Měli bychom rozlišovat mezi offline správci hesel (například Password Safe) a online správci hesel (jako LastPass).

Offline správci hesel nesou relativně malé riziko. Je pravda, že uložená hesla jsou jediným bodem selhání. Ale pak je váš počítač také jediným bodem selhání. Nejpravděpodobnější příčinou porušení je získání malwaru do vašeho počítače. Bez správce hesel může malware tiše sedět a zaznamenávat všechna hesla, která používáte. U správce hesel je to o něco horší, protože jakmile malware zachytí hlavní heslo, získá všechna vaše hesla. Ale koho pak zajímají ty, které nikdy nepoužíváte? Je teoreticky možné, že správce hesel může být trojský kůň nebo mít zadní vrátka - ale to platí pro jakýkoli software. Cítím se dobře, že důvěřuji široce používaným správcům hesel, jako je Password Safe.

Online správci hesel mají významnou výhodu v tom, že jsou vaše hesla k dispozici v počítači kohokoli, ale přinášejí také o něco větší riziko. Částečně, že by mohlo dojít k porušení online databáze (ať už hackováním, soudním příkazem, škodlivým zasvěcením atd.) Také proto, že se LastPass integruje s prohlížeči, má větší útočnou plochu, takže by mohlo dojít k technickým zranitelnostem (což je u samostatné aplikace nepravděpodobné) jako Password Safe).

Nyní jsou pro většinu lidí tato rizika přijatelná a já bych navrhl, že přístup používání správce hesel jako LastPass pro většinu vašich hesel je lepší než používání stejného hesla všude - což se zdá být hlavní alternativou. Ale neukládal bych tam každé heslo; snažte se zapamatovat si ty nejdůležitější, jako je online bankovnictví.

Znám někoho, kdo nebude používat Password Safe a místo toho má fyzický zápisník se svými hesly ve zmatené podobě. Tento notebook je zjevně mnohem bezpečnější proti malwaru ... zda je vystaven většímu riziku ztráty / krádeže, je zajímavá otázka.

[Zveřejnění: Pracuji pro společnost AgileBits, tvůrce 1Password. Jelikož by bylo nevhodné, abych se vyjadřoval k bezpečnostní architektuře konkurentů, budu se věnovat věcem obecně a konkrétně budu hovořit pouze o 1Password.]

Ano. Správci hesel vytvářejí jediný bod selhání. Chováte všechna svá vejce v jednom košíku. Samozřejmě si myslím, že dobře navržený správce hesel je správná volba. Ale nakonec je to volba, kterou si musí každý jedinec udělat sám.

Je nesmírně důležité se podívat na to, jak je tento koš chráněn. S 1Password můžete přečíst podrobnosti o tom, jak jsou data uložena. Ačkoli PBKDF2 intenzivně využíváme, je velmi důležité, aby si lidé vybrali dobré hlavní heslo. Jediný potvrzený případ narušení dat 1Password, který jsem viděl, je, když někdo použil stejné hlavní heslo, jaké použila pro svůj nezašifrovaný e-mail POP3 / HTTP Road Runner. Stejné heslo bylo také použito pro její účet Dropbox, který byl také převzat, a to je způsob, jakým předpokládáme, že útočník získal data 1Password.

Pokud jde o důvěru v lidi, kteří stojí za správcem hesel, jde o složitější otázku . Myslím si, že lze s jistotou říci, že kdokoli, kdo se nějakou dobu věnuje správě hesel, by neriskoval, že se pokusí vydělat další peníze z bankovních údajů nebo kreditních karet. I kdybychom byli srdcem podvodníci, bylo by to jen špatné podnikání, protože pouhé podezření z takového režimu by prodávajícího vyřadilo z podnikání. Ukradené údaje o kreditní kartě se prodávají za něco málo přes jeden USD, pokud jsou hromadně nakupovány na černých trzích. Bankovní údaje jsou zhruba pětkrát vyšší. Matematika prostě nefunguje pro kohokoli, kdo se živí prodejem nástrojů pro správu hesel.

