עלינו להבחין בין מנהלי סיסמאות לא מקוונים (כמו Safe Password) למנהלי סיסמאות מקוונים (כמו LastPass).

מנהלי סיסמאות לא מקוונים נושאים יחסית מעט סיכון. נכון שהסיסמאות השמורות הן נקודת כשל אחת. אבל אז, המחשב שלך הוא גם נקודת כשל אחת. הסיבה הסבירה ביותר להפרה היא העלאת תוכנות זדוניות למחשב שלך. ללא מנהל סיסמאות, תוכנה זדונית יכולה לשבת בשקט וללכוד את כל הסיסמאות בהן אתה משתמש. עם מנהל סיסמאות, זה קצת יותר גרוע, מכיוון שברגע שהתוכנה הזדונית תפסה את סיסמת המאסטר, היא מקבלת את כל הסיסמאות שלך. אבל אז, למי אכפת מאלה שאתה אף פעם לא משתמש? תיאורטית יתכן שמנהל הסיסמאות יכול להיות טרויאני, או שיהיה לו דלת אחורית - אך זה נכון בכל תוכנה. אני מרגיש בנוח לסמוך על מנהלי סיסמאות שנמצאים בשימוש נרחב, כמו סיסמא בטוחה.

למנהלי סיסמאות מקוונים יש את היתרון המשמעותי בכך שהסיסמאות שלך זמינות במחשב של מישהו, אך הן גם נושאות סיכון מעט יותר. חלקית כי ניתן לפרוץ את בסיס הנתונים המקוון (בין אם על ידי פריצה, צו בית משפט, גורם זדוני וכו '). מכיוון ש- LastPass משתלב בדפדפנים, יש לו משטח התקפה גדול יותר, כך שיכולות להיות נקודות תורפה טכניות (מה שלא סביר באפליקציה עצמאית. כמו Password Safe).

כעת, עבור רוב האנשים הסיכונים הללו מקובלים, והייתי מציע שהגישה של שימוש במנהל סיסמאות כמו LastPass עבור רוב הסיסמאות שלך טובה יותר מאשר שימוש באותה סיסמה בכל מקום - שנראה שהיא האלטרנטיבה העיקרית. אבל לא הייתי מאחסנת שם כל סיסמא; השתדל לשנן בעליל את החשובים ביותר שלך, כמו בנקאות מקוונת.

אני מכיר מישהו שלא ישתמש ב- Password Safe ובמקום זאת יש לו מחברת פיזית עם הסיסמאות שלו בצורה מעורפלת. מחברת זו ללא ספק בטוחה בהרבה מפני תוכנות זדוניות ... האם היא בסיכון גבוה יותר לאובדן / גניבה היא שאלה מעניינת.

[גילוי נאות: אני עובד עבור AgileBits, יצרני 1Password. מכיוון שלא מתאים לי להגיב על ארכיטקטורת האבטחה של המתחרים, אתייחס לדברים באופן כללי, ואדבר באופן ספציפי רק על 1Password.]

כן. מנהלי סיסמאות יוצרים נקודת כשל אחת. אתה שומר את כל הביצים שלך בסל אחד. אני, כמובן, חושב שמנהל סיסמאות מעוצב הוא הבחירה הנכונה. אך בסופו של דבר זו בחירה שכל פרט צריך לעשות לעצמו.

חשוב ביותר לבחון כיצד מוגן הסל ההוא. באמצעות 1Password תוכלו לקרוא את הפרטים על אופן שמירת הנתונים. למרות שאנו משתמשים בכבדות ב- PBKDF2, חשוב מאוד שאנשים יבחרו סיסמת מאסטר טובה. המקרה המאושר היחיד של הפרת נתונים של 1Password שראיתי הוא כאשר מישהו השתמש באותה סיסמת מאסטר כמו בה השתמשה בדוא"ל POP3 / HTTP Road Runner הלא מוצפן שלה. אותה סיסמה שימשה גם לחשבון דרופבוקס שלה, שהשתלט גם עליו, וכיצד אנו מניחים שהתוקף השיג את נתוני הסיסמה 1. . אני כן חושב שבטוח לומר שמי שעוסק בתחום ניהול הסיסמאות זמן מה, לא היה מסתכן בניסיון להרוויח כסף נוסף מאישורי בנק או כרטיסי אשראי. גם אם היינו נוכלים בנשמה, זה היה פשוט עסק רע, שכן עצם החשד לתכנית כזו יביא את הספק לעסוק. פרטי כרטיסי אשראי גנובים נמכרים במחיר של מעט יותר מדולר אחד לכל אחד כאשר הם נרכשים בכמויות גדולות בשווקים שחורים. אישורי הבנקאות הם בערך פי חמישה. המתמטיקה פשוט לא עובדת עבור מי שפרנסתו נובעת ממכירת כלים לניהול סיסמאות.

