stringtranslate.com

Менеджер паролей

Менеджер паролей — это компьютерная программа, которая позволяет пользователям хранить и управлять своими паролями [1] для локальных приложений или онлайн-сервисов, таких как веб-приложения , онлайн-магазины или социальные сети . [2] Веб-браузер обычно имеет встроенную версию менеджера паролей. Они часто подвергались критике, поскольку многие хранили пароли в открытом виде, что позволяло попытки взлома.

Менеджеры паролей могут генерировать пароли [3] и заполнять онлайн-формы . [2] Менеджеры паролей могут существовать как смесь: компьютерных приложений , мобильных приложений или расширений веб-браузера . [4]

Менеджер паролей может помочь в генерации паролей , хранении паролей, [1] [5] [6] как правило, в зашифрованной базе данных . [7] [8] Помимо паролей, эти приложения могут также хранить такие данные, как данные кредитной карты, адреса и информацию о часто летающих пассажирах. [3]

Основная цель менеджеров паролей — смягчить явление кибербезопасности , известное как « усталость от паролей» , когда конечный пользователь может быть перегружен необходимостью запоминания множества паролей для различных служб и того, какой пароль используется для какой службы. [3]

Менеджеры паролей обычно требуют, чтобы пользователь создал и запомнил один «главный» пароль для разблокировки и доступа ко всей информации, хранящейся в приложении. [9] Менеджеры паролей могут выбрать интеграцию многофакторной аутентификации [9] с помощью отпечатков пальцев или с помощью программного обеспечения для распознавания лиц . [10] Хотя это не обязательно для использования расширения приложения/браузера.

История

Первым программным обеспечением для управления паролями, предназначенным для безопасного хранения паролей, был Password Safe , созданный Брюсом Шнайером , который был выпущен в качестве бесплатной утилиты 5 сентября 1997 года. [11] Разработанный для Microsoft Windows 95 , Password Safe использовал алгоритм Blowfish Шнайера для шифрования паролей и других конфиденциальных данных. Хотя Password Safe был выпущен в качестве бесплатной утилиты, из-за ограничений на экспорт криптографии в США , действовавших в то время, первоначально его могли загружать только граждане и постоянные жители США и Канады. [11] По состоянию на октябрь 2024 года встроенный Google Password Manager в Google Chrome стал наиболее используемым менеджером паролей.

Типы

Менеджеры паролей бывают разных форм, каждая из которых имеет свои преимущества и недостатки. Вот список наиболее распространенных типов: [12]

Браузерные менеджеры паролей
Они встроены непосредственно в веб-браузеры, такие как Chrome, Safari, Firefox и Edge. Они предлагают удобный доступ для базового управления паролями на устройстве, где используется браузер. Однако некоторые из них могут не иметь таких функций, как безопасная синхронизация между устройствами или надежное шифрование.
Локальные менеджеры паролей
Это автономные приложения, устанавливаемые на устройство пользователя. Они обеспечивают надежную защиту, поскольку пароли хранятся локально, но доступ может быть ограничен конкретным устройством. Популярные варианты с открытым исходным кодом включают KeepassXC , KeePass и Password Safe .
Облачные менеджеры паролей
Они хранят пароли в зашифрованном виде на удаленных серверах, обеспечивая доступ с поддерживаемых подключенных к Интернету устройств. Обычно они предлагают такие функции, как автоматическая синхронизация, безопасный обмен и надежное шифрование. Примерами являются 1Password , Bitwarden и Dashlane .
Корпоративные менеджеры паролей
Разработанные для предприятий, они обслуживают управление учетными данными доступа в пределах организации. Они интегрируются с существующими службами каталогов и системами контроля доступа, часто предлагая расширенные функции, такие как разрешения на основе ролей и управление привилегированным доступом. Ведущие поставщики включают CyberArk и Delinea (ранее Thycotic).
Аппаратные менеджеры паролей
Эти физические устройства, часто USB-ключи, обеспечивают дополнительный уровень безопасности для управления паролями. Некоторые из них функционируют как защищенные токены для доступа к учетной записи/базе данных, например Yubikey и OnlyKey , в то время как другие также предлагают автономное хранение паролей, например OnlyKey.

Уязвимости

Слабое хранилище

Некоторые приложения хранят пароли в незашифрованном файле, что делает их легкодоступными для вредоносных программ или людей, пытающихся украсть личную информацию.

