4 motivi per cui i gestori di password non sono sufficienti a mantenere le password sicure
Se hai faticosamente passato il fastidio di creare un gestore di password 7 Capi super intelligenti di Gestione password È necessario iniziare a utilizzare 7 Capi super intelligenti di Gestione password È necessario iniziare a utilizzare I gestori di password presentano molte funzioni eccezionali, ma lo sapevi di queste ? Ecco sette aspetti di un gestore di password che dovresti sfruttare. Per saperne di più, potresti pensare di essere al sicuro dagli occhi indiscreti di hacker e cyber-criminali.
Hai torto.
Sì, i gestori di password sono uno strumento prezioso nella battaglia in corso per tenersi al sicuro, ma non sono sicuri o a prova di idiota, né offrono una protezione sufficiente per conto proprio.
Ecco quattro motivi per cui i gestori di password non sono sufficienti per mantenere le password sicure da soli.
1. I gestori di password sono il Santo Graal per gli hacker
I gestori di password sono molto sicuri Stai facendo questi 6 errori di sicurezza di Password Manager? Stai facendo questi 6 errori di sicurezza di Password Manager? I gestori di password possono essere sicuri solo come vuoi che siano, e se stai facendo uno di questi sei errori di base, finirai per compromettere la tua sicurezza online. Leggi di più ? Sì. Dispongono di sistemi di crittografia e crittografia rigorosi Come i gestori di password mantengono le password sicure Come i gestori di password mantengono le password sicure Anche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti proteggono. Leggi di più ? Sì. Puoi affermare categoricamente che nessun hacker sarà in grado di rompere il sistema e accedere a milioni di password degli utenti al suo interno?
No.
Pensaci: i servizi di gestione password sono una prospettiva estremamente allettante per gli hacker. Se riuscissero a violare i muri esterni dei forzieri delle password, avrebbero accesso a una quantità incalcolabile di tesori. Continueranno a provare a intromettersi. È inevitabile.
Usiamo LastPass come esempio. I criminali informatici hanno attaccato i server due volte LastPass Got Hacked, Shenmue 3 Kickstarter, Final Fantasy 7 Remake e altro ... [Tech News Digest] LastPass Got Hacked, Shenmue 3 Kickstarter, Final Fantasy 7 Remake e altro ... [Tech News Digest] Cambia la tua password LastPass, fai partire Shenmue 3, rifai Final Fantasy 7, Xbox One gioca su Xbox 360, Netflix si rinnova e Conan interpreta Halo 5: Guardians. Leggi di più negli ultimi cinque anni. Ogni volta, la società era fermamente convinta che i suoi utenti dovevano solo cambiare la password principale per i loro account e che i vault delle password erano ancora al sicuro.
Ma gli hack dimostrano buchi di sicurezza esistono. È solo questione di tempo prima che una persona autorizzata possa accedere? Probabilmente.
2. Gli esperti dicono che i gestori di password hanno difetti gravi
Nel 2014, i ricercatori di sicurezza hanno scoperto LastPass, RoboForm, My1login, PasswordBox e NeedMyPassword avevano tutti diversi difetti di sicurezza pericolosi.
Il più preoccupante dei difetti ha permesso agli hacker di rubare le password in chiaro direttamente dagli utenti LastPass utilizzando il bookmarklet, senza che l'utente o la società fossero a conoscenza del fatto che qualcosa era sbagliato.
LastPass presentava inoltre un difetto per cui il codice dannoso su un sito Web poteva rubare l'intero deposito di password crittografato di un utente, a condizione che l'hacker conoscesse l'indirizzo email dell'utente.
RoboForm, My1login, PasswordBox e NeedMyPassword avevano tutti ugualmente gravi difetti, inclusa una scappatoia che permetteva agli aggressori di rubare il nome completo, il nome utente e qualsiasi URL su cui era stata inserita una password.
Per fortuna, i fornitori di servizi hanno corretto questi bug, ma sarebbe una follia credere che ora siano perfetti. Ci sono quasi certamente bug ancora da scoprire, in attesa che qualcuno li trovi.
L'adozione diffusa di gestori di password non sicuri potrebbe peggiorare le cose: aggiungere un nuovo point of failure non verificato all'ecosistema di autenticazione Web.
- Zhiwei Li, Warren He, Devdatta Akhawe e Dawn Song, autori di Nuovo manager delle password dell'imperatore: analisi della sicurezza dei gestori di password basati sul Web
In definitiva, ti stai fidando del gestore di password con alcuni dei tuoi dettagli più importanti. Mettere tutte le uova nello stesso cesto non è saggio.
