4 motivi per cui i gestori di password non sono abbastanza per proteggere le tue password

Annuncio pubblicitario

Se hai scrupolosamente superato la seccatura di impostazione di un gestore password 7 Superpoteri di Clever Password Manager che devi iniziare a utilizzareI gestori di password dispongono di molte fantastiche funzionalità, ma le sapevi? Ecco sette aspetti di un gestore di password che dovresti sfruttare. Leggi di più , potresti pensare di essere al sicuro dagli occhi indiscreti di hacker e cyber-criminali.

Hai torto.

Sì, i gestori di password sono uno strumento prezioso nella battaglia in corso per proteggerti, ma non sono sicuri o a prova di idiota, né offrono una protezione sufficiente da soli.

Ecco quattro motivi per cui i gestori di password non sono sufficienti per mantenere le password al sicuro da sole.

1. I gestori di password sono il Santo Graal per gli hacker

I gestori di password sono molto sicuri Stai facendo questi 6 errori di sicurezza di Password Manager?I gestori di password possono essere sicuri solo come si desidera, e se commetti uno di questi sei errori di base, finirai per compromettere la tua sicurezza online. Leggi di più

? Sì. Distribuiscono rigorosamente sistemi di crittografia e crittografia Come i gestori di password mantengono le tue password al sicuroAnche le password difficili da decifrare sono difficili da ricordare. Vuoi essere al sicuro? Hai bisogno di un gestore di password. Ecco come funzionano e come ti tengono al sicuro. Leggi di più ? Sì. Puoi dichiarare categoricamente che nessun hacker sarà mai in grado di decifrare il sistema e ottenere l'accesso alle milioni di password degli utenti al suo interno?

No.

Pensaci: i servizi di gestione delle password sono una prospettiva estremamente affascinante per gli hacker. Se potessero violare le pareti esterne dei depositi delle password, avrebbero accesso a una quantità indicibile di tesori. Continueranno a cercare di irrompere. È inevitabile

Usiamo LastPass come esempio. I criminali informatici hanno ha attaccato due volte i server LastPass Got Hacked, Shenmue 3 Kickstarter, Final Fantasy 7 Remake e altro... [Tech News Digest]Cambia la password di LastPass, avvia Shenmue 3, rifacimento di Final Fantasy 7, Xbox One per giochi Xbox 360, Netflix si trasforma e Conan gioca a Halo 5: Guardians. Leggi di più negli ultimi cinque anni. Ogni volta, la società era fermamente convinta che i suoi utenti dovevano solo modificare la password principale per i propri account e che i depositi delle password erano ancora sicuri.

Ma gli hack dimostrano l'esistenza di falle nella sicurezza. È solo questione di tempo prima che una persona autorizzata ottenga l'accesso? Probabilmente.

2. Gli esperti dicono che i gestori di password hanno gravi difetti

Nel 2014, i ricercatori della sicurezza hanno scoperto che LastPass, RoboForm, My1login, PasswordBox e NeedMyPassword avevano tutti diversi difetti di sicurezza pericolosi.

Il più preoccupante dei difetti ha permesso agli hacker di rubare password in chiaro direttamente da LastPass gli utenti che utilizzano il bookmarklet, senza che l'utente o l'azienda siano consapevoli del fatto che qualcosa lo fosse sbagliato.

LastPass presentava anche un difetto in base al quale un codice dannoso su un sito Web poteva rubare l'intero deposito password crittografato di un utente, a condizione che l'hacker conoscesse l'indirizzo email dell'utente.

RoboForm, My1login, PasswordBox e NeedMyPassword presentavano tutti difetti altrettanto gravi, inclusa una scappatoia che ha consentito agli aggressori di rubare il nome completo, il nome utente e qualsiasi URL su cui si trovava una password entrato.

Per fortuna, i fornitori di servizi hanno risolto questi bug, ma sarebbe folle credere che ora siano perfetti. Quasi sicuramente ci sono ancora insetti da scoprire, in attesa che qualcuno li trovi.

L'adozione diffusa di gestori di password non sicuri potrebbe peggiorare le cose: aggiungere un nuovo singolo punto di errore non testato all'ecosistema di autenticazione Web.

- Zhiwei Li, Warren He, Devdatta Akhawe e Dawn Song, autori di Il nuovo gestore delle password dell'Imperatore: analisi della sicurezza dei gestori delle password basati sul Web

In definitiva, ti fidi del gestore delle password con alcuni dei tuoi dettagli più importanti. Mettere tutte le uova nello stesso cestino non è saggio.

