Štúdia Password Manager ukazuje, že heslá môžu byť vystavené útočníkom

• Kategórie: Zabezpečenia

Vyskúšajte Náš Nástroj Na Odstránenie Problémov

Vyberte Operačný Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekcie (Voliteľne) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popíšte Svoj Problém

Získajte Odpoveď

Pošlite Mi E -Mailom Zobraziť Na Webe

Používanie správcu hesiel je jednou z mála možností, ktoré musíte zaistiť, aby ste zabezpečili všetky svoje účty online pomocou bezpečných hesiel, ktoré nemožno uhádnuť.

Hlavným dôvodom je to, že väčšina používateľov internetu považuje za nemožné zapamätať si bezpečné heslá pre desiatky alebo dokonca stovky webových služieb, pokiaľ nepoužívajú jednoduché základné pravidlá alebo opakovane nepoužívajú rovnaké heslo.

Aj keď webové prehliadače ako Firefox alebo Google Chrome sprístupňujú množstvo správcov hesiel, zvyčajne ide o výber správcu hesiel, ktorý ponúka funkcie, ktoré od neho potrebujete.

Skutočná bezpečnosť správcu hesiel, spôsobu, akým zaobchádza s heslami, keď ich odosiela na servery a keď nie, nie je väčšinou transparentná.

Nedávna štúdia „Manažéri hesiel vystavujúcich heslá všade“ od Marca Blanchoua a Paula Younta z Isecpartners analyzovali, ako správcovia hesiel v prehliadači interagujú s webovými stránkami, keď sú aktivované.

Vedci skúmali verzie LastPass, IPassword a MaskMe pre prehliadače Chrome a Firefox a OneLastPass pre prehliadače Chrome. Konkrétne skúmali, kedy a ako títo správcovia hesiel vyplnili informácie o hesle.

Výsledok môže byť pre používateľov správcov hesiel prekvapujúci, ale zistilo sa, že všetky štyri skúmané programy sa správali nevhodne.

HTTP vs HTTPS : Správca hesiel MaskMe nerozlišuje medzi schémami HTTP a HTTPS, čo znamená, že vyplní formulár na heslo bez ohľadu na schému. Toto môžu byť využité napríklad útokmi typu človek v strede.

Útočný muž-in-the-middle útočník, napríklad vo verejnej bezdrôtovej sieti, by mohol jednoducho presmerovať obete na falošné verzie HTTP populárnych webových stránok pomocou prihlasovacích formulárov a JavaScriptu, ktoré sa automaticky odosielajú po ich automatickom vyplnení pomocou MaskMe. Každý, kto používa službu MaskMe s povoleným automatickým dopĺňaním (toto je predvolené správanie), by mohol veľmi rýchlo nechať ukradnúť svoje heslá jednoduchým pripojením k škodlivému prístupovému bodu a obete by to nikdy nevedeli.

Zadávanie hesiel naprieč pôvodmi : Zistilo sa, že LastPass, OneLastPass a MaskMe odosielajú heslá podľa pôvodu. To znamená, že správcovia hesiel, ktorých sa to týka, vyplnia a odošlú autentifikačné informácie na stránkach, aj keď sa adresa, na ktorú sú informácie zaslané, líši od adresy, na ktorej sa používateľ nachádza.

Ignorovať subdomény: Všetky štyri manažéri hesiel spracúvajú subdomény, ktoré sa rovnajú koreňovej doméne. To znamená, že prihlasovacie informácie sú vyplnené v koreňovej doméne, ale aj vo všetkých subdoménach s rovnakým názvom domény.

Prihlasovacia stránka : Všetci správcovia hesiel, ktorých sa štúdia týka, neobmedzujú svoje činnosti na prihlasovaciu stránku, ktorú predtým používal používateľ. Ak bolo prihlasovacie meno uložené pre názov domény, všetky prihlasovacie formuláre na tomto názve domény sa spracúvajú ako prihlasovacie údaje bez ohľadu na to, či boli použité už predtým.

Tieto praktiky, s ktorými sa niektorí zaobchádzajú z dôvodu pohodlia, môžu používateľov vystaviť riziku, pretože útočníci môžu tieto problémy použiť na ukradnutie informácií o hesle.

Vedci naznačujú, že používatelia nevyužívajú funkcie automatického dopĺňania a automatického prihlasovania, ktoré niektorí správcovia hesiel ponúkajú. O výsledkoch boli informované všetky spoločnosti.