Er passwordadministratorer sikre at bruge?

Du ved allerede vigtigheden af ​​at bruge stærke adgangskoder og de trusler, du står over for, hvis du ikke gør det. For at håndhæve stærke adgangskoder bruger mange af os adgangskodeadministratorer. De skal holde vores data sikre, men til tider kan alt være en falsk følelse af sikkerhed. Derudover tilbyder ikke alle adgangskodeadministratorer det samme sikkerhedsniveau. Dette kan føre til, at hackere bruger brute force-angreb og stjæler din identitet.


Er passwordadministratorer sikre at bruge?

Er passwordadministratorer sikre at bruge?

Adgangskodeadministratorer, og hvorfor de bruges

Adgangskodeadministratorer er apps, browserudvidelser eller værktøjer, der bruges til at gemme alle dine adgangskoder sikkert. Disse inkluderer de mange adgangskoder, du opretter på mange steder som Amazon, Netflix eller YouTube, når du tilmelder dig. Ligeledes har du muligvis oprettet stærke adgangskoder, der er svære at huske til din e-mail, internetudbyder, dit telefonselskab og andre.

Du kan gemme alle disse adgangskoder i appen og låse det ved at oprette en anden adgangskode. Grundlæggende, for at få adgang til alle dine loginoplysninger, behøver du kun den. Det er den adgangskode, du har til passwordadministratoren. Åbn appen, vælg adgangskoden til den service, du vil bruge, kopier og indsæt den. Nogle adgangskodeadministratorer tilbyder ekstra sikkerhed med indstillinger som tofaktorautentisering. Nogle tilbyder let adgang med automatisk udfyldningsformularer, hvor det automatisk indtaster loginfelterne for en tjeneste eller et websted.

Problemer med adgangskodeadministratorer

Selvom det er rigtigt, at apps til adgangskodehåndtering viser sig at give dig mere komfort ved at få adgang til nettet, kan du ikke ignorere de trusler, de udgør. Især når du bruger en browserudvidelse, der er tilgængelig med din password manager-app, er truslerne enorme. Besøg på et websted, der kan inficere din enhed med malware, gør dine data sårbare over for et antal angreb som XSS (Cross-Site Scripting) eller CSRF (Cross-Site Request Forgery).

Et eksempel er en tidligere sikkerhedsudnyttelse af LastPass, hvor det sårbare websted sandsynligvis blev injiceret med et spionage-script. Dette kan kontrollere din browser for den nævnte udvidelse, hvis du aktiverer den, mens du besøger webstedet. En anmeldelse, der er identisk med LastPass, vises på siden, hvor du fortæller, at din session er udløbet, og at du er nødt til at logge ind igen. Hvis du klikker på det viste link, vil det føre dig til et phishing-sted, der ligner login-siden til LastPass.

Når du logger ind, kontrollerer det ondsindede websted med LastPass API og bekræfter dine legitimationsoplysninger. Hvis de er korrekte, vil webstedet bede dig om at indtaste tofaktors autentificeringstoken. Når du kontrollerer med LastPass API igen, sender webstedet dine detaljer til hackerens server med det samme. Men hvis logindetaljerne viser sig at være forkerte, indlæser scriptet på webstedet en fejlmeddelelse, der beder dig om at prøve igen.

Andre tidligere sikkerhedsspørgsmål af LastPass overleverer hackerne fuldstændig adgang til dets interne privilegerede RPC-kommandoer og udfører kode. Hacker kunne også tilsidesætte legitime meddelelser og oprette lignende phishing-angreb.

Det usikre Internet

Ovenstående eksempel er ikke det eneste problem med browserbaserede adgangskodeadministratorer, der kom i lyset. Pr. Netværksverden, Keeper, 1Password og Dashlane har også oplevet sikkerhedsproblemer.

En tidligere sikkerhedsmæssig sårbarhed ved Keeper var, at udvidelsen sprøjtede sin betroede brugergrænseflade til et upålideligt sted. Dette efterlod det åben for angreb som CSRF, XSS og andre. En universel XSS-sikkerhedssårbarhed blev oplevet af Dashlane, som ville lade webstederne angribe hinanden med XSS-udnyttelse og kompromittere cookies, loginoplysninger og andre brugerdata. Tidligere 1Password-sikkerhedsproblemer førte til at deaktivere den lokale sikkerhedsmodel, virtualisering og sandboxing blandt andre funktioner.