Мастер-пароль как единая точка отказа

Некоторые менеджеры паролей требуют, чтобы выбранный пользователем мастер-пароль или парольная фраза сформировали ключ , используемый для шифрования паролей, сохраненных для чтения приложением. Безопасность этого подхода зависит от надежности выбранного пароля (который может быть угадан с помощью вредоносного ПО), а также от того, что сама парольная фраза никогда не хранится локально, где вредоносная программа или человек могли бы ее прочитать. Скомпрометированный мастер-пароль может сделать все защищенные пароли уязвимыми, что означает, что одна точка входа может поставить под угрозу конфиденциальность конфиденциальной информации. Это известно как единая точка отказа .

Зависимость безопасности устройства

Хотя менеджеры паролей обеспечивают надежную защиту учетных данных, их эффективность зависит от безопасности устройства пользователя. Если устройство скомпрометировано вредоносным ПО, таким как Raccoon, которое отлично справляется с кражей данных, защита менеджера паролей может быть сведена на нет. Вредоносное ПО, такое как кейлоггеры, может украсть главный пароль, используемый для доступа к менеджеру паролей, предоставляя полный доступ ко всем сохраненным учетным данным. Анализаторы буфера обмена могут перехватывать конфиденциальную информацию, скопированную из менеджера, а некоторые вредоносные программы могут даже украсть сам зашифрованный файл хранилища паролей. По сути, скомпрометированное устройство с вредоносным ПО для кражи паролей может обойти меры безопасности менеджера паролей, оставив сохраненные учетные данные уязвимыми. [13]

Как и в случае с методами аутентификации паролей, для угадывания или копирования «главного пароля» может использоваться регистрация нажатий клавиш или акустический криптоанализ . Некоторые менеджеры паролей пытаются использовать виртуальные клавиатуры , чтобы снизить этот риск, хотя это все еще уязвимо для клавиатурных шпионов [ требуется цитата ] , которые перехватывают нажатия клавиш и отправляют информацию о том, какая клавиша была нажата, человеку/людям, пытающимся получить доступ к конфиденциальной информации.

Облачное хранилище

Облачные менеджеры паролей предлагают централизованное место для хранения учетных данных для входа. Однако такой подход вызывает опасения по поводу безопасности. Одной из потенциальных уязвимостей является утечка данных в самом менеджере паролей. Если бы такое событие произошло, злоумышленники могли бы потенциально получить доступ к большому количеству учетных данных пользователей. Инцидент безопасности 2022 года с участием LastPass является примером этого риска. [13]

Безопасность генератора паролей

Некоторые менеджеры паролей могут включать генератор паролей. Сгенерированные пароли могут быть угадываемыми, если менеджер паролей использует слабый метод случайной генерации «семенного числа» , которое используется во всех паролях, сгенерированных этой программой. Существуют задокументированные случаи, например, с Kaspersky Password Manager в 2021 году, когда изъян в методе генерации паролей привел к предсказуемым паролям. [14] [15]

Другие

В статье 2014 года исследователей из Университета Карнеги-Меллона было обнаружено, что хотя браузеры отказываются автоматически заполнять пароли, если протокол страницы входа отличается от того, когда пароль был сохранен ( HTTP против HTTPS ), некоторые менеджеры паролей небезопасно заполняли пароли для незашифрованной (HTTP) версии сохраненных паролей для зашифрованных (HTTPS) сайтов. Кроме того, большинство менеджеров не имели защиты от атак на основе iframe и перенаправления , что потенциально раскрывало дополнительные пароли при использовании синхронизации паролей на нескольких устройствах. [16]

Блокировка менеджеров паролей

Различные известные веб-сайты пытались заблокировать менеджеры паролей, часто отступая, когда их публично оспаривают. [17] [18] [19] Приводимые причины включают защиту от автоматизированных атак , защиту от фишинга , блокировку вредоносного ПО или просто отрицание совместимости. Клиентское программное обеспечение безопасности Trusteer от IBM имеет явные опции для блокировки менеджеров паролей. [20] [21]

Такая блокировка подверглась критике со стороны специалистов по информационной безопасности, поскольку она делает пользователей менее защищенными. [19] [21] Типичная реализация блокировки включает установку autocomplete='off'соответствующего пароля в веб-форме . Эта опция теперь, следовательно, игнорируется на зашифрованных сайтах , [16] таких как Firefox 38, [22] Chrome 34, [23] и Safari примерно с 7.0.2. [24]

