Είναι ασφαλείς οι διαχειριστές κωδικών πρόσβασης;

Γνωρίζετε ήδη τη σημασία της χρήσης ισχυρών κωδικών πρόσβασης και των απειλών που αντιμετωπίζετε, εάν δεν το κάνετε. Για την επιβολή ισχυρών κωδικών πρόσβασης, πολλοί από εμάς χρησιμοποιούν διαχειριστές κωδικών πρόσβασης. Υποτίθεται ότι διατηρούν τα δεδομένα μας ασφαλή, αλλά μερικές φορές μπορεί να έχουν όλα είναι μια λανθασμένη αίσθηση ασφάλειας. Επιπλέον, δεν προσφέρουν όλοι οι διαχειριστές κωδικών πρόσβασης το ίδιο επίπεδο ασφάλειας. Αυτό μπορεί να οδηγήσει τους χάκερ να χρησιμοποιήσουν βίαιες επιθέσεις και να κλέψουν την ταυτότητά σας.


Είναι ασφαλείς οι διαχειριστές κωδικών πρόσβασης;

Είναι ασφαλείς οι διαχειριστές κωδικών πρόσβασης?

Διαχειριστές κωδικών πρόσβασης και γιατί χρησιμοποιούνται

Οι διαχειριστές κωδικών πρόσβασης είναι εφαρμογές, επεκτάσεις προγράμματος περιήγησης ή εργαλεία που χρησιμοποιούνται για την ασφαλή αποθήκευση όλων των κωδικών πρόσβασης. Σε αυτούς περιλαμβάνονται οι πολυάριθμοι κωδικοί πρόσβασης που δημιουργείτε σε πολλούς ιστότοπους όπως το Amazon, το Netflix ή το YouTube κατά την εγγραφή σας. Ομοίως, ενδέχεται να έχετε δημιουργήσει ισχυρούς κωδικούς πρόσβασης που είναι δύσκολο να θυμάστε για τα email σας, τον ISP, την εταιρεία τηλεφώνου σας και άλλους.

Μπορείτε να αποθηκεύσετε όλους αυτούς τους κωδικούς πρόσβασης στην εφαρμογή και να τον κλειδώσετε δημιουργώντας διαφορετικό κωδικό πρόσβασης. Βασικά, για να αποκτήσετε πρόσβαση σε όλα τα διαπιστευτήρια σύνδεσης, χρειάζεστε μόνο ένα. Αυτός είναι ο κωδικός πρόσβασης που έχετε για τον διαχειριστή κωδικών πρόσβασης. Ανοίξτε την εφαρμογή, επιλέξτε τον κωδικό πρόσβασης της υπηρεσίας που θέλετε να χρησιμοποιήσετε, αντιγράψτε και επικολλήστε την. Ορισμένοι διαχειριστές κωδικών πρόσβασης προσφέρουν επιπλέον ασφάλεια με επιλογές όπως έλεγχο ταυτότητας δύο παραγόντων. Ορισμένοι προσφέρουν ευκολία πρόσβασης με φόρμες αυτόματης συμπλήρωσης όπου εισέρχεται αυτόματα στα πεδία σύνδεσης μιας υπηρεσίας ή ενός ιστότοπου.

Ζητήματα με διαχειριστές κωδικών πρόσβασης

Ενώ είναι αλήθεια ότι οι εφαρμογές διαχείρισης κωδικού πρόσβασης αποδεικνύουν ότι σας δίνουν μεγαλύτερη ευκολία στην πρόσβαση στο δίκτυο, δεν μπορείτε να αγνοήσετε τις απειλές που θέτουν. Ειδικά όταν χρησιμοποιείτε μια επέκταση προγράμματος περιήγησης διαθέσιμη με την εφαρμογή διαχείρισης κωδικών πρόσβασης, οι απειλές είναι τεράστιες. Η επίσκεψη σε έναν ιστότοπο που μπορεί να μολύνει τη συσκευή σας με κακόβουλο λογισμικό καθιστά τα δεδομένα σας ευάλωτα σε διάφορες επιθέσεις όπως XSS (Cross-Site Scripting) ή CSRF (Cross-Site Request Forgery).

Το παράδειγμα είναι ένα προηγούμενο exploit ασφαλείας του LastPass, όπου ο ευάλωτος ιστότοπος ήταν πιθανό να εγχέεται σενάριο κατασκοπείας. Αυτό θα μπορούσε να ελέγξει το πρόγραμμα περιήγησής σας για την εν λόγω επέκταση εάν το ενεργοποιήσετε κατά την επίσκεψη στον ιστότοπο. Μια ειδοποίηση πανομοιότυπη με εκείνη του LastPass θα εμφανιστεί στη σελίδα που θα σας ενημερώνει ότι η συνεδρία σας έχει λήξει και πρέπει να συνδεθείτε ξανά. Αν κάνετε κλικ στον εμφανιζόμενο σύνδεσμο, θα σας μεταφέρει σε έναν ιστότοπο ηλεκτρονικού ψαρέματος (phishing) που μοιάζει με τη σελίδα σύνδεσης του LastPass.

