Менеджер паролей является компьютерная программа , которая позволяет пользователям хранить, создавать и управлять своими паролями для локальных приложений и онлайн - сервисов.
Менеджер паролей помогает в создании и извлечении сложных паролей, хранении таких паролей в зашифрованной базе данных [1] [2] или их вычислении по запросу. [3]
Типы менеджеров паролей включают:
- локально установленные программные приложения
- онлайн- сервисы, доступ к которым осуществляется через порталы веб-сайтов
- локально доступные аппаратные устройства, которые служат ключами
В зависимости от типа используемого менеджера паролей и функциональности, предлагаемой его разработчиками, зашифрованная база данных либо хранится локально на устройстве пользователя, либо хранится удаленно через онлайн -службу файлового хостинга . Менеджеры паролей обычно требуют, чтобы пользователь сгенерировал и запомнил один «главный» пароль для разблокировки и доступа к любой информации, хранящейся в их базах данных. Многие приложения для управления паролями предлагают дополнительные возможности, которые повышают удобство и безопасность, такие как хранение информации о кредитных картах и часто летающих пассажирах, а также функция автозаполнения.
Локально установленное программное обеспечение
Менеджеры паролей обычно размещаются на персональном компьютере или мобильном устройстве пользователя и в веб-браузере и мгновенно заполняются, например, на смартфонах , в виде локально установленного программного приложения . Эти приложения могут работать в автономном режиме, при этом база данных паролей хранится независимо и локально на том же устройстве, что и программное обеспечение менеджера паролей. В качестве альтернативы менеджеры паролей могут предлагать или требовать облачный подход, при котором база данных паролей зависит от онлайн-службы файлового хостинга и хранится удаленно, но обрабатывается программным обеспечением для управления паролями, установленным на устройстве пользователя.
Некоторые автономные менеджеры паролей не требуют разрешения в Интернете, поэтому утечки данных из-за сети не происходит. В некоторой степени полностью автономный менеджер паролей более безопасен, но может быть намного слабее по удобству и функциональности, чем онлайн-менеджер.
Веб-сервисы
Онлайн-менеджер паролей - это веб-сайт, на котором безопасно хранятся данные для входа. Это веб-версия более обычного настольного менеджера паролей.
Преимуществами онлайн-менеджеров паролей перед настольными версиями являются портативность (их обычно можно использовать на любом компьютере с веб-браузером и сетевым подключением без необходимости установки программного обеспечения) и меньший риск потери паролей в результате кражи или повреждения. к одному ПК - хотя такой же риск существует для сервера, который используется для хранения паролей пользователей. В обоих случаях этот риск можно предотвратить, обеспечив безопасное резервное копирование . [4]
Основными недостатками онлайн-менеджеров паролей являются требования, согласно которым пользователь доверяет хостинговому сайту, а кейлоггер не находится на компьютере, который они используют. Поскольку серверы и облако являются объектом кибератак, то, как аутентифицируются в онлайн-сервисе, и что хранящиеся там пароли зашифрованы с помощью определяемого пользователем ключа, не менее важны. Опять же, пользователи склонны обходить безопасность для удобства. Еще один важный фактор - используется ли одно или двухстороннее шифрование. [5]
Некоторые онлайн-системы управления паролями, такие как Bitwarden, имеют открытый исходный код, где исходный код может подвергаться независимому аудиту или размещаться на собственном компьютере пользователя, а не полагаться на облако службы. [6]
Использование веб-менеджера паролей является альтернативой методам единого входа , таким как OpenID или учетная запись Microsoft Microsoft (ранее Microsoft Wallet, Microsoft Passport, .NET Passport, Microsoft Passport Network и Windows Live ID), или может служить временной мерой до принятия лучшего метода. [7]
Аппаратные устройства на основе токенов
Менеджеры паролей на основе токенов должны иметь механизм токенов безопасности [8], в котором локально доступное аппаратное устройство, такое как смарт-карты или защищенные USB-флеш-устройства, используется для аутентификации пользователя вместо или в дополнение к традиционному тексту. на основе пароля или другой двухфакторной системы аутентификации . Данные, хранящиеся в токене, обычно зашифрованы, чтобы предотвратить зондирование и несанкционированное чтение данных. Некоторым системам токенов по-прежнему требуется программное обеспечение, загруженное на ПК, а также оборудование (устройство чтения смарт-карт) и драйверы для правильного чтения и декодирования данных.
