Är lösenordshanterare säkra att använda?

Du vet redan vikten av att använda starka lösenord och de hot du står inför om du inte gör det. För att verkställa starka lösenord använder många av oss lösenordshanterare. De ska hålla våra uppgifter säkra, men ibland kan alla ha en falsk känsla av säkerhet. Dessutom erbjuder inte alla lösenordshanterare samma säkerhetsnivå. Detta kan leda till att hackare använder brute force attacker och stjäl din identitet.

Är lösenordshanterare säkra att använda?

Är lösenordshanterare säkra att använda?

Lösenordshanterare och varför de används

Lösenordshanterare är appar, webbläsarutvidgningar eller verktyg som används för att lagra alla dina lösenord på ett säkert sätt. Dessa inkluderar de många lösenorden du skapar på många webbplatser som Amazon, Netflix eller YouTube när du registrerar dig. På samma sätt kanske du har skapat starka lösenord som är svåra att komma ihåg för din e-post, internetleverantör, ditt telefonföretag och andra.

Du kan spara alla dessa lösenord i appen och låsa det genom att skapa ett annat lösenord. För att få tillgång till alla dina inloggningsuppgifter behöver du bara den. Det är det lösenord du har för lösenordshanteraren. Öppna appen, välj lösenord för den tjänst du vill använda, kopiera och klistra in den. Vissa lösenordshanterare erbjuder ytterligare säkerhet med alternativ som tvåfaktorautentisering. Vissa erbjuder enkel åtkomst med automatisk fyllningsformulär där det automatiskt kommer in i inloggningsfälten för en tjänst eller webbplats.

Problem med lösenordshanterare

Även om det är sant att lösenordshanteringsappar visar sig ge dig mer bekvämlighet när du vill komma åt nätet, kan du inte ignorera de hot de utgör. Särskilt när du använder en webbläsarutvidgning som är tillgänglig med din lösenordshanteringsapp är hoten enorma. Om du besöker en webbplats som kan infektera din enhet med skadlig programvara gör dina data sårbara för ett antal attacker som XSS (Cross-Site Scripting) eller CSRF (Cross-Site Request Forgery).

I förekommande fall är ett tidigare säkerhetsutnyttjande av LastPass, där den sårbara webbplatsen troligen skulle injiceras med ett spioneringsskript. Detta kan kontrollera din webbläsare för nämnda tillägg om du aktiverar det när du besöker webbplatsen. Ett meddelande identiskt med det för LastPass skulle visas på sidan som berättar att din session har gått ut och att du måste logga in igen. Om du klickar på den länk som visas skulle den ta dig till en phishing-webbplats som liknar inloggningssidan för LastPass.

När du loggar in kontrollerar den skadliga webbplatsen med LastPass API och bekräftar dina referenser. Om de är korrekta kommer webbplatsen att be dig om att ange tvåfaktorsautentiseringstoken. Om du kontrollerar med LastPass API igen, skickar webbplatsen dina uppgifter till hackarens server omedelbart. Men om inloggningsinformationen visar sig vara fel, skriptet på webbplatsen laddar ett felmeddelande och begär att du försöker igen.

Andra tidigare säkerhetsfrågor av Lastpass överlämnar hackarna fullständig åtkomst till sina interna privilegierade RPC-kommandon och kör kod. Hacker kan också åsidosätta legitima meddelanden och skapa liknande nätfiskeattacker.

Det osäkra Internet

Exemplet ovan är inte det enda problemet med webbläsarbaserade lösenordshanterare som kom fram. Enligt Network World, Keeper, 1Password och Dashlane har också upplevt säkerhetsproblem.

En tidigare säkerhetsproblem i Keeper var att tillägget sprutade in sitt betrodda användargränssnitt på en otillförlitlig webbplats. Detta lämnade det öppet för attacker som CSRF, XSS och andra. En universell säkerhetsproblem i XSS upplevdes av Dashlane, vilket skulle låta webbplatserna attackera varandra med XSS-utnyttjande och kompromissa med cookies, inloggningsuppgifter och annan användardata. Tidigare 1Password-säkerhetsproblem ledde till att inaktivera den lokala säkerhetsmodellen, virtualisering och sandlåda bland andra funktioner.