Όταν συνδέεστε, ο κακόβουλος ιστότοπος ελέγχει με το API LastPass και επιβεβαιώνει τα διαπιστευτήριά σας. Εάν είναι σωστά, ο ιστότοπος θα σας ζητήσει να εισαγάγετε το διακριτικό ελέγχου ταυτότητας δύο παραγόντων. Εξετάζοντας ξανά το API LastPass, ο ιστότοπος στέλνει τα στοιχεία σας στον διακομιστή του εισβολέα αμέσως. Εάν όμως τα στοιχεία σύνδεσης διαπιστωθούν ότι είναι λανθασμένα, το σενάριο στον ιστότοπο θα φορτώσει ένα μήνυμα σφάλματος, ζητώντας σας να δοκιμάσετε ξανά.

Άλλα ζητήματα ασφαλείας του παρελθόντος της LastPass παραδίδουν στους χάκερ πλήρη πρόσβαση στις εσωτερικές προνομιακές εντολές RPC και εκτελούν κώδικα. Ο χάκερ θα μπορούσε επίσης να παρακάμψει νόμιμα μηνύματα και να δημιουργήσει παρόμοιες επιθέσεις ηλεκτρονικού ψαρέματος.

Το Ασφαλές Διαδίκτυο

Το παραπάνω παράδειγμα δεν είναι το μόνο ζήτημα των διαχειριστών κωδικών πρόσβασης που βασίζονται σε πρόγραμμα περιήγησης που ήρθε στο φως. Σύμφωνα με τον κόσμο του δικτύου, Keeper, 1Password και Dashlane έχουν επίσης αντιμετωπίσει ζητήματα ασφαλείας.

Ένα παρελθόν ευπάθεια ασφαλείας του Keeper ήταν ότι η επέκταση έδωσε το αξιόπιστο περιβάλλον εργασίας του σε έναν μη αξιόπιστο ιστότοπο. Αυτό το άφησε ανοιχτό σε επιθέσεις όπως το CSRF, το XSS και άλλα. Η Dashlane αντιμετώπισε μια καθολική ευπάθεια ασφάλειας XSS, η οποία θα επέτρεπε στους ιστότοπους να επιτεθούν ο ένας στον άλλο με εκμεταλλεύσεις XSS και να θέσουν σε κίνδυνο τα cookie, τα διαπιστευτήρια σύνδεσης και άλλα δεδομένα χρήστη. Τα προηγούμενα προβλήματα ασφαλείας με κωδικό πρόσβασης οδήγησαν στην απενεργοποίηση του τοπικού μοντέλου ασφαλείας, στην εικονικοποίηση και στο περιβάλλον δοκιμών.

Αυτά τα ζητήματα είναι απλώς συμβουλές του παγόβουνου

Με κάθε μέρα, οι χάκερ βρίσκουν εξυπνότερους τρόπους επίθεσης και οι ιστότοποι ηλεκτρονικού “ψαρέματος” (phishing) γίνονται καλύτεροι για να μην εντοπιστούν. Έχουμε δει ότι αρκετοί διαχειριστές κωδικών πρόσβασης έχουν ενεργοποιήσει τη δυνατότητα αυτόματης συμπλήρωσης. Σύμφωνα με την Wired, η συμπλήρωση της φόρμας σύνδεσης σε μια ιστοσελίδα με τα αποθηκευμένα διαπιστευτήριά σας είναι η μεγαλύτερη ευπάθεια ασφαλείας. Σύμφωνα με το Κέντρο Πολιτικής Πληροφορικής στο Princeton, οι χάκερ που εκμεταλλεύονται αυτές τις μακροχρόνιες ευπάθειες στις επεκτάσεις προγράμματος περιήγησης ιστού σε διαχειριστές κωδικών πρόσβασης είναι μόνο η αρχή.

Τα προηγμένα σενάρια των χάκερ μπορούν να παρακολουθήσουν αυτήν τη λειτουργία αυτόματης συμπλήρωσης και να κλέψουν τα διαπιστευτήρια σύνδεσής σας. Ενώ οι αριθμοί δείχνουν ότι τέτοιες επιθέσεις έχουν συμβεί μόνο σε χίλιους ιστότοπους μέχρι στιγμής, μπορούμε να είμαστε σίγουροι ότι προχωρούν μόνο. Όταν εντοπίσετε παραβίαση ασφαλείας, θα μπορούσατε να αλλάξετε τον κωδικό πρόσβασής σας. Ωστόσο, με αυτές τις ευπάθειες, τα στοιχεία χρήστη σας θα κλαπούν χωρίς να το γνωρίζετε. Οι διαχειριστές κωδικών πρόσβασης δεν θα μπορούν να σας σώσουν μόλις συμβεί αυτό.