Смотрите также

Ссылки

  1. ^ ab Waschke, Marvin (2017). Личная кибербезопасность: как избежать и оправиться от киберпреступности. Bellingham, Washington: Apress . стр. 198. doi :10.1007/978-1-4842-2430-4. ISBN 978-1-4842-2430-4. OCLC  968706017.
  2. ^ ab "Что такое менеджер паролей? - Определение из Techopedia". Techopedia.com . Получено 14.12.2022 .
  3. ^ abc "Что такое менеджер паролей? 2022 Объясняющее руководство". Tech.co . Получено 2022-12-14 .
  4. ^ "Определение менеджера паролей". PCMAG . Получено 2022-12-14 .
  5. ^ Зейтц, Тобиас (2018). Поддержка пользователей при аутентификации по паролю с помощью убедительного дизайна (PDF) (Диссертация). Людвиг-Максимилианс-Мюнхенский университет. дои : 10.5282/edoc.22619.
  6. ^ "Менеджеры паролей - Управление информационной безопасности - Вычислительные службы". Университет Карнеги-Меллона . Получено 2024-07-07 .
  7. ^ Прайс, Роб (22.02.2017). «Менеджеры паролей — это важный способ защитить себя от хакеров. Вот как они работают». Business Insider . Архивировано из оригинала 27.02.2017 . Получено 29.04.2017 .
  8. ^ Мохаммадинодушан, Мохаммад; Камбу, Бертран; Филабаум, Кристофер Роберт; Дуан, Нан (2021). «Устойчивый менеджер паролей с использованием физических неклонируемых функций». IEEE Access . 9 : 17060–17070. doi : 10.1109/ACCESS.2021.3053307 . ISSN  2169-3536.
  9. ^ ab "Лучшие менеджеры паролей для Mac - Безопасность". Tech.co . Получено 14.12.2022 .
  10. ^ "Лучший менеджер паролей для iPhone 2022". Tech.co . Получено 14.12.2022 .
  11. ^ ab "Counterpane Systems привносит безопасность Blowfish в базу данных паролей". Counterpane Systems . Архивировано из оригинала 1998-01-19 . Получено 24 июня 2023 г.
  12. ^ Кернер, Шон Майкл (2023-05-02). "Что такое менеджер паролей?". Безопасность . Архивировано из оригинала 2024-02-01 . Получено 2024-04-01 .
  13. ^ ab Valiaugaitė, Inga (2022-07-13). "Безопасно ли использовать менеджеры паролей в 2024 году?". Cybernews . Архивировано из оригинала 2024-03-24 . Получено 2024-03-31 .
  14. ^ Клэберн, Томас (2021-07-06). «Генератор случайных паролей Kaspersky Password Manager был примерно таким же случайным, как ваши настенные часы». The Register . Архивировано из оригинала 2024-03-07 . Получено 2024-03-31 .
  15. ^ Arghire, Ionut (2021-07-07). "Kaspersky Password Manager сгенерировал пароли, которые можно было быстро взломать методом подбора". SecurityWeek . Архивировано из оригинала 2023-06-02 . Получено 2024-03-31 .
  16. ^ ab "Менеджеры паролей: атаки и защита" (PDF) . Получено 26 июля 2015 г.
  17. ^ Райт, Мик (16 июля 2015 г.). «British Gas намеренно взламывает менеджеры паролей, и эксперты по безопасности в ужасе». TNW . Получено 7 июля 2024 г.
  18. ^ Рив, Том (15 июля 2015 г.). «British Gas склоняется перед критикой из-за блокировки менеджеров паролей» . Получено 26 июля 2015 г.
  19. ^ ab Cox, Joseph (26 июля 2015 г.). «Веб-сайты, пожалуйста, прекратите блокировать менеджеры паролей. На дворе 2015 год» . Получено 26 июля 2015 г.
  20. ^ "Менеджер паролей" . Получено 26 июля 2015 г.
  21. ^ ab Hunt, Troy (15 мая 2014 г.). «Эффект «Кобры», который отключает вставку в полях пароля» . Получено 26 июля 2015 г.
  22. ^ "Firefox в Windows 8.1 автоматически заполняет поле пароля, когда автозаполнение отключено" . Получено 26 июля 2015 г.
  23. ^ Шарвуд, Саймон (9 апреля 2014 г.). "Chrome делает новый захват пароля в версии 34" . Получено 26 июля 2015 г.
  24. ^ "Re: 7.0.2: Autocomplete="off" все еще не работает" . Получено 26 июля 2015 г. .

Внешние ссылки