כפי שכבר הוזכר, בחלק מהתוכניות הנתונים לעולם אינם עוברים לספק בשום פורמט. זה נכון לגבי 1Password. אנחנו אף פעם לא רואים איך מישהו משתמש ב- 1Password. עם זאת, כדי לסנכרן נתונים בין מערכות, אנו מסתמכים על מערכות סנכרון של צד שלישי. אז הנתונים המוצפנים שלך עלולים להיגנב מ- Dropbox, כמו גם לגנוב מהמחשב שלך אם אתה משתמש ב- Dropbox כדי לסנכרן נתונים. אתה תמיד צריך להניח שיש אפשרות לא מבוטלת שהנתונים המוצפנים שלך יילכדו. זה חוזר לאופן שבו הנתונים שלך מוצפנים, וזה משהו שצריך לבחון בזהירות.

השאלות האחרות בנוגע לאמון על ספקי מערכת ניהול הסיסמאות מסתכמות באמון היכולת שלנו ובאמון שיש לנו לא נכפה / שוחד / "שוכנע" כדי לאפשר דלת אחורית למערכת. זה הרבה יותר מסובך. כיצד מתמודדים הספקים עם באגי אבטחה כשהם מתגלים? כמה מההתנהגות והעיצוב של המוצר ניתן לאימות באופן עצמאי? האם היוצרים מבינים את הקריפטו שהם משתמשים בו?

עבור מערכות, כמו 1Password, שאין להן נתונים ממשתמשים, יש מעט מאוד סיבה שאפילו גורמים ממשלתיים ניגשים אלינו (וגם לא היינו.) יחד עם זאת, עליך להניח שלממשלות יש גישה לנתונים שלך המאוחסנים במערכות סינכרון. אז שוב, זה חוזר לשאלה כיצד הנתונים מוצפנים.

כתב ויתור : יצרתי את PfP: סיסמאות ללא כאבים כתחביב, זה יכול להיחשב מתחרה ב- LastPass.

הייתי בודק את סוגיות האבטחה של כמה מנהלי סיסמאות במספר הזדמנויות. בפרט דיווחתי על שתים עשרה בעיות אבטחה ל- LastPass עד כה וניתחתי את החלטות התכנון שהובילו לכך. אז בעוד ש- paj28 נתן תשובה כללית טובה מאוד לגבי מנהלי סיסמאות, אני יכול לספק כמה פרטים.

כאשר אנשים מדברים על אבטחה של מנהלי סיסמאות מקוונים, הם בדרך כלל מתמקדים באבטחת שרתים. המיקוד הוא כמה קל להתפשר על השרת ומה יקרה אז. אולם זהו רק וקטור התקפה אחד מכיוון שתקיפת מופע מנהל הסיסמאות המקומי שלך עשויה להוביל לאותן תוצאות. למעשה, תקיפת סיומת הדפדפן עשויה להיות דרך פעולה מבטיחה יותר, מכיוון שהנתונים כבר מפוענחים שם ולא תשאיר עקבות בשום יומן.

תן לי להסתכל על שני ההיבטים הללו בנפרד.

תקיפת סיומת הדפדפן

יש הרבה נתונים היסטוריים על נקודות תורפה בסיומת הדפדפן LastPass. ניתן לנצל את כל הפגיעות הללו באמצעות דפי אינטרנט שרירותיים. לכל הפחות, אלה הם:

• פגם בפונקציונליות מילוי אוטומטי (מתיאס קרלסון)
• API פנימי חשוף (טוויס אורמנדי)
• שלוש פגיעויות של סיומת LastPass (שלך באמת)
  • פגם נוסף במילוי אוטומטי (שנחשב לבלתי ניתן לניצול על ידי LastPass, רק שהוכח שהוא טועה על ידי טביס אורמנדי מאוחר יותר)
  • עוד ממשק API פנימי חשוף
  • ביצוע קוד מרחוק, פשרה שלוחה מלאה
• ובכל זאת שוב פגם במילוי אוטומטי (Tavis Ormandy)
• ובכל זאת שוב נחשף API פנימי (Tavis Ormandy)
• ושוב API API פנימי חשוף , וכתוצאה מכך ביצוע קוד מרחוק (Tavis Ormandy)

שמתם לב לדפוס כאן? LastPass נאבקה כבר שנים על מנת לאבטח את פונקציונליות המילוי האוטומטי שלהם ולהגביל את הגישה ל- API הפנימי שלהם. בכל פעם שדוח חדש הוכיח שהתיקון הקודם שלהם לא הושלם.