Dessa frågor är bara tips om isberg

Med varje dag hittar hackare smartare sätt att attackera och nätfiskplatserna blir bättre på att inte kunna upptäckas. Vi har sett att flera lösenordshanterare har sin funktion för automatisk fyllning aktiverad. Enligt Wired är det största säkerhetsproblemet att fylla in inloggningsformuläret på en webbsida med dina sparade referenser. Enligt Center for Information Technology Policy på Princeton är hackare som utnyttjar dessa långvariga sårbarheter i webbläsarförlängningar på lösenordshanterare bara början.

Hackers avancerade skript kan spåra den här funktionen för automatisk fyllning och stjäla dina inloggningsuppgifter. Även om siffrorna visar att sådana attacker inträffade på bara tusen sajter hittills, kan vi vara säkra på att de bara går ihop. När du upptäcker ett säkerhetsbrott kan du ändra ditt lösenord. Men med dessa sårbarheter kommer din användarinformation att stulas utan din vetskap. Lösenordshanterare kan inte rädda dig när detta inträffar.

Skydda dina lösenord

Så kommer inte webbplatserna att meddela dig om de har hackats? Om denna fråga tänker på dig, måste du veta att det har förekommit många fall där webbplatser inte gjorde något för att hålla sina användare informerade. Även när stora företag som Yahoo! och Uber hade ett dataöverträdelse, användarna meddelades inte. Därför, även om du litar på en säker lösenordshanterare, förstår att dina uppgifter inte kan vara säkra från webbplatser eller företag som inte har rätt säkerhet på sina webbplatser.

Folkets åsikt om lösenordshanterare

Det finns många som inte håller med om att lösenordshanterare är säkra. Låt oss till exempel se yttrandet från Dave, som är programmerare på ett programvaruföretag, anser att ”Att använda en lokal lösenordshanterare är bättre eftersom en molnbaserad tjänst enkelt kan hackas. Det är också vettigt att använda en lösenordshanteringsklient om du behöver spara hundratals inloggningsuppgifter, som jag, för affärsändamål. ”

Men detta är inte heller ett säkert sätt, enligt Matt, som är en revisor. Han säger att han gillar att vara beroende av sitt eget minne istället för att lita på någon enhet för att spara sina värdefulla lösenord. Enligt honom är alla enheter sårbara och uppgifterna kan stulas av någon som har fysisk tillgång till dina enheter.

En liknande uppfattning uttrycks av Rosie, en student, som tror, ​​”Jag har en vana att spara mina lösenord i ett skyddat kalkylblad på MS Excel. Jag använder en lösenfras på över 20 tecken, vilket jag är säker på är ganska svårt att knäcka. Jag litar inte på varken molnbaserad eller lokal enhetslagring mer än mitt eget minne för att säkra min mest känsliga information. ”  

Ska du använda en lösenordshanterare?

Nu när du vet om alla möjliga säkerhetsproblem i lösenordshanterare, bör du sluta använda ett? Faktum är att om du har fler antal konton är det bättre att använda ett eftersom du får ett extra lager av säkerhet. Det är mycket bättre än att inte ha någon alls; att inte spara dem innebär mycket större risker än att ha en. Men se till att du använder en säker lösenordshanterare och att den ofta uppdaterar sin säkerhet mot brute force attacker.   

Hursomhelst, använd aldrig webbläsarutvidgningar eller inbyggda webbläsarappar för lösenordshantering, som den du får med Chrome. Istället för det, använd alla skrivbordsbaserade alternativ eftersom de erbjuder mest säkerhet och funktion för automatisk fyllningsfunktion. Som säkerhetskopia kan du också spara dina lösenord på en krypterad enhet eller fil.