stringtranslate.com

Менеджер паролей

Менеджер паролей — это компьютерная программа, которая позволяет пользователям хранить и управлять своими паролями [1] для локальных приложений или онлайн-сервисов, таких как веб-приложения , интернет-магазины или социальные сети . [2] Веб-браузер обычно имеет встроенную версию менеджера паролей. Их часто критиковали, поскольку многие хранили пароли в открытом виде, что допускало попытки взлома.

Менеджеры паролей могут генерировать пароли [3] и заполнять онлайн-формы . [2] Менеджеры паролей могут существовать в виде сочетания компьютерных приложений , мобильных приложений или расширений веб-браузера . [4]

Менеджер паролей может помочь в создании паролей , хранении паролей, [1] [5] [6] обычно в зашифрованной базе данных . [7] [8] Помимо паролей, эти приложения могут также хранить такие данные, как данные кредитной карты, адреса и информацию о часто летающих пассажирах. [3]

Основная цель менеджеров паролей — смягчить явление кибербезопасности, известное как усталость паролей , когда конечный пользователь может оказаться перегруженным запоминанием нескольких паролей для нескольких служб и того, какой пароль для какой службы используется. [3]

Менеджеры паролей обычно требуют, чтобы пользователь создал и запомнил один «главный» пароль для разблокировки и доступа ко всей информации, хранящейся в приложении. [9] Менеджеры паролей могут интегрировать многофакторную аутентификацию [9] с помощью отпечатков пальцев или программного обеспечения для распознавания лиц . [10] Хотя для использования приложения/расширения браузера это не требуется.

Менеджеры паролей можно установить на компьютер или мобильное устройство в виде приложения или расширения для браузера . [5]

История

Первым программным обеспечением-менеджером паролей, предназначенным для безопасного хранения паролей, был Password Safe , созданный Брюсом Шнайером , который был выпущен как бесплатная утилита 5 сентября 1997 года. [11] Разработанный для Microsoft Windows 95 , Password Safe использовал алгоритм Blowfish Шнайера для шифрования паролей и другие конфиденциальные данные. Хотя Password Safe был выпущен как бесплатная утилита, из-за действовавших в то время в США ограничений на экспорт криптографии первоначально ее разрешалось загружать только гражданам и постоянным жителям США и Канады. [11] Поскольку Google Chrome стал наиболее часто используемым браузером, по состоянию на декабрь 2023 года встроенный менеджер паролей Google стал наиболее часто используемым менеджером паролей.

Критика

Уязвимости

Некоторые приложения хранят пароли в незашифрованном файле, что делает пароли легко доступными для вредоносных программ или людей, пытающихся украсть личную информацию.

Некоторым менеджерам паролей требуется выбранный пользователем главный пароль или парольная фраза для формирования ключа , используемого для шифрования паролей, хранящихся для чтения приложением. Безопасность этого подхода зависит от надежности выбранного пароля (который может быть угадан с помощью вредоносного ПО), а также от того, что сама фраза-пароль никогда не хранится локально, где ее может прочитать вредоносная программа или человек. Скомпрометированный мастер-пароль делает все защищенные пароли уязвимыми, а это означает, что одна точка входа может поставить под угрозу конфиденциальность конфиденциальной информации.

Как и в случае с методами аутентификации пароля, для подбора или копирования «главного пароля» можно использовать регистрацию ключей или акустический криптоанализ . Некоторые менеджеры паролей пытаются использовать виртуальные клавиатуры, чтобы снизить этот риск, хотя это по-прежнему уязвимо для кейлоггеров, которые фиксируют нажатия клавиш и отправляют информацию о том, какая клавиша была нажата, человеку/людям, пытающимся получить доступ к конфиденциальной информации.

Некоторые менеджеры паролей могут включать в себя генератор паролей . Сгенерированные пароли можно угадать, если менеджер паролей использует слабый метод случайной генерации «начального числа», из которого все пароли генерируются этой программой. Или, как в случае с LastPass , [12] методы, используемые для генерации паролей, могут оказаться скомпрометированными, в результате чего пароли, сгенерированные приложением, будет легче угадать.

Кроме того, менеджеры паролей имеют тот недостаток, что любому потенциальному злоумышленнику или вредоносному ПО достаточно будет знать один пароль, чтобы получить доступ ко всем паролям пользователя, и что такие менеджеры имеют стандартизированные места и способы хранения паролей, которые могут быть использованы вредоносным ПО. [13] Это известно как единая точка отказа .