עכשיו זה לא יוצא דופן שמנהלי הסיסמאות לא מצליחים ליישם את 'מילוי אוטומטי' באופן מאובטח, לרובם היו בעיות בתחום זה כשבדקתי. למרות שנמנע לחלוטין, נושאים אלה נפוצים מספיק כדי שאפילו ריכזתי רשימה עם המלצות כדי למנוע את המלכודות.

אך סוגיות ה- API הפנימיות די מדהימות. LastPass חושף את ה- API הזה לאתרים במספר דרכים שונות. זה נועד להיות מוגבל ל- lastpass.com, אך ההיגיון הוא כה מורכב, עד כי המגבלות נעקפו מספר פעמים בעבר. ובעוד LastPass עשו כמיטב יכולתם להמעיט בחומרת ההודעות הרשמיות שלהם, כל אחת מהסוגיות הללו אפשרה לאתרים לקרוא את כל הסיסמאות בבת אחת. גרוע מכך, הדו"ח האחרון של טביס אורמנדי הוכיח שניתן להשתמש בממשק ה- API הפנימי כדי לגרום לרכיב ה- LastPass הבינארי לבצע קוד שרירותי במחשב המשתמש. זה יכול להיעשות ככל הנראה עם כל הפגמים הקודמים שחשפו את ה- API הפנימי.

אפשר כמובן לשאול מדוע LastPass לא הצליחה להגביל את הגישה ל- API הפנימי כראוי. אך השאלה הטובה יותר היא מדוע ה- API הזה בכלל נחשף לאתרים. הסיבה לכך היא שחלק משמעותי מפונקציונליות LastPass אינו כלול בתוסף אלא מסתמך על אתר LastPass שיפעל. זו החלטה עיצובית בעייתית מאוד אך עד כה נראה כי LastPass לא היה מעוניין לתקן אותה.

תקיפת נתונים בצד השרת

בואו נאמר זאת בצורה ברורה מאוד: איננו סומכים על השרת. זה לא שאנחנו סומכים במיוחד על LogMeIn, Inc. - לפחות לא יותר מכל חברה אחרת. אך הסיסמאות שלנו הן נתונים רגישים מאוד, ואפילו בחברה האתית ביותר עשוי להיות עובד סורר. הוסף לכך את האפשרות שרשויות ארה"ב דורשות מהם לייצר את הנתונים שלך, דבר שאינו קשור אפילו בהכרח לחקירה פלילית. לא משנה מהי האפשרות שהשרתים שלהם נפרצים, כמו שזה כבר קרה פעם אחת.

לכן חשוב מאוד שהנתונים שלך בשרת יהיו מוצפנים וחסרי תועלת לכל מי שיכול להשיג להחזיק בזה. אך מה יכול למנוע את התוקפים מפענוחו? דבר אחד בדיוק: הם לא מכירים את סיסמת המאסטר שלך שמשמשת להפקת מפתח ההצפנה. אז השאלה המהותית היא: האם LastPass מגן מספיק על סיסמת האב שלך ועל מפתח ההצפנה?

בתחום זה, אני לא מודע למחקר מתוקשר אלא לשלי, שרובו כתוב ב זה פוסט בבלוג. המסקנה שלי כאן: LastPass סובל ממספר פגמים בתכנון כאן, חלקם נפתרו עד כה בעוד שאחרים עדיין פעילים. חבורה של נתונים מוצפנים, גישת הפענוח הכי פשוטה היא: נחשו את סיסמת האב המשמשת להפקת מפתח ההצפנה. אתה יכול לנסות מספר בלתי מוגבל של ניחושים באופן מקומי, בכל חומרה שאתה יכול להרשות לעצמך, כך שתהליך זה יהיה מהיר באופן דומה.

LastPass משתמש באלגוריתם PBKDF2 כדי להפיק את מפתח ההצפנה מהסיסמה הראשית. למרות שהוא נחות מאלגוריתמים חדשים יותר כמו bcrypt, scrypt או Argon2, לאלגוריתם זה יש את המאפיין החשוב להאט את גזירת המפתח, כך שתוקפים שעושים ניחוש מקומי יואטו. הזמן הנדרש הוא פרופורציונלי למספר האיטרציות, כלומר: ככל שמספר האיטרציות גבוה יותר, כך יהיה קשה לנחש סיסמת מאסטר.

