Менеджеры паролей генерируют и запоминают случайные наборы строчных и прописных букв, цифр и символов. Пароли находятся в «хранилище», которое защищено мастер-паролем, созданным пользователем. Но действительно ли безопасно хранить все свои пароли в одном месте? И что будет, если хакеры взломают сам менеджер паролей, как уже случалось с LastPass и 1Login?
Поскольку менеджеры паролей содержат много ценной информации (наряду с паролями в них хранятся личные данные для форм автозаполнения, номера кредитных карт и т. д.), они часто становятся целью хакеров. При этом эксперты по безопасности согласны с тем, что использовать менеджер паролей намного безопаснее, чем записывать коды в Google Документах, но есть уязвимости, о которых следует знать.
Многие популярные облачные менеджеры паролей (Dashlane, LastPass, Sticky Password и другие) используют протоколы безопасности с нулевым разглашением. Это означает, что мастер-пароли защищены с помощью ключа шифрования, который хранится только на устройствах пользователей, а значит, самой компании эти пароли неизвестны. Это шифрование включает тысячи раундов хеширования аутентификации, в которых алгоритм преобразует пароль в более длинную строку, что затрудняет взлом искомого кода хакерами.
Надежное шифрование означает, что в случае взлома даже открытые мастер-пароли не должны быть скомпрометированы, но может быть раскрыта другая конфиденциальная информация, которая позволит злоумышленникам взломать учетные записи пользователей
Например, когда в 2015 году был взломан LastPass, мастер-пароли и зашифрованные хранилища не были раскрыты, зато были украдены адреса электронной почты и подсказки для паролей. Эти данные могут использоваться для целевых атак, таких как фишинг.
Почти все менеджеры паролей включают расширение браузера, которое умеет автоматически заполнять логины и генерировать пароли на новых сайтах, но эта функция также подразумевает другой, менее безопасный вход для злоумышленников, что позволяет им взломать ваше хранилище паролей. Исследования безопасности обнаружили несколько серьезных ошибок в популярных менеджерах паролей, которые делают их уязвимыми для таких атак. Таким образом, посещение веб-сайта, содержащего вредоносное ПО, при использовании расширения браузера для диспетчера паролей может привести к краже данных.
Ситуация с безопасностью паролей может показаться довольно мрачной. Хотя невозможно полностью застраховаться от самых сложных угроз, выбор подходящего стороннего менеджера паролей поможет пользователям защитить свои учетные данные от большинства атак, с которыми они могут столкнуться.
- Что можно сделать, чтобы максимально обеспечить защиту своих учетных записей?
- Выберите менеджер паролей без функции восстановления мастер-пароля. Если злоумышленник может получить мастер-пароль с помощью инструментов восстановления учетной записи, это сделает бесполезными даже самые безопасные программы управления паролями.
- Используйте двухфакторную аутентификацию — она, как минимум, создает еще один уровень защиты между киберпреступником и вашими данными для входа в систему.
- Используйте надежные и уникальные пароли — подробнее об их создании читайте здесь.
- Регулярно обновляйте программное обеспечение. Загружайте обновления безопасности для своего диспетчера паролей, как только они станут доступны — часто они исправляют недавно обнаруженные уязвимости.
- Будьте осторожны при загрузке неизвестных вам расширений в браузере — случайно установленное вредоносное ПО может записывать нажатия клавиш или копировать логины.
Поделиться