Disse spørgsmål er bare tip til isbjerget

Med hver dag finder hackere smartere måder at angribe, og phishing-webstederne bliver bedre til at være uopdagelige. Vi har set, at flere adgangskodeadministratorer har deres auto-fill-funktion aktiveret. Ifølge Wired er befolkning af loginformularen på en webside med dine gemte legitimationsoplysninger den største sikkerhedssårbarhed. I henhold til Center for Information Technology Policy i Princeton er hackere, der udnytter disse langvarige sårbarheder i webbrowserudvidelser på passwordadministratorer, bare begyndelsen.

Hackers avancerede scripts kan spore denne automatisk udfyldningsfunktion og stjæle dine loginoplysninger. Mens tallene viser, at sådanne angreb kun skete på tusind steder indtil videre, kan vi være sikre på, at de kun er på vej. Når du registrerer et sikkerhedsbrud, kan du ændre din adgangskode. Med disse sårbarheder bliver dine brugeroplysninger imidlertid stjålet uden din viden. Adgangskodeadministratorer kan ikke redde dig, når dette sker.

Beskyttelse af dine adgangskoder

Så vil websiderne ikke give dig besked, hvis de er blevet hacket? Hvis dette spørgsmål er på dit sind, skal du vide, at der har været mange tilfælde, hvor websteder ikke gjorde noget for at holde deres brugere informeret. Selv når større virksomheder som Yahoo! og Uber havde et dataovertrædelse, brugerne blev ikke underrettet. Derfor, selvom du har tillid til en sikker adgangskodemanager, skal du forstå, at dine data ikke kan være sikre fra websteder eller virksomheder, der ikke har korrekt sikkerhed på deres websteder.

Folks mening om adgangskodeadministratorer

Der er mange mennesker, der ikke er enige om, at passwordadministratorer er sikre. Lad os for eksempel se udtalelsen fra Dave, der er en programmør hos et softwarefirma, mener, at ”Det er bedre at bruge en lokal adgangskodemanager, da en skybaseret service let kan hackes. Det giver også mening at bruge en adgangskodestyringsklient, hvis du har brug for at gemme hundredevis af loginoplysninger, som jeg gør, til forretningsformål. ”

Dette er dog heller ikke en sikker måde ifølge Matt, der er revisor. Han siger, at han kan lide at være afhængig af sin egen hukommelse i stedet for at stole på en enhed for at gemme hans værdifulde adgangskoder. Ifølge ham er alle enheder sårbare, og dataene kunne stjæles af nogen, der har fysisk adgang til dine enheder.

En lignende opfattelse udtrykkes af Rosie, en studerende, der mener, ”Jeg har en vane med at gemme mine adgangskoder på et beskyttet regneark på MS Excel. Jeg bruger en adgangssætning på over 20 tegn, som jeg er sikker på er temmelig vanskelig at knække. Jeg har ikke tillid til hverken skybaseret eller lokal enhedslagring mere end min egen hukommelse for at sikre mine mest følsomme oplysninger. ”  

Skal du bruge en Password Manager?

Nu hvor du ved om alle de mulige sikkerhedssårbarheder, som passwordadministratorer har, skal du stoppe med at bruge en? Faktum er, at hvis du har flere antal konti, er det bedre at bruge et, da du får et ekstra lag af sikkerhed. Det er langt bedre end overhovedet ikke at have noget; ikke at redde dem udgør meget større risici end at have en. Men sørg for, at du bruger en sikker adgangskodemanager, og at den ofte opdaterer sin sikkerhed mod brute force-angreb.   

Uanset hvad, brug aldrig browserudvidelser eller indbyggede browser-apps til adgangskodestyring, som den, du får med Chrome. Brug i stedet for en hvilken som helst desktop-baseret indstilling, da de giver mest sikkerhed og drejning af auto-fill-funktionen. Som sikkerhedskopi kan du også gemme dine adgangskoder på en krypteret enhed eller fil.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map