- Учетные данные защищены с помощью токена безопасности , поэтому обычно предлагается многофакторная аутентификация путем объединения
- что-то, что есть у пользователя, например мобильное приложение [9], которое генерирует токен, похожий на виртуальную смарт-карту, смарт-карту и USB-накопитель ,
- что-то известное пользователю (PIN-код или пароль) и / или
- что-то для пользователя похоже на биометрические данные, такие как сканер отпечатков пальцев, руки, сетчатки глаза или лица.
Есть несколько компаний, которые производят специальные сторонние устройства аутентификации, одним из самых популярных является YubiKey . Но только несколько сторонних менеджеров паролей могут интегрироваться с этими аппаратными устройствами. Хотя это может показаться проблемой, у большинства менеджеров паролей есть другие приемлемые варианты двухэтапной проверки, интегрируемые с такими приложениями, как Google Authenticator и встроенными генераторами TOTP . [10] Хотя сторонние токен-устройства полезны для повышения безопасности, они считаются дополнительными мерами безопасности и удобства и не считаются необходимыми и не критичными для правильного функционирования диспетчера паролей.
Преимущества
Преимущество контроля доступа на основе паролей заключается в том, что они легко встраиваются в большинство программного обеспечения с использованием API-интерфейсов, доступных во многих программных продуктах, они не требуют обширных модификаций компьютера / сервера и что пользователи уже знакомы с использованием паролей. Хотя пароли могут быть довольно безопасными, слабым местом является то, как пользователи выбирают их и управляют ими, используя:
- простые пароли - короткие по длине, которые используют слова, найденные в словарях, или не смешиваются с разными типами символов (числа, знаки препинания, верхний / нижний регистр), или иным образом легко угадываются
- пароли, которые могут найти другие пользователи - на стикерах на мониторах, в блокноте у компьютера, в документе на компьютере, в напоминаниях на доске, в памяти смарт-устройств в виде открытого текста и т. д.
- один и тот же пароль - использование одного и того же пароля для нескольких сайтов, никогда не меняя пароли учетных записей и т. д.
- общие пароли - пользователи сообщают другим пароли, отправляют незашифрованные электронные письма с информацией о пароле, подрядчики используют один и тот же пароль для всех своих учетных записей и т. д.
- входы в административные учетные записи, где было бы достаточно ограниченного входа, или
- администраторы, которые позволяют пользователям с одинаковой ролью использовать один и тот же пароль.
Совершение хотя бы одной из этих ошибок типично. Это позволяет хакерам , взломщикам , вредоносным программам и кибер-похитителям легко взламывать индивидуальные учетные записи, корпорации любого размера, правительственные учреждения, учреждения и т. Д. Именно защита от этих уязвимостей делает менеджеры паролей столь важными. [11]
Менеджеры паролей также можно использовать в качестве защиты от фишинга и фарминга . В отличие от людей, программа менеджера паролей также может включать сценарий автоматического входа в систему, который сначала сравнивает URL-адрес текущего сайта с URL-адресом сохраненного сайта. Если они не совпадают, диспетчер паролей не заполняет автоматически поля входа в систему. Это сделано для защиты от визуальных имитаций и похожих сайтов. Благодаря этому встроенному преимуществу использование диспетчера паролей выгодно, даже если пользователю нужно запомнить только несколько паролей. Хотя не все менеджеры паролей могут автоматически обрабатывать более сложные процедуры входа в систему, налагаемые многими банковскими веб-сайтами, многие из более новых менеджеров паролей раньше обрабатывают сложные пароли, многостраничные поля и многофакторную аутентификацию. [12]
По той же логике менеджеры паролей могут также защитить от вредоносных программ для регистрации нажатия клавиш (клавиатурных шпионов). При использовании диспетчера паролей с многофакторной аутентификацией, который автоматически заполняет поля входа в систему, пользователю не нужно вводить какие-либо имена пользователей или пароли, чтобы кейлоггер мог их подобрать. В то время как кейлоггер может получить PIN-код для аутентификации в токене смарт-карты, например, без самой смарт-карты (то, что есть у пользователя), PIN-код не принесет злоумышленнику никакой пользы. Однако менеджеры паролей не могут защитить от атак типа «злоумышленник в браузере» , когда вредоносное ПО на устройстве пользователя выполняет операции (например, на веб-сайте банка), когда пользователь входит в систему, скрывая злонамеренные действия от пользователя. [13]
вопросы
Уязвимости
Если пароли хранятся в незашифрованном виде, обычно можно получить пароли при локальном доступе к машине.