במשך זמן רב, ברירת המחדל של LastPass הייתה 5,000 איטרציות. זהו ערך נמוך במיוחד המספק מעט מאוד הגנה. חישבתי שניתן להשתמש בכרטיס גרפי אחד של GeForce GTX 1080 Ti לבדיקת 346,000 ניחושים לשנייה. זה מספיק כדי לעבור במאגר עם למעלה ממיליארד סיסמאות המוכרות מדליפות אתרים שונות בקושי יותר משעה.

בעקבות הדיווחים שלי, LastPass הגדילה את ברירת המחדל ל 100,000 איטרציות באמצע -2018 שהוא הרבה יותר הולם. כמובן שאם אתה יעד חשוב שיכול לצפות למשאבים ברמת המדינה שנזרקים על מנת לנחש את סיסמת המאסטר שלך, אתה עדיין צריך לבחור בסיסמת מאסטר חזקה במיוחד.

אחיזת נתונים ל- bruteforce

אחד הממצאים שלי בתחילת 2018 היה כי ניתן לטעון את התסריט https://lastpass.com/newvault/websiteBackgroundScript.php על ידי כל אתר. סקריפט זה הכיל גם את שם המשתמש של LastPass וגם פיסת נתונים מוצפנים (מפתח RSA פרטי). כששם המשתמש שלך ב- LastPass הוא גם מלח נגזרת הסיסמה, זה כל מה שמישהו צריך לאכזב את סיסמת המאסטר שלך באופן מקומי.

בעיה זו נפתרה במהירות כמובן. עם זאת, הפגם היה ברור מספיק כדי שנשארתי תוהה אם הייתי הראשון שגיליתי אותו. אמנם דחקתי ב- LastPass לבדוק ביומנים שלהם אם יש סימנים לפגיעות זו המנוצלת בטבע, אך למיטב ידיעתי חקירה זו מעולם לא התרחשה.

"סבבים בצד השרת" כהגנה חסרת תועלת

בעקבות אירוע אבטחה בשנת 2011, LastPass הטמיע מנגנון אבטחה נוסף: בנוסף לאיטרציות ה- PBKDF2 שלך בצד הלקוח הם יוסיפו עוד 100,000 איטרציות בשרת. אז בתיאוריה, אם מישהו יכול להוריד נתונים מהשרת, זה יגביר את המאמץ הדרוש לנחש את סיסמת המאסטר שלך.

בפועל, אוכל להוכיח באופן סופי כי 100,000 האיטרציות הנוספות האלה מוחלות רק על חשיש הסיסמה. כל שאר נתוני המשתמשים (סיסמאות, מפתחות RSA, OTP ועוד) מוצפנים רק באמצעות מפתח ההצפנה הנגזר באופן מקומי מהסיסמה הראשית שלך, אין הגנה נוספת כאן. מסקנה: "הגנה" נוספת זו היא בזבוז מוחלט של משאבי השרת ואינה מספקת ערך כלשהו.

כניסה דרך הדלת האחורית

לא משנה כמה חלשה ההגנה, התקפות כוח אכזרי תמיד לא יעילות כנגד סיסמאות המאסטר החזקות ביותר. עם זאת, העיצוב של LastPass מכיל שפע של דלתות אחוריות שיאפשרו לפענח את הנתונים מבלי להשקיע כל מאמץ. ללא עזרה של סיומת דפדפן. עם זאת, תכונה זו היא מלכודת: בכל פעם שתזין את סיסמת המאסטר שלך לטופס כניסה באינטרנט, אין שום דרך לדעת אם היא תשלח את הסיסמה הראשית שלך עם PBKDF2 לפני שתשלח אותה לשרת או שהיא תעביר אותה כברורה. טקסט.

זוכרים שאנחנו לא סומכים על השרת? עם זאת די בשינוי טריוויאלי של קוד ה- JavaScript המוגש על ידי השרת בכדי לפגוע בכל הסיסמאות שלך. גם אם אתה בודק את קוד ה- JavaScript, יש בו יותר מדי מכדי שתוכל להבחין במשהו. ואפשר יהיה להגיש את הקוד שהשתנה רק למשתמשים ספציפיים.

הגדרות חשבון

גם אם אתה משתמש בתוסף הדפדפן באופן עקבי, בכל פעם שתעבור להגדרות החשבון זה יהיה טען את אתר lastpass.com. שוב, אין שום דרך לדעת שאתה אתר זה אינו מתפשר ולא יגנוב את הנתונים שלך ברקע.

