Դուք արդեն գիտեք ուժեղ գաղտնաբառերի օգտագործման կարևորությունը և ձեր դեմ սպառնալիքները, եթե չլինեք: Խիստ գաղտնաբառերը պարտադրելու համար մեզանից շատերը օգտագործում են գաղտնաբառի կառավարիչներ. Ենթադրվում է, որ նրանք պետք է ապահով պահեն մեր տվյալները, բայց երբեմն բոլորը կարող են ունենալ անվտանգության կեղծ զգացողություն. Ավելին, գաղտնաբառերի ոչ բոլոր ղեկավարներն են առաջարկում անվտանգության նույն մակարդակ: Սա կարող է հակերներին ստիպել օգտագործել դաժան ուժային գրոհներ և գողանալ ձեր ինքնությունը.

Գաղտնաբառի ղեկավարները անվտանգ են օգտագործման համար:

Գաղտնաբառի ղեկավարներն անվտանգ են օգտագործման համար?

Գաղտնաբառերի կառավարիչներ և ինչու են դրանք օգտագործվում

Գաղտնաբառերի կառավարիչները ծրագրեր են, զննարկիչի ընդարձակումներ կամ գործիքներ, որոնք օգտագործվում են ձեր բոլոր գաղտնաբառերն անվտանգ պահելու համար: Դրանք ներառում են բազմաթիվ գաղտնաբառեր, որոնք ստեղծում եք շատ կայքերում, ինչպիսիք են Amazon- ը, Netflix- ը կամ YouTube- ը, գրանցվելիս: Նմանապես, գուցե դուք ստեղծել եք գաղտնաբառեր, որոնք դժվար է հիշել ձեր էլփոստի, ISP- ի, ձեր հեռախոսի ընկերության և այլոց համար.

Կարող եք պահպանել բոլոր այս գաղտնաբառերը ծրագրում և կողպել այն ՝ ստեղծելով այլ գաղտնաբառ: Ըստ էության, ձեր բոլոր մուտքի հավատարմագրերը մուտք գործելու համար ձեզ հարկավոր է միայն մեկը: Դա գաղտնաբառն է, որը դուք ունեք գաղտնաբառի կառավարչի համար: Բացեք ծրագիրը, ընտրեք ծառայության ցանկությունը, որը ցանկանում եք օգտագործել, պատճենեք և տեղադրեք այն: Որոշ գաղտնաբառի ղեկավարներ առաջարկում են լրացուցիչ անվտանգություն `երկ գործոնով նույնականացման նման ընտրանքներով: Ոմանք առաջարկում են մուտքի հեշտությունը ավտոմատ լրացման ձևերով, երբ այն ինքնաբերաբար մտնում է ծառայության կամ կայքի մուտքի դաշտ.

Խնդիրներ գաղտնաբառի կառավարիչների հետ

Թեև ճիշտ է, որ գաղտնաբառի կառավարման ծրագրերը ապացուցում են, որ ձեզ ավելի շատ հարմարավետություն են տալիս ցանց մուտք գործելու համար, դուք չեք կարող անտեսել իրենց առաջ քաշած սպառնալիքները: Հատկապես այն դեպքում, երբ օգտագործում եք զննարկչի ընդլայնում, որը հասանելի է ձեր գաղտնաբառի կառավարիչի հավելվածով, սպառնալիքները հսկայական են: Այցելել կայք, որը կարող է վարակել ձեր սարքը չարամիտ ծրագրերով, ձեր տվյալները խոցելի է դարձնում մի շարք հարձակումների, ինչպիսիք են XSS- ը (լայնածավալ սկրիպտավորում) կամ CSRF (Cross-Site Request Forgery).

Խոսքը վերաբերում է անվտանգության LastPass- ի նախորդ նախորդ շահագործմանը, որտեղ, ըստ ամենայնի, խոցելի կայքին ներարկվում էր լրտեսական գրություն: Սա կարող է ստուգել ձեր դիտարկիչը նշված ընդլայնման համար, եթե այն միացնում եք կայքը այցելելիս: LastPass- ի նույնանուն ծանուցումը կցուցադրվի էջում, ասելով, որ ձեր նիստն ավարտվել է, և դուք պետք է կրկին մուտք գործեք: Եթե ​​կտտացրեք ցուցադրված հղումը, այն ձեզ կտանի դեպի ֆիշինգ կայք, որը նման է LastPass- ի մուտքի էջին.