3. Database cloud vs. Database locali

Avrai notato che i cinque servizi di cui ho discusso sopra sono tutti basati sul web. Se utilizzi un gestore di password basato localmente (come KeePass o 1Password), non lasciarti cullare da un falso senso di sicurezza; lo studio ha esaminato solo le opzioni basate sul web.

C'è un argomento per suggerire che i gestori locali sono intrinsecamente più sicuri dei gestori basati su cloud. È più difficile per un hacker ottenere l'accesso e più difficile rubare il database.

Ma non sono infallibili. Sappiamo tutti del minacce alla sicurezza per gli utenti desktop 5 minacce alla sicurezza online di cui devi parlare ai tuoi amiciSaresti sorpreso di scoprire dove tutto il malware è presente oggi. Non è più solo un computer medio, ma più probabilmente qualsiasi cosa con una sorta di dispositivo connesso, inclusi i giocattoli. Leggi di più : keylogger, hacker in agguato su reti Wi-Fi pubbliche, malware infinito e altro ancora. Se sei abbastanza sfortunato da trovarti sotto attacco, il tuo database di password salvato localmente potrebbe essere una delle prime cose che gli hacker rubano.

E se il tuo database fosse salvato sul tuo dispositivo mobile? Se perdi il dispositivo, potrebbe facilmente finire nelle mani sbagliate. Sì, è crittografato, ma se hai configurato la tua app in modo da richiedere solo una password principale o un'impronta digitale per accedere al database, la crittografia non varrà molto.

4. Le tue impostazioni potrebbero lasciarti vulnerabile

L'ho appena toccato brevemente. I gestori di password hanno molte impostazioni che puoi modificare; alcuni di quelli rendere il servizio più sicuro 8 semplici modi per potenziare la sicurezza di LastPassPotresti utilizzare LastPass per gestire le tue molte password online, ma lo stai usando nel modo giusto? Ecco otto passaggi che puoi eseguire per rendere il tuo account LastPass ancora più sicuro. Leggi di più . Tuttavia, molti di questi sono progettati per praticità: abilitarli ti renderà più vulnerabile.

Ad esempio, LastPass non ti chiederà automaticamente la password principale quando tenti di accedere alle credenziali di una persona nel tuo vault (Impostazioni> Impostazioni avanzate> Richiama password principale).

Inoltre, la maggior parte delle app mobili dei servizi ti consente di disabilitare l'autenticazione tramite impronte digitali e / o password per un massimo di 24 ore dopo ogni accesso riuscito. Non farlo. Vuoi lasciare il tuo banking online per 24 ore per risparmiare qualche clic?

E, naturalmente, fai attenzione a chi condividi le password con l'uso del servizio di condivisione integrato dei servizi - forse le loro impostazioni lasceranno scoperti i tuoi account? Assicurati che i tuoi amici e familiari siano consapevoli delle implicazioni per la sicurezza.

Non prendere scorciatoie. Invece, passa il tempo a lavorare sulle impostazioni avanzate dei tuoi servizi e a renderli il più robusti possibile.

Gestori password: da utilizzare o da evitare?

I gestori di password sono meglio che archiviare tutti i tuoi dettagli su un foglio Excel o usare le stesse credenziali per ciascun sito? Senza dubbio. Ma è discutibile se siano tanto sicuri quanto si potrebbe pensare.

La maggior parte delle persone usa i servizi tanto per comodità quanto per sicurezza. Ma così facendo, ti stai potenzialmente compromettendo. Non ti dirò di smettere di usarli, ma procedi con cautela. Ad esempio, forse dovresti dividere la password tra più gestori Le 5 migliori alternative a LastPass per gestire le tue passwordMolte persone considerano LastPass il re dei gestori di password; è ricco di funzionalità e vanta più utenti di tutti i suoi concorrenti - ma è ben lungi dall'essere l'unica opzione! Leggi di più ?

E ricorda, la linea di fondo è che non c'è sostituto per il tuo cervello. Se riesci a creare un codice sicuro che modifichi leggermente per ogni singolo accesso, avrai una sicurezza maggiore di quella che qualsiasi gestore di password potrebbe offrire.

Ti fidi dei gestori di password? Fateci sapere nei commenti qui sotto.