Где я?
ББ-Home > Новости > 1/52 > Менеджеры паролей, или от добра добра не ищут

Менеджеры паролей, или от добра добра не ищут

На наш взгляд адекватной альтернативы менеджерам паролей сегодня просто нет. Для большинства как рядовых, так и корпоративных пользователей они действительно луч света в царстве кибер мрака.
И действительно они хорошо справляются с задачами, для решения которых были созданы — управления паролями. С другой стороны, не существует полностью безопасного ПО. Ни в одной области. И менеджеры паролей не являются исключением. Они также имеют уязвимости, до которых могут дотянуться и дотягиваются злоумышленники. И пользователи имеют полное право об этом знать.
Поэтому читайте наш перевод очередной статьи с сайта Всемирного экономического форума.

Менеджеры паролей совсем не то, за что их нахваливают. И вот почему

Кайла Мэтьюз, вольный журналист

Password managers aren’t all they’re cracked up to be. Here’s why

Kayla Matthews, freelance journalist

7 марта 2019 года

Для людей, которым с трудом дается запоминание паролей, или для сотрудников компаний, где ИТ отделы требуют от них менять пароли по графику, менеджеры паролей просто палочки-выручалочки.

Эти помощники требуют от вас запомнить только один основной пароль (мастер-пароль); менеджер паролей обеспечит вам доступ ко всем вашим аккаунтам на всех ресурсах, которые вы ему укажете.

Более того, многие из этих программ позволяют вам хранить платежную информацию и даже на какое-то время разрешать пользоваться ею кому-либо еще – например, разрешить дочери купить книжку, которая ей нужна для учебы.

Вне всякого сомнения менеджеры паролей удобны, но и они не защищены от случайных ошибок. Это означает, что нам следует уделить более пристальное внимание их уязвимостям.

Целенаправленные атаки могут обнаружить скрываемую информацию

Пользователи, которые присматриваются к менеджерам паролей, как правило, обращают внимание только на их удобства. Но недавний доклад американской консалтинговой компании в сфере безопасности установил, что некоторые виды вредоносного ПО могут обнаруживать пользовательские данные, хранимые рядом популярных парольных пакетов, – и большая часть рисков возникает, когда программы находятся в заблокированном рабочем состоянии.

Исследователи, участвовавшие в исследовании, говорят, что им неизвестно, до какой степени киберпреступники осведомлены об обнаруженных ими изъянах. Как бы там ни было, они советуют пользователям предпринять ряд предосторожностей:

  • выбрать сильный мастер-пароль;
  • содержать операционную систему и приложения в актуальном состоянии;
  • установить сканеры антивирусов с возможностью обнаружения вредоносного ПО.

Взломы происходят постоянно

Принципиально важно не думать, что проникновения в программы менеджеров паролей исключительно теоретические события или такие, которые специалисты по кибербезопасности осуществляют в своих лабораториях. В мае 2017 года менеджер паролей OneLogin был взломан. Компания подтвердила, что гипотетически атака позволила злоумышленникам получить доступ ко всем данным ее пользователей в США, и что виновные в атаке могли оказаться в состоянии прочитать зашифрованные данные.

Популярный менеджер паролей LastPass также был хакнут в 2015 году. Компания обратила внимание на проблему после обнаружения подозрительной активности на своих серверах. Хотя хакеры украли информацию, включающую адреса электронной почты и обрывки паролей, компания отметила, что используемый ею метод шифрования под названием «медленное хэширование» надежно сохранил пользовательские пароли.

Несколько лет назад один эксперт из Google обратил внимание LastPass на еще одну проблему, касающуюся их плагина для браузера. Предположительно уязвимость могла позволить хакеру исполнить вредоносный код или украсть пароли. К счастью, LastPass залатал брешь прежде, чем угроза смогла в действительности реализоваться.

Получить доступ к данным можно и другим путем

Не одни только хакеры несут в себе угрозу пользовательским данным. В недавнем случае, который затронул миллионы пользователей, серверные неполадки у менеджера паролей Blur привели к тому, что в доступе оказались зашифрованные пароли, имена и адреса электронной почты.