Մուտք գործելիս վնասակար կայքը ստուգում է LastPass API- ն և հաստատում է ձեր հավատարմագրերը: Եթե ​​դրանք ճիշտ են, կայքը ձեզանից կպահանջի մուտքագրել երկու գործոն վավերացման նշան: LastPass API- ի հետ մեկ անգամ ևս ստուգելով ՝ կայքը ձեր տվյալներն անմիջապես ուղարկում է հաքերների սերվերին: Բայց եթե մուտքի մանրամասները պարզված են, որ սխալ են, կայքում գրվածքը կարող է բեռնել սխալի հաղորդագրություն ՝ խնդրելով ձեզ կրկին փորձել.

Անցյալ անվտանգության այլ խնդիրներ LastPass- ը հաքերներին հանձնում են ամբողջական մուտք դեպի իր ներքին արտոնյալ RPC հրամաններ և կատարում են ծածկագիր: Հաքերը կարող էր նաև գերակշռել օրինական հաղորդագրությունները և ստեղծել նմանատիպ գրոհային գրոհներ.

Անապահով ինտերնետ

Վերոնշյալ օրինակը բրաուզերի վրա հիմնված գաղտնաբառի կառավարիչների միակ խնդիրը չէ, որը լույս տեսավ: Համաձայն ցանցի աշխարհում, Keeper, 1Password և Dashlane նաև զգացել են անվտանգության խնդիրներ.

Keeper- ի անվտանգության խոցելի անցյալներից մեկն այն էր, որ ընդլայնումը ներկառուցեց իր վստահելի UI- ն ան վստահելի կայքի վրա: Սա այն բաց է թողել այնպիսի հարձակումների, ինչպիսիք են CSRF, XSS և այլն: Համընդհանուր XSS անվտանգության խոցելիությունը զգացել է Dashlane- ը, որը թույլ կտա կայքերին միմյանց վրա հարձակվել XSS- ի շահագործումներով և փոխզիջումների ենթարկել թխուկները, մուտքի հավատարմագրերը և օգտագործողի այլ տվյալներ: Անցյալ 1 բառի անվտանգության հետ կապված խնդիրները հանգեցրեցին տեղական անվտանգության մոդելի անջատմանը, վիրտուալացմանը և ավազաթաղանվին ի թիվս այլ հատկությունների.

Այս հարցերը սառցալեռնի պարզապես խորհուրդներ են

Ամեն օր հակերները հայտնաբերում են հարձակման ավելի խելամիտ եղանակներ, և ֆիշինգի կայքերը ավելի լավանում են, որպեսզի չբացահայտվեն: Մենք տեսանք, որ գաղտնաբառի մի քանի կառավարիչներ իրենց ավտոմատ լրացման գործառույթը միացված են: Ըստ Wired- ի ՝ ձեր պահպանված հավատարմագրերով վեբ էջում մուտքի ձևը բնակեցելը անվտանգության ամենամեծ խոցելիությունն է: Ինչ վերաբերում է Princeton- ի Տեղեկատվական տեխնոլոգիաների քաղաքականության կենտրոնին, ապա գաղտնաբառի կառավարիչների վեբ զննարկիչում ընդարձակման այս երկարամյա խոցելիությունները շահագործող հակերները պարզապես սկիզբն են.

Հաքերների առաջադեմ գրությունները կարող են հետևել ավտոմատ լրացման այս գործառույթին և գողանալ ձեր մուտքի հավատարմագրերը: Թեև համարները ցույց են տալիս, որ նման հարձակումները տեղի են ունեցել միայն հազար հազար կայքերի վրա, մենք կարող ենք վստահ լինել, որ դրանք միայն հավաքվում են: Անվտանգության խախտում հայտնաբերելիս կարող եք փոխել ձեր գաղտնաբառը: Այնուամենայնիվ, այս խոցելիությունների հետ կապված, ձեր օգտվողի տվյալները գողանալու են առանց ձեր գիտելիքների: Եթե ​​դա տեղի ունենա, գաղտնաբառի ղեկավարները չեն կարողանա ձեզ փրկել.