כמה חלקים אחרים של פונקציונליות ההרחבה מיושמים גם על ידי חזרה ל אתר lastpass.com, ו- LastPass אינו רואה את הבעיה כאן.

OTP לשחזור

ל- LastPass יש את הרעיון של סיסמאות חד פעמיות (OTP) בהן תוכל להשתמש כדי לשחזר נתונים מחשבונך אם תשכח אי פעם את סיסמת המאסטר. OTP אלה מאפשרים פענוח הנתונים שלך אך בדרך כלל אינם ידועים לשרת.

כדי להפוך את ההתאוששות לאמינה עוד יותר, LastPass תיצור OTP לשחזור באופן אוטומטי כברירת מחדל ותאחסן אותה בנתוני ההרחבה. הבעיה כאן: תהליך השחזור תוכנן כך שההרחבה תיתן באופן מיידי ל- lastpass.com את ה- OTP לשחזור על פי דרישה, מבלי להודיע ​​לך אפילו על כך. אז שרת LastPass שנפגע יכול לבקש מהסיומת את ה- OTP לשחזור שלך ולהשתמש בו כדי לפענח את הנתונים שלך.

על פי LastPass, בעיה זו נפתרה באוגוסט 2018. אני לא יודע איך הם פתרו את זה עם זאת, לפחות לא יכולתי לראות אף אחד מהפתרונות הברורים בקוד שלהם.

חשיפת מפתח ההצפנה

יש גם מספר מקרים שבהם הסיומת תחשוף ישירות מפתח ההצפנה המקומי שלך לשרתי LastPass. זה אמור לעזור לפונקציונליות LastPass מבוססת אינטרנט להשתלב טוב יותר עם סיומת הדפדפן, אך היא מבטלת את ההשפעות של הצפנת נתונים באופן מקומי. הפעולות הבאות כולן בעייתיות:

• פתיחת הגדרות חשבון, אתגר אבטחה, היסטוריה, חוברות, ניטור אשראי
• קישור לחשבון אישי
• הוספת זהות
• ייבוא ​​נתונים אם הרכיב הבינארי אינו מותקן
• הדפסת כל האתרים
• לחיצה על הודעת הפרה

האחרון הוא רציני במיוחד מכיוון ששרת LastPass יכול לשלוח לך התראות על הפרה כרצונו. אז זה מאפשר ל- LastPass לקבל גישה לנתונים שלך מתי שהם רוצים, במקום לחכות שתשתמש בפונקציונליות בעייתית לבד.

עוד פגמים בעיצוב

• כפי שאתה יכול לראות בעצמך על ידי פתיחת https://lastpass.com/getaccts.php בזמן שאתה מחובר, הכספת LastPass היא בשום אופן לא כתם מוצפן של נתונים. במקום זאת יש נתונים מוצפנים פה ושם, בעוד ששדות אחרים כמו ה- URL המתאימים לחשבון פשוט משתמשים בקידוד hex. נושא זה צוין ב מצגת 2015 זו ושדות נוספים הוצפנו מאז - עדיין עדיין לא כולם. בפרט, דוח שהגשתי ציין כי דומיינים מקבילים שאינם מוצפנים אפשרו לשרת LastPass לשנות את הרשימה ולחלץ את הסיסמאות שלך בדרך זו. נושא מסוים זה נפתר באוגוסט 2018 על פי LastPass.
• אותה מצגת נוזפת ב- LastPass על השימוש בהם ב- AES-ECB לצורך הצפנה. בין היתר, הוא נותן אילו מהסיסמאות שלך זהות. LastPass עבר ל- AES-CBC מאז ועדיין, כאשר הסתכלתי על ה"כספת "שלי ראיתי שם הרבה אישורי AES-ECB מוצפנים (אתה יכול לדעת כי AES-ECB הוא בסך הכל כתם מקודד בסיס 64 ואילו LastPass גרסה של AES-CBC מתחילה בסימן קריאה. זה למעשה מתועד ונחשב לסיכון נמוך. אולי אחד העמיתים לעבודה שלך התעלל בך על ידי שליחת דוא"ל על שמך כי שכחת לנעול את המחשב שלך - בפעם הבאה הם עשויים להשתלט על חשבון LastPass שלך גם אם אתה מחובר מ- LastPass.
• אם כבר מדברים על היותך מחובר, זמן תפוגת ברירת המחדל של הפגישה הוא שבועיים. אמנם בהחלט נוח, אך יש סיבה לכך שרוב המוצרים המטפלים בנתונים רגישים כוללים מרווחי זמן תפוגה קצרים בהרבה, בדרך כלל הרבה מתחת ליום אחד.
• לשילוב ערך עם סוד (למשל כחתימה) בדרך כלל ישתמש ב- SHA256-HMAC. במקום זאת, LastPass משתמש בגישה מותאמת אישית ומיישם את SHA256 hashing פעמיים. בעוד שההתקפות שאליהן HMAC נועדה לטפל נראה כי לא משחקות תפקיד כאן, לא הייתי מהמר על מישהו עם ידע טוב יותר בקריפטו ממני שלא אמצא כאן פגיעות. כמו כן, צד השרת יפיק מדי פעם גם כמה אסימונים של SHA256 - מעניין איזה סוג של humbug קורה במקום בו אני לא יכול לראות אותו והאם הוא באמת מאובטח.