Некоторые менеджеры паролей используют выбранный пользователем главный пароль или парольную фразу для формирования ключа, используемого для шифрования защищенных паролей. Безопасность этого подхода зависит от надежности выбранного пароля (который может быть угадан или введен методом перебора), а также от того, что сама кодовая фраза никогда не сохраняется локально, где вредоносная программа или человек могут ее прочитать. Скомпрометированный мастер-пароль делает уязвимыми все защищенные пароли.
Как и в случае с любой системой, в которой пользователь вводит пароль, мастер-пароль также может быть атакован и обнаружен с помощью регистрации ключей или акустического криптоанализа . Некоторые менеджеры паролей пытаются использовать виртуальные клавиатуры, чтобы снизить этот риск - хотя это все еще уязвимо для клавиатурных шпионов, которые делают снимки экрана при вводе данных. Этот риск можно снизить с помощью устройства многофакторной проверки .
Некоторые менеджеры паролей включают генератор паролей . Сгенерированные пароли можно угадать, если менеджер паролей использует слабый генератор случайных чисел вместо криптографически безопасного.
Надежный менеджер паролей будет включать ограниченное количество ложных записей аутентификации, разрешенных до того, как менеджер паролей будет заблокирован и потребует повторной активации ИТ-служб. Это лучший способ защиты от перебора.
Менеджеры паролей, которые не предотвращают перестановку своей памяти на жесткий диск, позволяют извлекать незашифрованные пароли с жесткого диска компьютера. [ необходима цитата ] Отключение свопа может предотвратить этот риск.
Веб-менеджеры паролей, которые запускаются внутри браузера пользователя, особенно чреваты ловушками. Подробное исследование с использованием нескольких менеджеров паролей выявило следующие возможные недостатки внутри веб-менеджеров паролей: [14]
- Недостатки авторизации : еще одна возможная проблема - это ошибочная аутентификация с авторизацией . Исследователь обнаружил, что несколько веб-менеджеров паролей когда-то имели такие недостатки. Эти проблемы, в частности, присутствовали в менеджерах паролей, которые позволяли пользователям обмениваться учетными данными с другими пользователями.
- Недостатки букмарклетов : веб-менеджеры паролей обычно полагаются на букмарклеты для входа пользователей. Однако при неправильной реализации вредоносный веб-сайт может использовать это для кражи пароля пользователя. Основная причина таких уязвимостей заключается в том, что среде JavaScript вредоносного веб-сайта нельзя доверять. [15]
- Недостатки пользовательского интерфейса : некоторые менеджеры паролей просят пользователя войти в систему через iframe . Это может представлять угрозу безопасности, потому что оно обучает пользователя вводить свой пароль, в то время как URL-адрес, отображаемый браузером, не является URL-адресом диспетчера паролей. Фишер может злоупотребить этим, создав поддельный iframe и получив учетные данные пользователя. Более безопасный подход может заключаться в открытии новой вкладки, где пользователи могут войти в диспетчер паролей.
- Веб-недостатки : классические веб-уязвимости также могут присутствовать в веб-менеджерах паролей. В частности, хакеры могут использовать уязвимости XSS и CSRF для получения пароля пользователя.
Кроме того, у менеджеров паролей есть недостаток, заключающийся в том, что любому потенциальному хакеру или вредоносному ПО просто нужно знать один пароль, чтобы получить доступ ко всем паролям пользователя, и что у таких менеджеров есть стандартные места и способы хранения паролей, которые могут быть использованы вредоносными программами. [16]
Блокировка менеджеров паролей
Различные известные веб-сайты пытались заблокировать менеджеры паролей, часто отказываясь от публичных возражений. [17] [18] [19] Приведенные причины включали защиту от автоматических атак , защиту от фишинга , блокировку вредоносных программ или просто отрицание совместимости. Программное обеспечение безопасности клиента Trusteer от IBM предоставляет явные возможности для блокировки менеджеров паролей. [20] [21]
Такая блокировка подвергалась критике со стороны профессионалов в области информационной безопасности, поскольку она снижает безопасность пользователей и считает, что оправдания являются надуманными. [19] [21] Типичная реализация блокировки включает установку autocomplete='off'
соответствующего пароля в веб-форме . Следовательно, эта опция теперь игнорируется в Internet Explorer 11 [18] на сайтах https , [22] Firefox 38, [23] Chrome 34, [24] и в Safari примерно с 7.0.2. [25]
В статье 2014 года исследователя из Университета Карнеги-Меллона было обнаружено, что, хотя браузеры отказываются выполнять автозаполнение, если протокол на текущей странице входа отличается от протокола на момент сохранения пароля, некоторые менеджеры паролей будут небезопасно вводить пароли для http-версии. https-сохраненных паролей. Большинство менеджеров не защищали от атак на основе iframe и перенаправления и открывали дополнительные пароли, если синхронизация паролей использовалась между несколькими устройствами. [22]
Смотрите также
- Список менеджеров паролей
- Усталость паролей
- Управление паролями
- Маркер безопасности
- Интеллектуальная карточка
- Криптография
Рекомендации
- ^ Прайс, Роб (2017-02-22). «Менеджеры паролей - важный способ защитить себя от хакеров - вот как они работают» . Business Insider . Архивировано из оригинала на 2017-02-27 . Проверено 29 апреля 2017 .