Προστασία των κωδικών πρόσβασης

Λοιπόν, δεν θα σας ειδοποιήσουν οι ιστότοποι εάν έχουν παραβιαστεί; Εάν αυτή η ερώτηση είναι στο μυαλό σας, πρέπει να γνωρίζετε ότι υπήρξαν πολλές περιπτώσεις όπου οι ιστότοποι δεν έκαναν τίποτα για να ενημερώσουν τους χρήστες τους. Ακόμη και όταν μεγάλες εταιρείες όπως το Yahoo! και η Uber είχε παραβίαση δεδομένων, οι χρήστες δεν ενημερώθηκαν. Ως εκ τούτου, ακόμη και αν εμπιστεύεστε έναν ασφαλή διαχειριστή κωδικών πρόσβασης, κατανοήστε ότι τα δεδομένα σας δεν μπορούν να είναι ασφαλή από ιστότοπους ή εταιρείες που δεν διαθέτουν κατάλληλη ασφάλεια στους ιστότοπούς τους.

Η γνώμη των ατόμων σχετικά με τους διαχειριστές κωδικών πρόσβασης

Υπάρχουν πολλά άτομα που δεν συμφωνούν ότι οι διαχειριστές κωδικών πρόσβασης είναι ασφαλείς. Για παράδειγμα, ας δούμε τη γνώμη του Dave, ο οποίος είναι προγραμματιστής σε μια εταιρεία λογισμικού, πιστεύει ότι «Η χρήση ενός τοπικού διαχειριστή κωδικών πρόσβασης είναι καλύτερη καθώς μια υπηρεσία που βασίζεται σε σύννεφο μπορεί εύκολα να παραβιαστεί. Επίσης, είναι λογικό να χρησιμοποιείτε έναν πελάτη διαχείρισης κωδικού πρόσβασης εάν θέλετε να αποθηκεύσετε εκατοντάδες διαπιστευτήρια σύνδεσης, όπως εγώ, για επαγγελματικούς σκοπούς. “

Ωστόσο, αυτός δεν είναι ασφαλής τρόπος, σύμφωνα με τον Matt, ο οποίος είναι λογιστής. Λέει ότι του αρέσει να εξαρτάται από τη μνήμη του, αντί να εμπιστεύεται κάποια συσκευή για να αποθηκεύσει τους πολύτιμους κωδικούς πρόσβασης. Σύμφωνα με τον ίδιο, όλες οι συσκευές είναι ευάλωτες και τα δεδομένα θα μπορούσαν να κλαπούν από κάποιον που έχει φυσική πρόσβαση στις συσκευές σας.

Μια παρόμοια άποψη εκφράζεται από τη Rosie, μια φοιτήτρια, η οποία πιστεύει, «Έχω τη συνήθεια να αποθηκεύω τους κωδικούς μου σε ένα προστατευμένο φύλλο εργασίας στο MS Excel. Χρησιμοποιώ μια φράση πρόσβασης άνω των 20 χαρακτήρων, την οποία είμαι βέβαιος ότι είναι αρκετά δύσκολο να σπάσει. Δεν εμπιστεύομαι την αποθήκευση τοπικής συσκευής που βασίζεται σε σύννεφο ή περισσότερο από τη δική μου μνήμη για την προστασία των πιο ευαίσθητων πληροφοριών μου.  

Πρέπει να χρησιμοποιήσετε έναν Διαχειριστή κωδικών πρόσβασης?

Τώρα που γνωρίζετε για όλες τις πιθανές ευπάθειες ασφαλείας των διαχειριστών κωδικών πρόσβασης, θα πρέπει να σταματήσετε να χρησιμοποιείτε ένα; Το γεγονός είναι ότι εάν έχετε μεγαλύτερο αριθμό λογαριασμών, είναι καλύτερο να χρησιμοποιήσετε έναν αφού έχετε ένα επιπλέον επίπεδο ασφάλειας. Είναι πολύ καλύτερο από το να μην έχει καθόλου. Το να μην τα σώζεις ενέχει πολύ μεγαλύτερους κινδύνους από το να έχεις. Αλλά βεβαιωθείτε ότι χρησιμοποιείτε έναν ασφαλή διαχειριστή κωδικών πρόσβασης και ότι ενημερώνει συχνά την ασφάλειά του έναντι επιθέσεων ωμής βίας.   

Είτε έτσι είτε αλλιώς, μην χρησιμοποιείτε ποτέ επεκτάσεις προγράμματος περιήγησης ή ενσωματωμένες εφαρμογές προγράμματος περιήγησης για διαχείριση κωδικού πρόσβασης, όπως αυτή που λαμβάνετε με το Chrome. Αντί για αυτό, χρησιμοποιήστε οποιαδήποτε επιλογή που βασίζεται σε επιτραπέζιο υπολογιστή, καθώς προσφέρουν τη μεγαλύτερη ασφάλεια και τη σειρά της λειτουργίας αυτόματης συμπλήρωσης. Ως αντίγραφο ασφαλείας, μπορείτε επίσης να αποθηκεύσετε τους κωδικούς πρόσβασής σας σε μια κρυπτογραφημένη συσκευή ή αρχείο.