Если вы кропотливо прошли через настройку диспетчера паролей , вы можете подумать, что вы защищены от посторонних глаз хакеров и киберпреступников.
Ты не прав.
Да, менеджеры паролей являются ценным инструментом в продолжающейся борьбе за безопасность, но они не безопасны и не защищены от идиотов, а также не обеспечивают достаточной защиты сами по себе.
Вот четыре причины, почему менеджеров паролей недостаточно, чтобы самим хранить ваши пароли в безопасности.
1. Менеджеры паролей — это Святой Грааль для хакеров
Менеджеры паролей очень безопасны. ? Да. Используют ли они строгие системы шифрования и криптографии? ? Да. Можете ли вы категорически заявить, что ни один хакер не сможет взломать систему и получить доступ к миллионам паролей пользователей внутри нее?
Нет.
Подумайте об этом: службы менеджера паролей — чрезвычайно привлекательная перспектива для хакеров. Если бы они могли взломать внешние стены хранилищ паролей, у них был бы доступ к неисчислимому количеству сокровищ. Они будут продолжать пытаться взломать. Это неизбежно.
Давайте использовать LastPass в качестве примера. Киберпреступники дважды атаковали серверы. за последние пять лет. Каждый раз компания была непреклонна в том, что ее пользователям нужно было только изменить главный пароль для своих учетных записей, и хранилища паролей все еще были в безопасности.
Но взломы доказывают, что дыры в безопасности существуют. Это только вопрос времени, когда уполномоченное лицо получит доступ? Вероятно.
2. Эксперты говорят, что у менеджеров паролей есть серьезные недостатки
В 2014 году исследователи в области безопасности обнаружили, что у LastPass, RoboForm, My1login, PasswordBox и NeedMyPassword было несколько опасных недостатков безопасности.
Наиболее тревожный из этих недостатков позволил хакерам украсть незашифрованные пароли непосредственно у пользователей LastPass с помощью букмарклета, при этом ни пользователь, ни компания не знали, что что-то не так.
У LastPass также был недостаток, заключающийся в том, что вредоносный код на веб-сайте мог украсть все зашифрованное хранилище паролей пользователя, если хакер знал адрес электронной почты пользователя.
RoboForm, My1login, PasswordBox и NeedMyPassword имели одинаково серьезные дефекты, включая лазейку, которая позволяла злоумышленникам украсть полное имя пользователя, имя пользователя и любой URL-адрес, по которому был введен пароль.
К счастью, поставщики услуг исправили эти ошибки, но было бы глупо полагать, что они теперь совершенны. Почти наверняка есть еще неоткрытые ошибки, ожидающие, пока кто-нибудь их найдет.
Широкое распространение небезопасных менеджеров паролей может усугубить ситуацию: добавить новую непроверенную единую точку отказа в экосистему веб-аутентификации.
— Живей Ли, Уоррен Хе, Девдатта Акхаве и Доун Сонг, авторы нового менеджера паролей Emperor: анализ безопасности веб-менеджеров паролей
В конечном счете, вы доверяете менеджеру паролей некоторые из ваших самых важных деталей. Складывать все яйца в одну корзину неразумно.
3. Облачные базы данных против локальных баз данных
Вы заметили, что все пять услуг, о которых я говорил выше, основаны на веб-технологиях. Если вы используете локальный менеджер паролей (например, KeePass или 1Password), пожалуйста, не впадайте в ложное чувство безопасности; В исследовании рассматривались только веб-варианты.
Есть аргумент, чтобы предположить, что локальные менеджеры по своей природе более безопасны, чем облачные менеджеры. Хакеру труднее получить доступ и сложнее украсть базу данных.
Но они не дураки. Мы все знаем, как быть с угрозами безопасности, с которыми сталкиваются пользователи настольных компьютеров. : клавиатурные шпионы, хакеры, скрывающиеся в общественных сетях Wi-Fi, бесконечные вредоносные программы и многое другое. Если вам не повезло оказаться под атакой, локально сохраненная база паролей может оказаться одной из первых вещей, которые хакеры украдут.
А что если ваша база данных будет сохранена на вашем мобильном устройстве? Если вы потеряете свое устройство, оно может легко попасть в чужие руки. Да, он зашифрован, но если вы настроили свое приложение на использование только мастер-пароля или отпечатка пальца для доступа к базе данных, шифрование не будет стоить много.
4. Ваши настройки могут сделать вас уязвимым
Я только кратко коснулся этого. Менеджеры паролей имеют множество настроек, которые вы можете настроить; некоторые из них делают сервис более безопасным. повысить безопасность повысить безопасность Однако многие из них предназначены для удобства — включение их сделает вас более уязвимым.
Например, LastPass не будет автоматически запрашивать у вас мастер-пароль при попытке доступа к учетным данным человека в вашем хранилище (« Настройки»> «Дополнительные настройки»> «Повторить запрос мастер-пароля» ).
Кроме того, большинство мобильных приложений служб позволяют отключить проверку подлинности по отпечатку пальца и / или паролю на срок до 24 часов после каждого успешного входа в систему. Не делай этого. Вы бы оставили свой онлайн-банкинг в сети на 24 часа, чтобы сэкономить несколько кликов?
И, конечно же, будьте осторожны, с кем вы делитесь паролями, используя встроенный сервис обмена сервисами — возможно, их настройки оставят ваши учетные записи открытыми? Убедитесь, что ваши друзья и семья знают о последствиях для безопасности.
Не используйте ярлыки. Вместо этого потратьте время на работу с расширенными настройками своих служб и сделайте их максимально надежными.
Менеджеры паролей: использовать или избегать?
Являются ли менеджеры паролей лучше, чем хранить все ваши данные на листе Excel или использовать одинаковые учетные данные для каждого сайта? Несомненно. Но являются ли они так безопасен, как вы могли бы верить, спорно.
Большинство людей используют услуги для удобства, а также для безопасности. Но тем самым вы потенциально подвергаете себя риску. Я не собираюсь говорить вам прекратить их использование, но действуйте с осторожностью. Например, возможно, вам следует разделить ваш пароль между несколькими менеджерами. ?
И помните, суть в том, что нет замены вашему мозгу. Если вы сможете создать надежный код, который вы слегка подправите для каждого отдельного входа, вы будете иметь больше безопасности, чем любой менеджер паролей.
Вы доверяете менеджерам паролей? Дайте нам знать в комментариях ниже.