3. Database cloud e database locali
Avrai notato che i cinque servizi che ho discusso sopra sono tutti basati sul web. Se si utilizza un gestore password localmente basato (come KeePass o 1Password), si prega di non cullarsi in un falso senso di sicurezza; lo studio ha esaminato solo le opzioni basate sul web.
C'è un argomento per suggerire che i manager locali sono intrinsecamente più sicuri dei gestori basati su cloud. È più difficile per un hacker ottenere l'accesso e più difficile rubare il database.
Ma non sono infallibili. Sappiamo tutti le minacce alla sicurezza che devono affrontare gli utenti desktop 5 Minacce alla sicurezza online che devi dire ai tuoi amici circa 5 minacce alla sicurezza online di cui hai bisogno di dirlo ai tuoi amici Sarebbe sorpreso di scoprire dove si trova ancora oggi tutto il malware. Non sono più solo computer medi, ma più probabilmente qualsiasi cosa con qualche tipo di dispositivo connesso, inclusi i giocattoli. Per saperne di più: keylogger, hacker in agguato su reti Wi-Fi pubbliche, malware senza fine e altro ancora. Se sei abbastanza sfortunato da trovarti sotto attacco, il tuo database di password salvato localmente potrebbe essere una delle prime cose che gli hacker rubano.
E se il tuo database venisse salvato sul tuo dispositivo mobile? Se perdi il tuo dispositivo, potrebbe facilmente finire nelle mani sbagliate. Sì, è crittografato, ma se hai configurato la tua app per avere solo bisogno di una password principale o di un'impronta digitale per accedere al database, la crittografia non valga molto la pena.
4. Le tue impostazioni potrebbero lasciarti vulnerabile
L'ho appena toccato brevemente. I gestori di password hanno molte impostazioni che puoi modificare; alcuni di essi rendono il servizio più sicuro 8 Semplici modi per potenziare la sicurezza di LastPass 8 semplici modi per potenziare la sicurezza di LastPass Potresti utilizzare LastPass per gestire le tue numerose password online, ma lo stai utilizzando correttamente? Ecco otto passaggi da eseguire per rendere il tuo account LastPass ancora più sicuro. Leggi di più . Tuttavia, molti di essi sono progettati per praticità, consentendo loro di renderti più vulnerabile.
Ad esempio, LastPass non ti chiederà automaticamente la password principale quando tenti di accedere alle credenziali di un utente nel tuo vault (Impostazioni> Impostazioni avanzate> Invia nuovamente la password master).
Inoltre, la maggior parte delle app mobili dei servizi consente di disabilitare l'autenticazione delle impronte digitali e / o delle password fino a 24 ore dopo ogni accesso riuscito. Non farlo Vorresti lasciare il tuo online banking loggato per 24 ore per risparmiare qualche clic?
E, naturalmente, fai attenzione a chi condividi le password con il servizio di condivisione integrato dei servizi - forse le loro impostazioni lasceranno esposti i tuoi account? Assicurati che i tuoi amici e familiari siano a conoscenza delle implicazioni sulla sicurezza.
Non prendere scorciatoie. Invece, dedica del tempo a lavorare con le impostazioni avanzate dei servizi e rendili il più robusti possibile.
Gestori di password: da utilizzare o da evitare?
I gestori di password sono migliori di quelli che memorizzano tutti i dettagli su un foglio di Excel o utilizzano le stesse credenziali per ciascun sito? Senza dubbio. Ma se sono sicuri come si vorrebbe credere è discutibile.
La maggior parte delle persone usa i servizi per convenienza tanto quanto per la sicurezza. Ma così facendo, ti stai potenzialmente compromettendo. Non ho intenzione di dirti di smettere di usarli, ma procedi con cautela. Ad esempio, forse dovresti dividere la tua password tra più gestori 5 Migliori alternative LastPass per gestire le tue password 5 Migliori alternative LastPass per gestire le tue password Molte persone considerano LastPass il re dei gestori di password; è ricco di funzionalità e vanta più utenti di qualsiasi altro concorrente - ma è lungi dall'essere l'unica opzione possibile! Leggi di più ?
E ricorda, la linea di fondo è che non c'è sostituzione per il tuo cervello. Se riesci a creare un codice forte che modifichi leggermente per ogni singolo accesso, avrai più sicurezza di quanto qualsiasi gestore di password possa offrire.
Ti fidi dei gestori di password? Fateci sapere nei commenti qui sotto.
Scopri di più su: Sicurezza online, Gestione delle password.