Jak již bylo zmíněno, v některých schématech data nikdy nepřijdou k prodejci v žádném formátu. To platí pro 1Password. Nikdy nevidíme, jak někdo používá 1Password. Při synchronizaci dat napříč systémy se však spoléháme na synchronizační systémy třetích stran. Vaše šifrovaná data tedy mohou být ukradena z Dropboxu i z vašeho vlastního počítače, pokud k synchronizaci dat používáte Dropbox. Vždy byste měli předpokládat, že existuje nezanedbatelná možnost, že budou vaše šifrovaná data zachycena. To se vrací zpět k tomu, jak dobře jsou vaše data šifrována, což je třeba pečlivě sledovat.

Další otázky týkající se důvěry v dodavatele systému pro správu hesel spočívají v důvěřování naší kompetenci a důvěře, kterou máme Nebyli nuceni / podpláceni / "přesvědčeni", aby umožnili zadní dveře do systému. To je mnohem komplikovanější. Jak prodejci řeší bezpečnostní chyby, jakmile jsou objeveny? Kolik chování a designu produktu lze nezávisle ověřit? Rozumí tvůrci kryptografii, kterou používají?

U systémů, jako je 1Password, které nemají žádná data od uživatelů, existuje jen velmi málo důvodů, abychom se na ně mohli obrátit i vládními agenturami (a nebyli jsme.) Zároveň byste měli předpokládat, že vlády mají přístup k vašim datům uloženým v synchronizačních systémech. Opět se tedy vracíme k otázce, jak jsou tato data šifrována.

Zřeknutí se odpovědnosti : Vytvořil jsem PfP: hesla bez bolesti jako koníček, mohlo by to být považováno za konkurenta LastPass.

Byl jsem zkoumání bezpečnostních problémů několika správců hesel při mnoha příležitostech. Zejména jsem doposud hlásil dvanáct bezpečnostních problémů Lastly a analyzoval designová rozhodnutí, která k nim vedla. Takže i když paj28 poskytl velmi dobrou obecnou odpověď na správce hesel, mohu uvést několik podrobností.

Když lidé hovoří o bezpečnosti online správců hesel, obvykle se zaměřují na zabezpečení serveru. Důraz je kladen na to, jak snadné je kompromitovat server a co se pak stane. Toto je však pouze jeden vektor útoku, protože útok na vaši místní instanci správce hesel může vést ke stejným výsledkům. Ve skutečnosti může být útok na rozšíření prohlížeče slibnějším postupem, protože data jsou již zde dešifrována a nezanecháte stopy v žádných protokolech.

Podívejme se na tyto dva aspekty samostatně.

Útok na rozšíření prohlížeče

V rozšíření prohlížeče LastPass je spousta historických údajů o chybách zabezpečení. Všechny tyto chyby zabezpečení mohou zneužít libovolné webové stránky. Přinejmenším to jsou:

• Chyba funkce automatického vyplňování (Mathias Karlsson)
• Vystavené interní API (Tavis Ormandy)
• Tři chyby zabezpečení rozšíření LastPass (vaše opravdová)
  • Další chyba automatického vyplňování (LastPass ji považuje za nevyužitelnou, ale pouze Tavis Ormandy později)
  • Další vystavené interní API
  • Vzdálené spuštění kódu, kompromis s úplným rozšířením
• Ještě jednou a chyba v Automatické vyplňování (Tavis Ormandy)
• Ještě jednou vystaveno interní API (Tavis Ormandy)
• A ještě jednou vystaveno interní API , což má za následek vzdálené spuštění kódu (Tavis Ormandy)

Všimli jste si zde nějakého vzoru? LastPass už roky bojuje se zabezpečením jejich funkce automatického vyplňování a omezení přístupu k jejich internímu API. Pokaždé, když nová zpráva prokázala, že jejich předchozí oprava byla neúplná.

