iPon Hírek

Nem biztonságosak a webes jelszókezelő szolgáltatások

Dátum | 2014. 07. 15.
Szerző | J.o.k.e.r
Csoport | SZOFTVER

Nemrégiben, amikor a Heartbleed bug napvilágot látott, a felhasználóknak rengeteg weboldalon kellett jelszót változtatniuk annak érdekében, hogy a biztonsági rés befoltozása után maximálisan biztonságban lehessenek. A jelszócsere sokak számára komoly problémát jelentett, ugyanis egy, vagy akár több tucatnyi weboldalhoz tartozó jelszót megjegyezni elég nehéz, már ha az ember megfogadja azt a tanácsot, hogy ne használja minden weboldalon ugyanazt a jelszót. Sokan ezért webes jelszómenedzselő szolgáltatások segítségét vették igénybe, ami nagyfokú kényelmet biztosít, viszont egy friss tanulmány szerint azok, akik így jártak el, cseberből vederbe csöppentek. Az UC Berkley kutatócsoportjának korábbi vizsgálatai alapján ezek a webes jelszómenedzselő szolgáltatások több sebből véreznek, így a segítségükkel eltárolt jelszavak abszolút nincsenek biztonságban. A kutatócsoport tagjai öt webes jelszókezelő szolgáltatást vettek górcső alá – ezek között a LastPass, a RoboForm, a NeedMyPassword, a My1Lohin és a PasswordBox szerepelt. Rossz hír, hogy a felsorolt szolgáltatások mindegyike sebezhető volt, azaz esetükben legalább egy hatásos támadásfajtát találtak a kutatók (cross-site scripting, phishing, könyvjelző alapú támadhatóság, stb...). A vizsgálat során az öt szereplő közül nem sikerült győztest kikiáltani, ugyanis egyik pont ugyanolyan sebezhető volt, mint a másik. A kutatók a vizsgálat eredményeit megosztották a szóban forgó szolgáltatások üzemeltetőivel, így azoknak lehetőségük volt a hiba javítására még azelőtt, hogy a kutatás eredményeit publikálták volna. A lehetőséggel szerencsére az érintettek többsége élt is. Egyetlen kivétel a NeedMyPassword volt, amelynek tulajdonosai nem reagáltak a megkeresésekre – még azután sem, hogy a kutatás eredményeit publikálták. Maga a vizsgálat egyébként közel egy éve zajlott le. A kutatócsoport szakemberei kiemelik, vizsgálódásuk során nem voltak maximálisan alaposak, így könnyen lehet, hogy a fent említett szolgáltatások még tartalmaznak kritikus hibákat. A webböngészőn kívül futó alkalmazások – mint például a 1Password, a KeePass vagy a Password Safe– valamivel biztonságosabbak lehetnek, de nem szabad elfelejteni, 100%-osan hibamentes szoftver nincs. Ha felhő alapú szolgáltatást használunk, szintén érdemes odafigyelni, ugyanis a felhő által nyújtott kényelem további biztonsági kockázatokat jelenthet.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

8. Szefmester
2014.07.15. 16:37
Jééé.. a páragombócban tárolni adatokat és jelszavak veszélyes? Hűűű... az év újdonsága....
 
Válasz írásához előbb jelentkezz be!
7. freyr
2014.07.15. 17:26
Kutatás kell ahhoz, hogy kimutassák nem biztonságosak a webes jelszókezelők? Mint amikor diplomás kutatók megállapították, hogy a nagyvárosi kacsák általában hangosabban hápognak a falusiaknál.
 
Válasz írásához előbb jelentkezz be!
6. harvy666
2014.07.15. 18:43
de akkor mik a biztonsagosak? Én pl a Keepass2-ben bízok (az ugyebar offline+ van secure desktop es )
 
Válasz írásához előbb jelentkezz be!
5. jamborka
2014.07.15. 19:30
nem kell jelszó menedzselő és nincs probléma...
 
Válasz írásához előbb jelentkezz be!
4. psziroot
2014.07.15. 20:31
Forrás?
Minden védelem annyira erős, mint a leggyengébb pontja.
Lastpass-t használok, de az itt konkrétan nem említett 2 feltárt sebezhetőséghez kapcsolódó funkció egyikét sem használtam még, bár az itt olvashatóak alapján tán már be is foltozták ezeket a réseket..
Önmagában nem elég szerintem sem. Ahol lehet két faktoros azonosítással helyezzük felhős adatainkat biztonságba.
 
Válasz írásához előbb jelentkezz be!
3. Csimbee
2014.07.16. 10:25
Sosem értettem miért van szükség ilyen programokra / szolgáltatásokra.
Igazából ezeknél még az is biztonságosabb, ha egy cetlire leirod az összeset, és mindig magadnál tartod. (persze ha nem hagyod el, és az asszony nem mossa ki...)
A felhő meg a legnagyobb beetetés a világon. Gyakorlatilag az első (vagy az utolsó?) lépés az informatikai központosítás felé. Az emberek önként és dalolva pakolják az adataiaikat egy központilag elérhető helyre, ahol aztán bárki hozzáférhet. (ezalatt értsd: kormányszervek, piac és egyéb kutató és reklámcégek, hackerek)
Ráadául még céges szinten is zaklatnak minket... még az ötlet is abszúrd, hogy egy cég a kényes és fontos adatait, dokumentumait egy ilyen helyen tárolja. (pláne, hogy szinte minden nagyobb céggel titoktartási szerződésünk van)

Nah kissé elkanyarodtam, de azt hiszem átjön, mire akartam kilyukadni
 
Válasz írásához előbb jelentkezz be!
2. Szefmester harvy...
2014.07.16. 13:04
Én is pl a cetli+memória kombóra esküszöm.
Persze ekkor előfordul pár olyan szitu hogy idegen helyen nehezen jut eszembe az adott helyre a jelszó mert nincs nálam a cetli, de max nem lépek be. És ekkor még még nem is kiemelten fontos és biztonságos helyekről beszélünk...
 
Válasz írásához előbb jelentkezz be!
1. jamborka
2014.07.16. 15:56
Egyébként a legjobb megoldás szerintem az, hogy ugyan azt a jelszót használom mindenhová, csak más más shifteléssel.
 
Válasz írásához előbb jelentkezz be!