- ^ Мохаммадинодушан, Мохаммад; Камбу, Бертран; Филабаум, Кристофер Роберт; Дуань, Нан (2021 г.). «Устойчивый менеджер паролей с использованием физических неклонируемых функций» . Доступ IEEE . 9 : 17060–17070. DOI : 10,1109 / ACCESS.2021.3053307 . ISSN 2169-3536 .
- ^ LessPass, менеджер паролей без сохранения состояния https://lesspass.com
- ^ Александерсен, Даниэль (17 февраля 2020 г.). «Как сделать резервную копию вашего менеджера паролей» . Ctrl блог . Проверено 25 января 2021 .
- ^ «Плюсы и минусы менеджеров паролей» . Люмен . 2017-05-13 . Проверено 25 января 2021 .
- ^ «Открытый исходный код» . Bitwarden . Проверено 25 января 2021 .
- ^ «Что такое система единого входа (SSO) и как она работает?» . SearchSecurity . Проверено 25 января 2021 .
- ^ «Что такое аутентификация на основе токенов? | Okta» . www.okta.com . Проверено 26 апреля 2021 .
- ^ https://www.entrust.com/solutions/mobile/ Entrust IdentityGuard Mobile Smart Credential
- ^ «10 лучших менеджеров паролей [2021] (с купонами + эксклюзивные предложения)» . БезопасностьДетективы . Источник 2021-01-29 .
- ^ «20 самых взламываемых паролей в мире: здесь ли ваш?» . БезопасностьДетективы . 2020-05-27 . Источник 2021-01-29 .
- ^ «Как менеджеры паролей помогают предотвратить фишинг» . Блог Bitwarden . Источник 2021-01-29 .
- ^ «Атака« злоумышленник посередине »на систему сброса пароля - Шнайер о безопасности» . www.schneier.com . Источник 2021-01-29 .
- ^ Ли, Чживэй; Он, Уоррен; акхаве, Девдатта; Песня, Рассвет. «Новый менеджер паролей императора: анализ безопасности веб-менеджеров паролей» (PDF) . 2014 . Архивировано 5 февраля 2015 года из оригинального (PDF) . Проверено 25 декабря 2014 .
- ^ Адида, Бен; Барт, Адам; Джексон, Коллин. «Руткиты для сред JavaScript, Бен» (PDF) . 2009 . Проверено 25 декабря 2014 .
- ^ «Плюсы и минусы менеджеров паролей» . Люмен . 2017-05-13 . Проверено 25 января 2021 .
- ^ Мик, Райт (16 июля 2015 г.). «British Gas намеренно взламывает менеджеры паролей, и эксперты по безопасности приходят в ужас» . Проверено 26 июля 2015 года .
- ^ а б Рив, Том (15 июля 2015 г.). «British Gas склоняется перед критикой по поводу блокировки менеджеров паролей» . Проверено 26 июля 2015 года .
- ^ а б Кокс, Джозеф (26 июля 2015 г.). «Сайты, пожалуйста, прекратите блокировать менеджеры паролей. Это 2015 год» . Проверено 26 июля 2015 года .
- ^ «Менеджер паролей» . Проверено 26 июля 2015 года .
- ^ а б Хант, Трой (15 мая 2014 г.). «Эффект кобры», отключающий вставку в поля пароля » . Проверено 26 июля 2015 года .
- ^ а б «Менеджеры паролей: атаки и защиты» (PDF) . Проверено 26 июля 2015 года .
- ^ «Firefox в Windows 8.1 автоматически заполняет поле пароля, когда автозаполнение отключено» . Проверено 26 июля 2015 года .
- ^ Шарвуд, Саймон (9 апреля 2014 г.). «Chrome делает новый захват пароля в версии 34» . Проверено 26 июля 2015 года .
- ^ "Re: 7.0.2: Autocomplete =" off "все еще заблокирован" . Проверено 26 июля 2015 года .
Внешние ссылки
- Менеджер паролей в Curlie