Nyní není neobvyklé, že správci hesel nedokážou bezpečně implementovat automatické vyplňování, většina z nich měla při kontrole problémy v této oblasti. I když je zcela vyloučeno, tyto problémy jsou natolik běžné, že jsem dokonce sestavil seznam s doporučeními, abych se vyhnul pasti.

Ale problémy s interním API jsou docela pozoruhodné. LastPass vystavuje toto API webům mnoha různými způsoby. Má to být omezeno na lastpass.com, ale logika je tak složitá, že omezení byla v minulosti několikrát obcházena. A zatímco LastPass dělal vše pro to, aby snižoval závažnost jejich oficiálních oznámení, každý z těchto problémů umožňoval webům číst všechna hesla najednou. Ještě horší je, že poslední zpráva od Tavise Ormandyho dokázala, že interní API může být použito k tomu, aby binární komponenta LastPass spustila libovolný kód na počítači uživatele. Totéž lze pravděpodobně udělat se všemi předchozími chybami, které vystavovaly interní API.

Dalo by se samozřejmě zeptat, proč LastPass nedokázal správně omezit přístup k internímu API. Lepší otázkou však je, proč je toto API vůbec vystaveno webovým stránkám. Je to proto, že významná část funkce LastPass není obsažena v rozšíření, ale spíše se spoléhá na to, že bude fungovat web LastPass. To je velmi problematické rozhodnutí o designu, ale zatím se LastPass nezdál zájem o jeho opravu.

Útok na data na straně serveru

Uveďme to velmi jasně: serveru nedůvěřujeme. Není to tak, že bychom společnosti LogMeIn, Inc., zvláště nevěřili - přinejmenším ne více než jakékoli jiné společnosti. Ale naše hesla jsou velmi citlivá data a dokonce i ta nejetičtější společnost může mít nepoctivého zaměstnance. Přidejte k tomu možnost, že americké úřady požadují, aby poskytly vaše údaje, něco, co ani nemusí být nutně spojeno s vyšetřováním trestné činnosti. Nezáleží na tom, že jejich servery budou napadeny hackery, jak se to již stalo jednou.

Je tedy velmi důležité, aby vaše data na serveru byla šifrována a zbytečná pro kohokoli, kdo by podržte to. Co ale může útočníkům zabránit v dešifrování? Přesně jedna věc: neznají vaše hlavní heslo, které se používá k odvození šifrovacího klíče. Základní otázka tedy zní: chrání LastPass dostatečně vaše hlavní heslo a šifrovací klíč?

V této oblasti nevím o žádném propagovaném výzkumu, ale o svém vlastním, většina z toho je zapsána v této blogový příspěvek. Můj závěr zde: LastPass zde trpí řadou konstrukčních nedostatků, některé jsou nyní vyřešeny, zatímco jiné jsou stále aktivní.

Bruteforcing hlavního hesla

Pokud se útočníci dostali do rukou spousta šifrovaných dat, nejpřímější dešifrovací přístup je: uhodněte hlavní heslo použité k odvození šifrovacího klíče. Můžete vyzkoušet neomezený počet odhadů na místě, na jakémkoli hardwaru, který si můžete dovolit, takže tento proces bude srovnatelně rychlý.

LastPass používá k odvození šifrovacího klíče z hlavního hesla algoritmus PBKDF2. I když je tento algoritmus horší než novější algoritmy jako bcrypt, scrypt nebo Argon2, má důležitou vlastnost pomalé derivace klíčů, takže útočníci provádějící místní hádání budou zpomaleni. Potřebný čas je úměrný počtu iterací, což znamená: čím vyšší je počet iterací, tím těžší bude uhodnout hlavní heslo.