תשובתו של ג'פרי מבינה במיוחד - הסיכון העיקרי הוא בכלכלה. אחד האיומים הגדולים ביותר עשוי להיות על מנהלי סיסמאות כושלים (כאלה שלא מרוויחים מספיק כסף עבור המחבר שלהם). שחקן זדוני יכול 'להציל' את היזם על ידי קניית המוצר ושינוי התוכנית כדי לשלוח נתונים לעצמם (אולי בצורה שקשה לזהות). אז כנראה חשוב לוודא שמנהל הסיסמאות שבו אתה משתמש נראה מצליח כלכלית עבור המחבר.

לאחרונה נעשיתי לא רגועה לגבי אפליקציית מנהל הסיסמאות בה השתמשתי זמן רב (ושילמתי בעבר עבורו. ). נראה שהפיתוח נעצר במידה רבה, האפליקציה הפכה לחינמית (דגל אדום גדול לדעתי) וייתכן שהבעלות החליפה ידיים. עברתי לאפליקציה אחרת, אבל קשה לדעת אם הנתונים שלי נפגעו.

האם הסיסמאות שלך באמת בטוחות?

השתמשתי ב- Lastpass ותמיד אני תוהה כיצד אנו יכולים להיות בטוחים שהם לא שולחים את סיסמת המאסטר שלנו יחד עם מסד הנתונים לשרתים שלהם. הם יכולים אפילו להגדיר את הלקוח לסקר את השרת ולעשות זאת למשתמשים ספציפיים בלבד, כדי למנוע גילוי. זה נוגע כמובן לחוק ה- NSA והפטריוט, או לסוכנויות אחרות שיכולות להכריח חברות לעשות דבר כזה ולשמור אותו בסוד.

תשכח מה- NSA

מבחינתי, שמירת הכל מאובטח מהסוכנויות זה משהו אחר מאשר לשמור על סודיות הכניסה שלי. הייתי רוצה לשמור הכל בסוד מפניהם, אבל יש להם פשוט משאבים וכוח אדם כה רבים ושונים, עד שאוכל להתאמץ בלבד. אם הם מכוונים אותי ספציפית, אני כנראה אבוד. הם יכולים לפרוץ את הנתב הביתי שלי, את הטלפון שלי, את המחשב הנייד שלי, להתקין רושמי מפתח וכו 'ולא היה לי מושג. קשה לעצור סוכנויות בעלות כוח משפטי (גם אם איננו מסכימים איתן או אם הן ממדינות אחרות).

אז פשוט תשכח מה- NSA ו- GCHQ וכו '- כי זה לא יביא אותנו לאנשים נורמליים בשום מקום. ובכן ... תשכחו מזה בהקשר הזה.

Lastpass או Keepass או ...?

אם Lastpass היה מעלה את הסיסמאות שלנו כברירת מחדל, ואם זה היה מתגלה, הם היו ב צרה גדולה. השתמשתי ב- Lastpass במשך כשנה, אך הפסקתי בגלל האופן שבו הוא מתקשר עם הדפדפן. אני לא אוהב את השיטות החודרניות להכניס תפריטים נפתחים לטופסי אינטרנט, וזה האט את הדפדפן שלי. כשהשתמשתי ב- Lastpass השתמשתי בו לכל אותם פורומים טריוויאליים שבהם לא היה חשוב אם איבדתי את הסיסמה או את הכניסה. לקבלת הסיסמאות הרציניות יותר אני משתמש ב- Keepass.

אני משתמש ב- Keepass ועשיתי זאת במשך שנים. האם Keepass בטוח? זה לא מקוון! אבל האם אתה יודע בוודאות שהוא אף פעם לא שולח נתונים? אני משתמש בו לצורך כניסה לאתרים כמו אמזון, אפל, ספק שירותי אינטרנט, Paypal, חנויות גדולות - בקיצור: אתרים שיש להם את מספר כרטיס האשראי שלי.

