Несмотря на то, что я постоянно говорю о конфиденциальности данных, мои методы использования паролей, возможно, на самом деле не так уж и надежны. Нет, я не оставляю их лежать на стикерах, как будто мой офис — это всего лишь последний уровень иммерсивного симулятора, но недавнее исследование показывает, что облачные менеджеры паролей тоже не подходят.
Некоторые из этих сервисов рекламируют свое «шифрование с нулевым разглашением», настаивая на том, что никто, кроме вас, даже сам сервис, не может тайком взглянуть на содержимое вашего хранилища паролей — во всяком случае, теоретически. Согласно свежему исследованию группы исследователей безопасности из ETH Zurich и Universita della Svizzera Italiana, шифрование с нулевым разглашением на практике далеко не надежно (через Ars Technica).
Тщательно проанализировав или реверс-инжиниринг различных поставщиков, включая LastPass, Bitwarden и Dashlane, команда исследователей обнаружила «рог изобилия практических атак». В документе отмечается: «Вызывает тревогу тот факт, что большинство атак (разработанных командой безопасности) позволяют восстановить пароли — именно то, что менеджеры паролей призваны защищать».
Например, когда администратор общего хранилища паролей либо приглашает нового участника, либо пытается сбросить забытый код доступа участника, генерируется ряд «ключей». Эти ключи отправляются программному клиенту соответствующего участника. Клиент объединяет все эти ключи вместе и шифрует их локально перед отправкой обратно на сервер менеджера паролей.
Исследователи обнаружили, что полученный зашифрованный текст не всегда проверяется на целостность, а это означает, что злоумышленник может вмешаться, заменить один из ключей, отправленных клиенту, на один из своих собственных парных ключей, а затем использовать его для декодирования полученного зашифрованного текста. Это может позволить кому-то извлечь ключ общего хранилища, который затем можно будет использовать для восстановления учетной записи целевого члена общего хранилища. Манипулирование парами ключей также можно использовать для расшифровки и прямого изменения общих элементов в хранилище паролей.
Возвращаясь к случаю приглашения нового участника, отметим, что наиболее тревожным моментом в атаке на условное депонирование ключей является то, что злоумышленник может прорваться через хранилище участника, как только первоначальное приглашение присоединиться будет принято.
В статье команда углубляется в ряд других потенциальных атак, нацеленных как на обратную совместимость нескольких менеджеров паролей с поддержкой старых версий, так и на модель угроз, в которой сервер «полностью вредоносен, что означает, что он может произвольно отклоняться от ожидаемого поведения».
Команда обнаружила: «Несмотря на попытки поставщиков (зашифрованных хранилищ паролей) обеспечить безопасность в этой настройке, мы (обнаружили) несколько распространенных антишаблонов проектирования и криптографических заблуждений, которые привели к уязвимостям».
Короче говоря, либо сотрудник, работающий в выбранном вами менеджере паролей, либо злоумышленник, которому удалось проникнуть на его серверы, потенциально может получить больше, чем просто кучу ваших паролей. Тем не менее, я все еще сомневаюсь, что предложенная Motorola «таблетка паролей» когда-либо имела будущее, не говоря уже о попытках запомнить все ваши пароли в вашей собственной ошибочной голове.
Но даже с учетом выводов статьи, менеджеры паролей по-прежнему остаются лучшим способом хранения множества уникальных паролей, хотя существуют способы сохранить ваши данные в безопасности, не создавая при этом особых хлопот. Рекомендуется подключить вашу учетную запись восстановления к этим службам с использованием отдельного пароля, который не включен в хранилище менеджера паролей, а также вам следует настроить аутентификацию 2FA с помощью отдельной службы для работы с вашими кодами.
Лучшие игровые установки 2026 года
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.