Po dlouhou dobu byla výchozí hodnota LastPass 5 000 iterací. Jedná se o extrémně nízkou hodnotu, která poskytuje velmi malou ochranu. Vypočítal jsem, že k testování 346 000 odhadů za sekundu lze použít jednu grafickou kartu GeForce GTX 1080 Ti. To je dost na to, abyste projeli databázi s více než miliardou hesel známých z různých úniků webových stránek za necelou hodinu.

Po mých zprávách LastPass zvýšil výchozí hodnotu na 100 000 iterací uprostřed -2018, což je mnohem vhodnější. Samozřejmě, pokud jste důležitým cílem, který by mohl očekávat, že při hádání vašeho hlavního hesla budou hozeny prostředky na úrovni státu, měli byste si zvolit extrémně silné hlavní heslo.

Získání dat bruteforce

Jedním z mých zjištění počátkem roku 2018 bylo, že skript https://lastpass.com/newvault/websiteBackgroundScript.php lze načíst na libovolném webu. Tento skript obsahoval vaše uživatelské jméno LastPass i část šifrovaných dat (soukromý klíč RSA). Jelikož vaše uživatelské jméno LastPass je také solí pro odvození hesla, je to vše, co někdo potřebuje k lokálnímu vynucení vašeho hlavního hesla.

Tento problém byl samozřejmě rychle vyřešen. Chyba však byla dostatečně zřejmá, takže mě napadlo, jestli jsem ji objevil jako první. I když jsem vyzval LastPass, aby zkontroloval jejich protokoly, zda nevykazují známky této zranitelnosti využívané ve volné přírodě, podle mých znalostí k tomuto vyšetřování nikdy nedošlo.

„Kola na straně serveru“ jako zbytečná ochrana

Po bezpečnostním incidentu v roce 2011 LastPass implementoval další bezpečnostní mechanismus: kromě vašich iterací PBKDF2 na straně klienta by přidaly dalších 100 000 iterací na server. Teoreticky by tedy někdo mohl získat data ze serveru, což by zvýšilo úsilí potřebné k uhodnutí vašeho hlavního hesla.

V praxi bych mohl přesvědčivě dokázat, že těchto dalších 100 000 iterací se použije pouze na hodnotu hash hesla. Všechny ostatní uživatelské údaje (hesla, klíče RSA, OTP a další) jsou šifrovány pouze pomocí šifrovacího klíče odvozeného místně z vašeho hlavního hesla, zde zde není žádná další ochrana. Závěr: tato dodatečná „ochrana“ je úplným plýtváním zdroji serveru a neposkytuje žádnou hodnotu.

Vstup dovnitř zadními vrátky

Bez ohledu na to, jak slabá je ochrana, útoky hrubou silou budou vždy proti nejsilnějším hlavním heslům neúčinné. Design LastPass však obsahuje spoustu backdoorů, které by umožnily dešifrování dat bez vynaložení jakéhokoli úsilí.

Webové rozhraní

LastPass vám pohodlně poskytuje webové rozhraní pro přístup k vašim heslům bez pomoci rozšíření prohlížeče. Tato funkce je však pastí: kdykoli zadáte své hlavní heslo do přihlašovacího formuláře na webu, neexistuje způsob, jak zjistit, zda bude vaše hlavní heslo pomocí PBKDF2 hašováno před jeho odesláním na server, nebo zda jej bude přenášet jako jasné text.

Pamatujete si, že serveru nedůvěřujeme? Přesto triviální úprava kódu JavaScript obsluhovaného serverem stačí ke kompromisu všech vašich hesel. I když tento kód JavaScript zkontrolujete, je toho příliš mnoho na to, abyste si čehokoli všimli. Upravený kód by bylo možné poskytnout pouze konkrétním uživatelům.

Nastavení účtu

I když používáte rozšíření prohlížeče důsledně, kdykoli přejdete do nastavení účtu, bude načtěte web lastpass.com. Tady opět neexistuje způsob, jak zjistit, že tento web není kompromisem a nebude vám krýt data na pozadí.