Блокировка менеджеров паролей

Различные известные веб-сайты пытались заблокировать менеджеры паролей, но часто отступали, когда их публично оспаривали. [14] [15] [16] В качестве причин упоминались защита от автоматических атак , защита от фишинга , блокировка вредоносного ПО или просто отказ в совместимости. Программное обеспечение безопасности клиента Trusteer от IBM имеет явные возможности для блокировки менеджеров паролей. [17] [18]

Такая блокировка подверглась критике со стороны специалистов по информационной безопасности как снижение безопасности пользователей. [16] [18] Типичная реализация блокировки включает установку autocomplete='off'соответствующего пароля в веб-форме . Следовательно, эта опция теперь игнорируется на зашифрованных сайтах , [19] Firefox 38, [20] Chrome 34, [21] и в Safari начиная с версии 7.0.2. [22]

В статье 2014 года исследователя из Университета Карнеги-Меллон было обнаружено, что, хотя браузеры отказываются выполнять автозаполнение, если протокол на текущей странице входа отличается от протокола на момент сохранения пароля, некоторые менеджеры паролей могут небезопасно заполнять пароли для незащищенных пользователей ( HTTP ) версия зашифрованных ( HTTPS ) паролей сайта. Большинство менеджеров не защитили себя от атак на основе iframe и перенаправления и предоставили дополнительные пароли в тех случаях, когда между несколькими устройствами использовалась синхронизация паролей . [19]

Смотрите также

Рекомендации

  1. ^ Аб Вашке, Марвин (2017). Личная кибербезопасность: как избежать киберпреступности и оправиться от нее. Беллингем, Вашингтон: Апресс . п. 198. дои : 10.1007/978-1-4842-2430-4. ISBN 978-1-4842-2430-4. ОСЛК  968706017.
  2. ^ ab «Что такое менеджер паролей? - Определение из Techopedia». Techopedia.com . Проверено 14 декабря 2022 г.
  3. ^ abc «Что такое менеджер паролей? Объясняющее руководство 2022 года». Tech.co. _ Проверено 14 декабря 2022 г.
  4. ^ «Определение менеджера паролей». ПКМАГ . Проверено 14 декабря 2022 г.
  5. ^ Аб Зейтц, Тобиас (2018). Поддержка пользователей при аутентификации по паролю с помощью убедительного дизайна (PDF) (Диссертация). Людвиг-Максимилианс-Мюнхенский университет. дои : 10.5282/edoc.22619.
  6. ^ Университет Карнеги-Меллон. «Менеджеры паролей – Управление информационной безопасности – Вычислительные услуги – Университет Карнеги-Меллон». www.cmu.edu . Проверено 14 декабря 2022 г.
  7. ^ Прайс, Роб (22 февраля 2017 г.). «Менеджеры паролей — это важный способ защитить себя от хакеров. Вот как они работают». Бизнес-инсайдер . Архивировано из оригинала 27 февраля 2017 г. Проверено 29 апреля 2017 г.
  8. ^ Мохаммадинодушан, Мохаммед; Камбу, Бертран; Филабаум, Кристофер Роберт; Дуань, Нан (2021). «Отказоустойчивый менеджер паролей с использованием физических неклонируемых функций». Доступ IEEE . 9 : 17060–17070. дои : 10.1109/ACCESS.2021.3053307 . ISSN  2169-3536.
  9. ^ ab «Лучшие менеджеры паролей для Mac — Безопасность». Tech.co. _ Проверено 14 декабря 2022 г.
  10. ^ «Лучший менеджер паролей для iPhone 2022» . Tech.co. _ Проверено 14 декабря 2022 г.
  11. ^ ab «Системы Counterpane обеспечивают безопасность Blowfish для базы данных паролей». Системы столешниц . Архивировано из оригинала 19 января 1998 г. Проверено 24 июня 2023 г.
  12. Тубба, Карим (1 марта 2023 г.). «Обновление об инцидентах безопасности и рекомендуемые действия». Блог LastPass . Проверено 13 мая 2023 г. .
  13. ^ «Плюсы и минусы менеджеров паролей» . Люмен . 13 мая 2017 г. Проверено 25 января 2021 г.
  14. Мик, Райт (16 июля 2015 г.). «British Gas намеренно взламывает менеджеры паролей, и эксперты по безопасности потрясены» . Проверено 26 июля 2015 г.
  15. Рив, Том (15 июля 2015 г.). «British Gas подчиняется критике по поводу блокировки менеджеров паролей» . Проверено 26 июля 2015 г.
  16. ↑ Аб Кокс, Джозеф (26 июля 2015 г.). «Веб-сайты, пожалуйста, прекратите блокировать менеджеры паролей. На дворе 2015 год» . Проверено 26 июля 2015 г.
  17. ^ «Менеджер паролей» . Проверено 26 июля 2015 г.
  18. ^ аб Хант, Трой (15 мая 2014 г.). «Эффект Кобры», который отключает вставку в поля пароля» . Проверено 26 июля 2015 г.
  19. ^ ab «Менеджеры паролей: атаки и защита» (PDF) . Проверено 26 июля 2015 г.
  20. ^ «Firefox в Windows 8.1 автоматически заполняет поле пароля, когда автозаполнение отключено» . Проверено 26 июля 2015 г.
  21. Шарвуд, Саймон (9 апреля 2014 г.). «В версии 34 Chrome позволяет получать новый пароль» . Проверено 26 июля 2015 г.
  22. ^ "Re: 7.0.2: Autocomplete="off" все еще не работает" . Проверено 26 июля 2015 г.

Внешние ссылки