В другом недавнем примере 16-ти месячный дефект в коде менеджера паролей Keeper предположительно хранил пароли незащищенными. Исследователь из Google, обнаруживший изъян, заявил, что это позволило бы любому вебсайту украсть пароли, хранимые в Keeper. Хуже того, этот менеджер паролей поставлялся предустановленным на некоторые компьютеры Windows.

На фоне всех этих противоречий Keeper подал иск против журналиста, рассказавшего эту историю, равно как и против сотрудничающего вебсайта – Ars Technica – и его издателя. Keeper утверждал, что доклад содержал лживые заявления.

Но, судя по всему, компания также усвоила свой урок. После инцидента Keeper совместно с Bugcrowd, краудсорсинговой площадкой по кибербезопасности, запустил программу оповещения об уязвимостях. Это шаг в правильном направлении, но некоторые критики предупреждают, что негативные последствия от реакции Keeper на доклад могут уменьшить в людях желание заявлять о дефектах.

В приведенных примерах системные или имеющие отношение к программам дефекты сделали менеджеры паролей менее чем безопасными. Если разработчики не примут необходимых мер – если они проигнорируют необходимость тестирования своих программ и не станут ответственно относиться к отчетам о дефектах, – проблемы могут возникать даже и без участия хакеров.

Вам все еще нужен сильный мастер-пароль

Пользователи также несут ответственность за осмотрительное обращение с менеджерами паролей. Как уже говорилось ранее, начинается оно с выбора мастер-пароля. Вы не должны выбирать пароли, которые легко угадать и облегчить тем самым старания хакерам. Киберпреступники могут взломать слабый короткий пароль за 10-15 секунд.

Для них даже проще, если вы выбираете пароль на основе имен детей или домашних питомцев, повторяемых слов из словаря или информационных комбинаций, которые каждый может легко найти, как, например, чьи-то инициалы с последующей датой рождения.

Мнения людей насчет достоинств менеджеров паролей расходятся. Некоторые верят, что они того стоят, в то время как другие, кто отмечает, что хакеры имеют различные варианты проникновения в такие программы, уверены, что наилучший менеджер паролей – ваша память. Если вы решили использовать такую программу, выбор уникального и трудноугадываемого пароля является принципиальным.

В прошлом году Virginia Tech объединила усилия с известным менеджером паролей Dashlane, чтобы проанализировать более 61 миллиона паролей, и обнаружила несколько тревожных фактов. Среди пользователей было выявлено повторное использование паролей и модификация шаблонов, что делало пароли поразительно уязвимыми. Согласно исследованию, взлом 16 миллионов парольных пар оказался возможным всего за 10 попыток угадывания парольного алгоритма.

Исследование также выявило, насколько популярными среди пользователей были так называемые парольные прогулки, когда они создавали пароли, состоящие из букв, находящихся рядом друг с другом на клавиатуре. Прочие выбирали пароли, основанные на общеизвестной информации, каковой являются названия торговых марок или спортивных команд.

Пользовательские процессы на сетевых компьютерах могут красть удостоверяющие данные

Иногда взлом происходит непреднамеренно. Впечатляющее исследование, сделанное финскими специалистами из Хельсинского университета и университета Аальто, показало, что канал межпроцессного взаимодействия (IPC), который взаимодействует с программными процессами на компьютерах, входящих в сеть, не может оставаться защищенным постоянно. Это подтвердило, что некоторые критические для безопасности приложения, включая менеджеры паролей, не защищают IPC.

Раз так, пользовательские процессы, запущенные на сетевой машине, могут обнаруживать секретные данные других пользователей просто в силу небезопасной природы самого канала IPC. Исследователи также отметили, что IPC – это что-то такое, что разработчики не понимают и часто просто не обращают внимания.

Не поддавайтесь ложному чувству защищенности

Использование менеджера паролей совсем не обязательно глупый, но, возможно, более безопасный подход, чем отказ от его использования. Однако, очень важно оставаться в контакте с поставщиком, чтобы иметь доступ к новостям о возможных проблемах, а заодно и к регулярным обновлениям. Еще раз скажем, тщательно выбирайте мастер-пароль и не используйте пароли повторно, особенно после оповещения об утечках, которые могут затронуть и вас.

Менеджеры паролей удобны, но они не должны заставлять вас думать, что данные, которые они хранят, неуязвимы для хорошо спланированных атак и других угроз информационной безопасности.

Top