Několik dalších částí funkce rozšíření je také implementováno přechodem zpět na web lastpass.com a LastPass zde nevidí problém.

Obnovení OTP

LastPass má koncept jednorázových hesel (OTP), která můžete použít k obnovení dat z účtu, pokud jste někdy zapomněli hlavní heslo. Tyto OTP umožňují dešifrovat vaše data, ale server je běžně nezná.

Aby byla obnova ještě spolehlivější, LastPass ve výchozím nastavení automaticky vytvoří OTP pro obnovení a uloží jej do dat rozšíření. Problém zde: proces obnovy byl navržen tak, aby rozšíření okamžitě poskytlo lastpass.com toto OTP obnovení na vyžádání, aniž by vás o tom vůbec informovalo. Takže kompromitovaný server LastPass může požádat rozšíření o vaše OTP pro obnovení a použít jej k dešifrování dat.

Podle LastPass byl tento problém vyřešen v srpnu 2018. Nevím, jak to vyřešili alespoň jsem však v jejich kódu neviděl žádné zjevné řešení.

Vystavení šifrovacího klíče

Existuje také řada příležitostí, kdy rozšíření přímo vystaví svůj místní šifrovací klíč k serverům LastPass. To má pomoci webovým funkcím LastPass lépe se integrovat s rozšířením prohlížeče, ale ruší to účinky místního šifrování dat. Následující akce jsou všechny problematické:

• Otevření nastavení účtu, bezpečnostní výzva, historie, záložky, sledování kreditu
• propojení s osobním účtem
• přidání identita
• Import dat, pokud není nainstalována binární komponenta.
• Tisk všech webů
• Kliknutí na oznámení o porušení

Poslední je obzvláště vážná, protože server LastPass vám může podle libosti zasílat oznámení o narušení. To umožňuje LastPass získat přístup k vašim datům, kdykoli se jim líbí, místo aby čekali, až sami použijete problematické funkce.

Další nedostatky v designu

• Jak sami vidíte, když otevřete https://lastpass.com/getaccts.php, když jste přihlášeni, úschovna LastPass v žádném případě není zašifrovaná blob dat. Spíše má sem tam šifrovaná data, zatímco jiná pole, jako je URL odpovídající účtu, používají pouze hexadecimální kódování. Na tento problém bylo poukázáno v této prezentaci z roku 2015 a od té doby byla šifrována další pole - zdaleka ne všechna. Zejména zpráva, kterou jsem podal, poukázala na to, že ekvivalentní domény, které nejsou šifrovány, umožnily serveru LastPass upravit tento seznam a extrahovat vaše hesla tímto způsobem. Tento konkrétní problém byl podle LastPass vyřešen v srpnu 2018.
• Stejná prezentace nadává LastPass za použití AES-ECB pro šifrování. Mimo jiné rozdává, která z vašich hesel jsou identická. LastPass od té doby přechází na AES-CBC, přesto když jsem se podíval do svého „trezoru“, viděl jsem tam spoustu pověření šifrovaných AES-ECB (můžete to říct, protože AES-ECB je pouze blob kódovaný v base64, zatímco LastPass varianta AES-CBC začíná vykřičníkem).
• Automatické OTP obnovy, které se vytváří a ukládá do dat rozšíření, znamená, že k vašemu účtu LastPass může mít přístup kdokoli s přístupem k vašemu zařízení a e-mailové adrese. Toto je ve skutečnosti zdokumentováno a je považováno za nízké riziko. Možná na vás jeden z vašich spolupracovníků zahrál žert zasláním e-mailu na vaše jméno, protože jste zapomněli zamknout počítač - příště by vám mohl převzít váš účet LastPass, i když jste z LastPass odhlášeni.
• Když už mluvíme o odhlášení, výchozí doba vypršení platnosti relace je dva týdny. I když je to jistě pohodlné, existuje důvod, proč má většina produktů zpracovávajících citlivá data mnohem kratší intervaly vypršení platnosti relace, obvykle výrazně pod jeden den.
• Pro kombinaci hodnoty s tajným klíčem (např. jako podpis) se obvykle používá SHA256-HMAC. LastPass místo toho používá vlastní přístup a dvakrát aplikuje hash SHA256. I když se zdá, že útoky, které má HMAC řešit, zde nehrají žádnou roli, nevsadil bych na někoho s lepšími znalostmi kryptografie než já, který zde nakonec nenalezne zranitelnost. Na straně serveru se také občas vytvoří nějaké tokeny SHA256 - zajímalo by mě, jaký druh humbugu se děje tam, kde ho nevidím a zda je opravdu bezpečný.

