Studie Správce hesel ukazuje, že hesla mohou být vystavena útočníkům

• Kategorie: Bezpečnostní

Vyzkoušejte Náš Nástroj Pro Odstranění Problémů

Vyberte Operační Systém Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Vyberte Program Projekce (Volitelně) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Popište Svůj Problém

Získejte Odpověď

Pošlete Mi E -Mailem Zobrazit Na Webu

Použití správce hesel je jednou z mála možností, které musíte zajistit, aby byly všechny vaše online účty zabezpečeny bezpečnými, nemožnými uhodnutými hesly.

Hlavním důvodem je to, že většina uživatelů internetu považuje za nemožné zapamatovat si zabezpečená hesla pro desítky nebo dokonce stovky webových služeb, pokud nepoužívají jednoduchá základní pravidla nebo opakovaně používají stejné heslo.

Přestože webové prohlížeče jako Firefox nebo Google Chrome zpřístupňují velké množství správců hesel, obvykle jde o výběr správce hesel, který nabízí funkce, které od něj potřebujete.

Skutečná bezpečnost správce hesel, jak zachází s hesly, když je odesílá na servery a ne, není ve většině případů skutečně transparentní.

Nedávná studie „Správci hesel vystavující hesla všude“ Marc Blanchou a Paul Youn z Isecpartners analyzoval, jak správci hesel v prohlížeči pracují s webovými stránkami, když jsou aktivováni.

Vědci zkoumali LastPass, IPassword a MaskMe pro Chrome a Firefox a OneLastPass pro Chrome. Konkrétně zkoumali, kdy a jak tito správci hesel vyplnili informace o heslech.

Výsledek může být pro uživatele správců hesel překvapivý, ale u všech čtyř zkoumaných programů bylo zjištěno, že se tak či onak chová nepochopitelně.

HTTP vs HTTPS : Správce hesel MaskMe nerozlišuje mezi schématy HTTP a HTTPS, což znamená, že vyplní formulář hesla bez ohledu na schéma. Toto může být využito například útoky typu člověk-uprostřed.

Útočník „člověk uprostřed“, například ve veřejné bezdrátové síti, by mohl jednoduše přesměrovat oběti na falešné verze HTTP populárních webů pomocí přihlašovacích formulářů a JavaScriptu, které se automaticky odesílají poté, co jsou automaticky vyplněny MaskMe. Každý, kdo používá MaskMe s povoleným automatickým doplňováním (toto je výchozí chování), by mohl velmi rychle nechat ukrást svá hesla pouhým připojením ke škodlivému přístupovému bodu a oběti by to nikdy nepoznaly.

Odesílání hesel napříč původy : Bylo zjištěno, že LastPass, OneLastPass a MaskMe odesílají původy podle hesel. To znamená, že správci hesel, kterých se to týká, vyplní a odešlou ověřovací informace na webech, i když se adresa, na kterou jsou informace zaslány, liší od stránky, na které je uživatel umístěn.

Ignorovat subdomény: Všechny čtyři správce hesel zpracovávají subdomény rovné kořenové doméně. To znamená, že přihlašovací informace jsou vyplněny v kořenové doméně, ale také ve všech subdoménách stejného názvu domény.

Přihlašovací stránka : Všichni správci hesel zkoumaní ve studii neomezují své činnosti na přihlašovací stránku, kterou uživatel dříve používal. Pokud bylo pro doménové jméno uloženo přihlašovací jméno, budou se všechny přihlašovací formuláře na tomto doménovém jménu zpracovávat jako bez ohledu na to, zda byly dříve použity či nikoli.

Tyto praktiky, z nichž některé byly pro usnadnění manipulovány tímto způsobem, mohou uživatele vystavit riziku, protože útočníci mohou tyto problémy použít k odcizení informací o hesle.

Vědci naznačují, že uživatelé nevyužívají funkce automatického vyplňování a automatického přihlášení, které někteří správci hesel nabízejí. O výsledcích byly informovány všechny společnosti.