Ձեր գաղտնաբառերը պաշտպանելը

Այսպիսով, արդյո՞ք վեբ-կայքերը ձեզ չեն տեղեկացնի, եթե դրանք հափշտակվել են: Եթե ​​այս հարցը ձեր մտքում է, դուք պետք է իմանաք, որ շատ դեպքեր եղել են, երբ կայքերը ոչինչ չեն ձեռնարկել իրենց օգտագործողներին տեղեկացնելու համար: Նույնիսկ այն դեպքում, երբ Yahoo! իսկ Uber- ը տվյալների խախտում ուներ, օգտագործողները տեղյակ չէին: Հետևաբար, նույնիսկ եթե վստահում եք գաղտնաբառի անվտանգ կառավարչին, հասկացեք, որ ձեր տվյալները չեն կարող ապահով լինել այն կայքերի կամ ընկերությունների կողմից, ովքեր պատշաճ անվտանգություն չունեն իրենց կայքերում.

Մարդկանց կարծիքը գաղտնաբառի կառավարիչների վերաբերյալ

Շատ մարդիկ կան, ովքեր համաձայն չեն, որ գաղտնաբառի կառավարիչները անվտանգ են: Օրինակ ՝ տեսնենք Դեյվի կարծիքը, որը ծրագրավորող է ծրագրային ձեռնարկությունում, կարծում է, որ «Տեղական գաղտնաբառով կառավարիչ օգտագործելը ավելի լավ է, քանի որ ամպի վրա հիմնված ծառայությունը հնարավոր է հեշտությամբ ջարդել: Բացի այդ, իմաստ ունի օգտագործել գաղտնաբառի կառավարման հաճախորդ, եթե անհրաժեշտ է պահպանել մուտքի հարյուրավոր հավատարմագրեր, ինչպես ես, բիզնես նպատակներով »:

Այնուամենայնիվ, սա նաև անվտանգ միջոց չէ, ըստ Մաթի, ով հաշվապահ է: Նա ասում է, որ սիրում է կախված լինել սեփական հիշողությունից ՝ փոխարենը որոշ սարքի վստահելու փոխարեն, իր արժեքավոր գաղտնաբառերը պահելու համար: Ըստ նրա ՝ բոլոր սարքերը խոցելի են, և տվյալները կարող են գողանալ որևէ մեկի կողմից, ով ֆիզիկական հասանելիություն ունի ձեր սարքեր.

Նմանատիպ տեսակետ է արտահայտում ուսանող Ռոզին, ով հավատում է. «Ես սովորություն ունեմ պահելու իմ գաղտնաբառերը MS Excel- ում պաշտպանված աշխատանքային թերթիկի վրա: Ես օգտագործում եմ ավելի քան 20 նիշերի բառակապակցություն, որը, վստահ եմ, կոտրելն բավականին դժվար է: Ես չեմ վստահում ոչ ամպային վրա հիմնված, ոչ էլ տեղական սարքի պահեստին, քան իմ սեփական հիշողությունն է, որպեսզի ապահովի իմ առավել զգայուն տեղեկատվությունը »:  

Պետք է գաղտնաբառի կառավարիչ օգտագործես?

Հիմա, երբ դուք գիտեք գաղտնաբառի կառավարիչների անվտանգության բոլոր հնարավոր խոցելիությունների մասին, արդյո՞ք պետք է դադարեցնեք դրանց օգտագործումը: Փաստն այն է, որ եթե ավելի շատ հաշիվներ ունեք, ապա ավելի լավ է օգտագործել մեկը, քանի որ ստանում եք անվտանգության լրացուցիչ շերտ: Դա շատ ավելի լավ է, քան ընդհանրապես ոչ մեկը ունենալը. նրանց չխնայելը շատ ավելի մեծ ռիսկեր է ներկայացնում, քան դրանցից մեկը: Բայց համոզվեք, որ օգտագործում եք գաղտնաբառի անվտանգ կառավարիչ և որ այն հաճախ թարմացնում է իր անվտանգությունը դաժան ուժային հարձակումներից.   

Ամեն դեպքում, երբեք մի օգտագործեք զննարկչի ընդարձակման ծրագրերը կամ ներկառուցված զննարկչի ծրագրերը գաղտնաբառի կառավարման համար, ինչպիսին է Chrome- ը: Դրա փոխարեն օգտագործեք աշխատասեղանի վրա հիմնված ցանկացած տարբերակ, քանի որ դրանք առաջարկում են ամենաանվտանգությունն ու հերթը ինքնալրացման գործառույթի: Որպես պահուստավորում, կարող եք նաև պահպանել գաղտնաբառերը կոդավորված սարքի կամ ֆայլի վրա.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me