Jak bezpieczne są menedżery haseł w chmurze? Najnowszy raport

Login oraz hasło do tej pory stanowią podstawowe zabezpieczenie naszych danych. Niektóre serwisy wdrożyły tak zwaną weryfikację dwuetapową, która dodatkowo pozwala podnieść poziom bezpieczeństwa naszego profilu założonego w odpowiedniej witrynie. Dodatkowo ilość kont jakie posiadamy zmusza nas do stosowania różnych, często mocnych haseł, które po prostu trudno zapamiętać. Co w takiej sytuacji zrobić? Najlepiej skorzystać z tak zwanych menedżerów haseł, które znacznie ułatwiają zarządzanie wszystkimi hasłami. Użytkownicy mają do wybory lokalne rozwiązania instalowane w postaci aplikacji komputerowej, ale i również menedżery działające w chmurze. Te drugie z pewnością są dużo wygodniejsze – automatyczne uzupełnianie formularzy, synchronizacja pomiędzy urządzeniami, jednak czy są bezpieczne? Naukowcy z Uniwersytetu Kalifornijskiego postanowili wziąć pod lupę pięć najpopularniejszych usług i sprawdzić ich poziom bezpieczeństwa.

Testy zostały wykonane na takich usługach jak PasswordBox, LastPass, My1login, RoboForm oraz NeedMyPassword. Sprawdziany wykazały, że te rozwiązania faktycznie są wygodne, jednak z bezpieczeństwem już tak kolorowo nie jest. Pod uwagę wzięto cztery wektory ataku: obsługa kryptozakładek, błędy logiczne, spreparowane witryny WWW oraz błędy związane z interfejsem usługi. Analiza wykazała, że cztery usługi posiadają w sobie luki, które z powodzeniem można wykorzystać przeciwko użytkownikom. O ile samo oprogramowanie działające w chmurze działało poprawnie, to najbardziej narażone na ataki są oczywiście wtyczki instalowane w przeglądarkach internetowych.

To właśnie dodatki mają bezpośrednią styczność z witrynami internetowymi i pracują w roli „pośrednika” z samą usługą. Naukowcy w opracowanym przez siebie dokumencie na szczęście byli na tyle łaskawi, iż zamieścili porady jak zwiększyć bezpieczeństwo swoich usług, jednak to tylko od twórców webowych menedżerów haseł zależy, czy proponowane poprawki wejdą w życie. Bardzo ostro na wyniki badań zareagował LastPass, który już wprowadził część proponowanych przez naukowców rozwiązań. Wspomnianą firmą należy pochwalić za bardzo poważne podejście do ochrony danych i bardzo szybki czas reakcji na wszelakie incydenty związane z bezpieczeństwem.

Bezpieczeństwo jest odwrotnie proporcjonalne do wygody - nie można mieć wszystkiego.

Lepiej w takim razie korzystać z webowych, czy lokalnych menedżerów haseł? Na to pytanie musimy sobie sami odpowiedzieć. Jeżeli cenimy sobie wygodę, to webowe menedżery idealnie wpasują się w nasze gusta idealnie. Jeżeli jednak bezpieczeństwo jest dla nas najważniejsze, a wygoda znajduje się na drugim miejscu, to w tej sytuacji pozostają tylko rozwiązania programowe pokroju aplikacji KeePass. Pełny raport dostępny jest na tej stronie internetowej (LINK).

Źródło: Devd