Jefferyho odpověď je obzvláště nápadná - hlavní riziko je všude kolem ekonomiky. Jednou z největších hrozeb může být selhání manažerů hesel (těch, kteří pro svého autora nevydělávají dostatek peněz). Aktér se zlými úmysly může vývojáře „zachránit“ zakoupením produktu a změnou programu tak, aby si sám odesílal data (možná těžko zjistitelným způsobem). Pravděpodobně je tedy důležité zajistit, aby správce hesel, který používáte, byl pro jeho autora finančně úspěšný.

Nedávno jsem se stal neklidným ohledně aplikace správce hesel, kterou jsem dlouho používal (a předtím jsem ji platil za ). Zdálo se, že vývoj se do značné míry zastavil, aplikace se stala bezplatnou (podle mého názoru velká červená vlajka) a vlastnictví mohlo změnit majitele. Přepnul jsem na jinou aplikaci, ale je těžké vědět, jestli byla moje data ohrožena.

Jsou vaše hesla opravdu bezpečná?

Používal jsem Lastpass a vždy mě zajímá, jak si můžeme být jisti, že nám spolu s databází neposílají naše hlavní heslo. na jejich servery. Mohli dokonce nastavit klienta, aby dotazoval server a udělal to pouze pro konkrétní uživatele, aby zabránil objevení. To se samozřejmě týká zákona NSA a Patriot Act nebo jiných agentur, které mohou společnosti přinutit, aby něco takového dělaly, a udržet to v tajnosti.

Zapomenout na NSA

Pro mě je zabezpečení všeho před agenturami něco jiného než utajení mých přihlašovacích údajů. Chtěl bych před nimi všechno utajit, ale oni prostě mají tolik a různých zdrojů a pracovní síly, že se mohu jen snažit. Pokud se konkrétně zaměřují na mě, jsem pravděpodobně ztracen. Mohou hacknout můj domácí router, můj telefon, můj laptop, nainstalovat záznamníky klíčů atd. A já bych neměl ponětí. Agentury, které mají zákonnou moc (i když s nimi nesouhlasíme nebo jsou z jiných zemí), bude těžké zastavit.

Takže jednoduše zapomeňte na NSA a GCHQ atd. - protože nás normální lidi to nikam nepřivede. No ... v této souvislosti na to zapomeň.

Lastpass nebo Keepass nebo ...?

Pokud by Lastpass nahrál naše hesla ve výchozím nastavení a pokud by to mělo být objeveno, bylo by to v velké problémy. Lastpass jsem používal asi rok, ale přestal jsem kvůli způsobu jeho interakce s prohlížečem. Nelíbí se mi rušivé metody vkládání rozbalovacích nabídek do webových formulářů a zpomalil to můj prohlížeč. Když jsem použil Lastpass, použil jsem ho pro všechna ta triviální fóra, kde na tom moc nezáleželo, kdybych ztratil heslo nebo přihlašovací jméno. Pro vážnější hesla používám Keepass.

