, o které jsem si jist, že je docela obtížné rozbít. Nevěřím úložišti typu cloud nebo lokální zařízení více než své vlastní paměti, abych zajistil své nejcitlivější informace. “  

Pokud používáte Správce hesel?

Nyní, když víte o všech možných bezpečnostních chybách správců hesel, byste ji měli přestat používat? Faktem je, že pokud máte více účtů, je lepší použít jeden, protože získáte další vrstvu zabezpečení. Je to mnohem lepší, než mít vůbec nic; neukládat je představuje mnohem větší rizika než mít jedno. Ujistěte se však, že používáte zabezpečeného správce hesel a že často aktualizuje zabezpečení proti útokům hrubou silou.   

V žádném případě nikdy nepoužívejte pro správu hesel rozšíření prohlížeče ani vestavěné aplikace prohlížeče, jako jsou ty, které získáte v prohlížeči Chrome. Místo toho použijte libovolnou možnost na ploše, protože nabízejí nejvyšší úroveň zabezpečení a zase funkci automatického vyplňování. Jako zálohu můžete také uložit hesla do šifrovaného zařízení nebo souboru.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me