כמה סיסמאות שאני משנן ולא שומר בשום מקום למעט המוח שלי.

שירותים כאלה מציעים "נוחות" בענן ואחרים לא. אם אתה מאפשר לשמור את הסיסמאות שלך בענן, אתה נותן יותר אמון ביישום, שכן יש מקור התקפה יחיד לאחזור נתונים המייצגים את כל הסיסמאות המאוחסנות של המשתמשים. בהנחה שסיסמאות אלו מוצפנות באופן ייחודי עבור כל משתמש אז ייתכן שהסיכון ימתן, אך ללא קשר למידת ההקלה, זו נותרה נקודת תקיפה אחת.

ניגוד ליישומים המאחסנים רק סיסמאות באופן מקומי (או מאפשרים לך להעביר את מסד הנתונים שלך באופן ידני). כאן, רמת המאמץ שלך עשויה להיות גדולה יותר, אך נקודת ההתקפה נמצאת במכונה שיש להניח שיש לך יותר שליטה עליה וזו נקודת תקיפה הרבה פחות מעניינת מכיוון שיש לה רק את הסיסמאות שלך. זה לא מחסן אותך לגמרי כמובן; בהחלט ניתן לכתוב סוס טרויאני שיחפש אותם וישלח אותם למקום אחר. אם לא כל המקרים). ההשקפה שלי על המצב היא שאם לא כתבתי את היישום, אני לא יודע מה זה עושה ואני הרבה פחות נוטה לסמוך עליו.

הנה כמה מאמרים שאתה עשוי להתעניין בהם:

• "מנהלי סיסמאות: סיכונים, מלכודות ושיפורים" (2014)

תקציר:

אנו בוחנים את האבטחה של מנהלי סיסמאות פופולריים ואת המדיניות שלהם לגבי מילוי סיסמאות אוטומטית בדפי אינטרנט. אנו בוחנים מנהלי סיסמאות מובנים בדפדפנים, מנהלי סיסמאות ניידים ומנהלי צד שלישי. אנו מראים כי ישנם הבדלים משמעותיים במדיניות המילוי האוטומטי בקרב מנהלי סיסמאות. מדיניות מילוי אוטומטי רבות עשויה להוביל לתוצאות הרות אסון כאשר תוקף רשת מרוחק יכול לחלץ סיסמאות מרובות ממנהל הסיסמאות של המשתמש ללא כל אינטראקציה עם המשתמש. אנו מתנסים בהתקפות אלה ובטכניקות לשיפור האבטחה של מנהלי הסיסמאות. אנו מראים כי המנהלים הקיימים יכולים לאמץ את השיפורים שלנו.

• "פגיעות וניתוח סיכונים של שני מנהלי סיסמאות דפדפנים ומסחריים מבוססי ענן" (2013)

תקציר:

משתמשי הרשת מתמודדים עם האתגרים המרתיעים בניהול יותר ויותר סיסמאות כדי להגן על נכסיהם היקרים בשירותים מקוונים שונים. מנהל הסיסמאות הוא אחד הפתרונות הפופולריים ביותר שנועדו להתמודד עם אתגרים כאלה על ידי שמירת סיסמאות המשתמשים ומאוחר יותר מילוי אוטומטי של טפסי הכניסה בשם המשתמשים. כל ספקי הדפדפנים הגדולים סיפקו את מנהל הסיסמאות כתכונה מובנית; ספקי צד שלישי סיפקו גם מנהלי סיסמאות רבים. במאמר זה אנו מנתחים את האבטחה של שני מנהלי סיסמאות מסחריים פופולריים מאוד: LastPass ו- RoboForm. שניהם מנהלי סיסמאות מבוססי דפדפן וענן (BCPM), ולשניהם מיליוני משתמשים פעילים ברחבי העולם. אנו חוקרים את תכנון האבטחה וההטמעה של שני BCPM אלה תוך התמקדות במנגנוני ההצפנה הבסיסיים שלהם. אנו מזהים כמה נקודות תורפה קריטיות, גבוהות ובינוניות שיכולות להיות מנוצלות על ידי סוגים שונים של תוקפים בכדי לשבור את האבטחה של שני ה- BCPM הללו. יתר על כן, אנו מספקים כמה הצעות כלליות שיעזרו לשפר את תכנון האבטחה של BCPM כאלה ואחרות. אנו מקווים שהניתוחים וההצעות שלנו יכולים להיות בעלי ערך גם למוצרי אבטחת נתונים מבוססי ענן ולמחקר.