Používám Keepass a dělám to už léta. Je Keepass bezpečný? Je to offline! Ale víte jistě, že nikdy neposílá data? Používám jej pro přihlášení k webům, jako jsou Amazon, Apple, ISP, Paypal, velké obchody - ve zkratce: k webům, které mají číslo mé kreditní karty.

Některá hesla si pamatuji a nikde je neuchovávám, kromě moje mysl.

Některé služby, jako je tato, nabízejí cloudové „pohodlí“ a jiné nikoli. Pokud povolujete ukládání svých hesel do cloudu, dáváte této aplikaci větší důvěru, protože existuje jediný zdroj útoku na načítání dat představujících uložená hesla všech uživatelů. Za předpokladu, že jsou tato hesla šifrována jedinečně pro každého uživatele, může být riziko zmírněno, ale bez ohledu na to, jak velké je zmírnění, zůstává toto jediným bodem útoku.

Kontrast s aplikacemi, které ukládají hesla pouze místně (nebo vám umožní migrovat databázi ručně). Tady může být vaše úroveň úsilí větší, ale bod útoku je na stroji, nad kterým máte pravděpodobně větší kontrolu, a je to mnohem méně zajímavý bod útoku, protože má pouze vaše hesla. To vás samozřejmě úplně neimunizuje; trojský kůň by určitě mohl být napsán, aby je vyhledal a poslal je jinam.

Pointa je, že se musíte rozhodnout, kde chcete z důvodu pohodlí obchodovat se zabezpečením, ale ve většině případů je to rozhodně kompromis ( pokud ne všechny) případy. Můj vlastní názor na situaci je, že pokud jsem aplikaci nenapsal, nevím, co dělá, a je mnohem méně pravděpodobné, že jí důvěřuji.

Zde je několik příspěvků, které by vás mohly zajímat:

• „Správci hesel: rizika, úskalí a vylepšení“ (2014)

Abstrakt:

Studujeme bezpečnost populárních správců hesel a jejich zásady automatického vyplňování hesel na webových stránkách. Prozkoumáme integrované správce hesel v prohlížeči, mobilní správce hesel a správce třetích stran. Ukazujeme, že mezi správci hesel existují významné rozdíly v zásadách automatického vyplňování. Mnoho zásad automatického vyplňování může vést ke katastrofálním důsledkům, kdy útočník vzdálené sítě může extrahovat více hesel ze správce hesel uživatele bez jakékoli interakce s uživatelem. Experimentujeme s těmito útoky as technikami pro zvýšení bezpečnosti správců hesel. Ukazujeme, že naše vylepšení mohou adoptovat stávající manažeři.

• „Analýza zranitelnosti a rizik dvou komerčních prohlížečů a cloudových správců hesel“ (2013)

Abstrakt:

Uživatelé webu čelí skličujícím výzvám správy stále více hesel, aby chránili svá cenná aktiva v různých online službách. Správce hesel je jedním z nejpopulárnějších řešení navržených k řešení těchto výzev tím, že ukládá hesla uživatelů a později automaticky vyplňuje přihlašovací formuláře jménem uživatelů. Všichni hlavní dodavatelé prohlížečů poskytli správce hesel jako integrovanou funkci; prodejci třetích stran také poskytli mnoho správců hesel. V tomto článku analyzujeme zabezpečení dvou velmi oblíbených komerčních správců hesel: LastPass a RoboForm. Oba jsou správci hesel v prohlížeči a cloudu (BCPM) a oba mají miliony aktivních uživatelů po celém světě. Zkoumáme návrh zabezpečení a implementaci těchto dvou BCPM se zaměřením na jejich základní kryptografické mechanismy. Identifikujeme několik kritických, vysokých a středních úrovní zranitelnosti, které by mohly zneužít různé typy útočníků k narušení bezpečnosti těchto dvou BCPM. Kromě toho poskytujeme několik obecných doporučení, která nám pomohou vylepšit návrh zabezpečení těchto a podobných BCPM. Doufáme, že naše analýzy a návrhy mohou být cenné i pro další cloudové produkty a výzkum a zabezpečení dat.

Umístění pro stahování papírů a některé další související dokumenty jsou podrobně popsány na https: // www.wilderssecurity.com/threads/password-manager-security-papers.365724/, vlákno fóra, které jsem vytvořil.

Podmínkou je offline přístup k pověření. Například malý poznámkový blok, do kterého píšete všechny své bezpečnostní údaje pro všechny banky, obchody, webové stránky, dokonce i kombinační zámky, adresy a všechny další podrobnosti, ke kterým byste chtěli mít přístup z jakéhokoli místa na světě.

Online přístup k přihlašovacím údajům je v pořádku, ale není dokonalý, protože před přístupem ke všem podrobnostem budete muset být v blízkosti počítače připojeného k internetu.

Online systémy také představují riziko pro hackery, vlády a jednotlivé zaměstnance vrátných společností, kteří data ukradnou nebo znepřístupní, když je potřebujete. Přečtěte si „hedvábnou stezku“, kde najdete příklady opakované a trvalé ztráty osobních údajů.

Lepším řešením by bylo hardwarové zařízení, které nosíte s sebou, jako malý USB klíč, který má jednoduchý software ukládat a šifrovat vaše informace a také je načítat, když je připojíte k PC nebo Mac. V ideálním případě by to mělo bluetooth, aby bylo možné získat přístup na vašem mobilním telefonu. Možná k tomu bude potřebovat malou baterii. A pokud nejste v blízkosti žádného počítače / mobilního telefonu a stále potřebujete přístup k uloženým datům, pak by možná přišel s malou LCD obrazovkou, jako jsou ty bezpečnostní klíčenky RSA - malý displej, který lze použít k přístupu k informacím. Celá věc nemusí být větší než kreditní karta nebo zapalovač Zippo. Mohla by také mít vyměnitelnou kartu micro SD, která by mohla obsahovat zálohu všech vašich informací (samozřejmě šifrovaných), takže byste neutrpěli úplnou ztrátu dat, pokud byste ztratili fyzické zařízení.

To je podle mého názoru nejlepší řešení. (1) přístupné kdekoli s nebo bez přístupu k PC a internetu (2) data uložená zcela lokálně bez třetích stran kdekoli, což představuje bezpečnostní riziko a závislost.

Dalším přístupem je e-mail. Většina z nás má e-maily typu Yahoo nebo Google nebo nějaký jiný e-mail online. A na serverech yahoo máme uloženy tisíce e-mailů, které obsahují spoustu osobních údajů, včetně adres, telefonních čísel, podrobností o účtu a dokonce i hesel. Právě tady je obrovské úložiště osobních údajů, je online, je k dispozici na jakémkoli PC prostřednictvím jednoduchého prohlížeče, dokonce i na vašem smartphonu. A pro nejcitlivější data můžete vymyslet osobní metodu šifrování, takže i když je e-mail čistým textem, data jsou nějak zašifrována, znáte je pouze vy.

Našel jsem klíčenku OSX jako ideální místo pro uchování hesel a souvisejících informací. Ještě více díky nové integraci IOS & iCloud. Pro mě je to přijatelná rovnováha mezi pohodlím, dostupností a bezpečností.

Přál bych si, aby byl Apple transparentnější ve vnitřním fungování, takže nemusím své hodnocení zcela zakládat na reverzním inženýrství třetích stran; ale zase bych se cítil stejně, kdyby jediná dostupná informace byla také od Apple.

Myslím, že existují jednodušší metody hacknutí vašich hesel, než pokusit se porušit šifrování LastPass. Například protokolování klávesnice. Pokud si opravdu myslíte, že jsou vaše přihlašovací údaje v nebezpečí nebo jsou napadeny hackery, měli byste použít čistý linuxový počítač. Vyberte si opravdu tvrdé heslo (24 znaků?).