מיקומי הורדת נייר וכמה מאמרים קשורים אחרים מפורטים בכתובת https: // www.wilderssecurity.com/threads/password-manager-security-papers.365724/, שרשור פורום שיצרתי.

הדרישה היא לגישה לא מקוונת של אישורים. לדוגמא מחברת קטנה עליה אתה כותב את כל פרטי האבטחה שלך לכל הבנקים, החנויות, אתרי האינטרנט, אפילו מנעולי שילוב, כתובות וכל הפרטים האחרים שתרצה שתוכל לגשת אליהם מכל מקום בעולם.

גישה מקוונת של אישורים היא בסדר אבל לא מושלמת, מכיוון שתצטרך להיות ליד מחשב מחובר לאינטרנט לפני שתוכל לגשת לפרטיך.

מערכות מקוונות מהוות גם סיכון של האקרים, ממשלות ועובדים בודדים של חברות שומרי הסף לגנוב את הנתונים או להפוך אותם לבלתי זמינים כאשר אתה זקוק להם. קרא ב"כביש משי "לדוגמאות לאובדן חוזר ונשנה של מידע אישי.

פיתרון טוב יותר יהיה מכשיר חומרה שאתה נושא איתך, כמו מקל USB זעיר, שיש בו תוכנה פשוטה לאחסן ולהצפין את המידע שלך, כמו גם לאחזר אותו כשאתה מחבר אותו למחשב או Mac. באופן אידיאלי יהיה בו Bluetooth כדי שניתן יהיה לגשת אליו בטלפון הנייד שלך. ייתכן שיהיה צורך בסוללה זעירה בשביל זה. ואם אתה לא נמצא ליד שום מחשב / טלפון נייד ואתה עדיין זקוק לגישה לנתונים המאוחסנים, אז אולי זה יגיע עם מסך LCD קטן, כמו אותם פובלי מפתח אבטחה של RSA - תצוגה קטנה שיכולה להשתמש בה כדי לגשת למידע. כל העניין לא צריך להיות גדול מכרטיס אשראי, או מצית זיפו. והוא יכול גם להיות בעל כרטיס מיקרו SD נשלף שיכול להכיל גיבוי של כל המידע שלך (מוצפן כמובן), כך שלא תסבול מאובדן נתונים מוחלט אם איבדת את המכשיר הפיזי.

כלומר לדעתי הפיתרון הטוב ביותר. (1) נגישים בכל מקום עם או בלי גישה למחשב ולאינטרנט (2) נתונים המאוחסנים באופן מקומי לחלוטין ללא צדדים שלישיים בשום מקום כדי להוות סיכון ותלות ביטחוניים.

גישה אחרת היא דוא"ל. לרובנו יש מיילים של Yahoo או Google או דוא"ל מקוון אחר. ויש לנו אלפי מיילים המאוחסנים בשרתי yahoo המכילים טונות של מידע אישי, כולל כתובות, מספרי טלפון, פרטי חשבון ואפילו סיסמאות. ממש שם יש מאגר עצום של מידע אישי, הוא מקוון, הוא זמין במחשב האישי של כל אחד באמצעות דפדפן פשוט, אפילו בסמארטפון שלך. ולנתונים הרגישים ביותר תוכל לתכנן שיטת הצפנה אישית, כך שלמרות שהדוא"ל הוא טקסט ברור, הנתונים מוצפנים איכשהו, רק ידועים לך.

מצאתי ש- OSX Keychain הוא מקום אידיאלי לשמור סיסמאות ומידע קשור. ביתר שאת עם שילוב ה- IOS & החדש של iCloud. מבחינתי זהו מאזן מקובל של נוחות, זמינות ובטיחות.

אני מאחל שאפל תהיה שקופה יותר בנוגע לפעולות הפנימיות כדי שלא אצטרך לבסס את הערכותי לחלוטין על הנדסה הפוכה של צד שלישי; אבל אז שוב, הייתי מרגיש באותה צורה אם המידע היחיד הזמין היה גם מאפל.

אני חושב שישנן שיטות קלות יותר לפריצה לסיסמאות שלך מאשר לנסות להפר את ההצפנה של LastPass. למשל רישום מקלדת. אם אתה באמת חושב שהתעודות שלך בסכנה או נפרצות, עליך להשתמש במחשב לינוקס נקי. בחר סיסמה ממש קשה (24 תווים?).