בלוג מנהלי סיסמאות

מנהלי סיסמאות: עבודה בתהליך למרות הפופולריות

בסוף שנת 2022 דיווח LastPass על אירוע אבטחה נוסף, ובעוד אנו מציינים יום להחלפת סיסמאות, דן רייווד שואל אם עוד פיסת תוכנת אבטחת סייבר סבלה כל כך הרבה תקריות אבטחה, האם המשתמשים היו מוותרים עליה עד עכשיו?

בסוף 2022, ספק האימות LastPass הודיע ​​למשתמשים ולעולם הרחב של  אירוע ביטחוני שבו "צד לא מורשה השיג גישה לשירות אחסון מבוסס ענן של צד שלישי, שבו LastPass משתמש כדי לאחסן גיבויים בארכיון של... נתוני ייצור."

האירוע יצר כותרות ברחבי העולם, כולל מ קווית, שהייתה ביקורתית חריפה על מעשיה של LastPass - או, למען האמת - חוסר התגובה שלה לשאלות חיוניות, והאשימה אותה בכך שאינה מספקת "מידע נוסף ללקוחות מבולבלים ומודאגים".

הפרת LastPass: מה, מתי ואיך

התקרית אירעה כאשר שחקן איום ניגש לסביבת אחסון מבוססת ענן, תוך מינוף מידע שהתקבל מתקרית שחשפה בעבר באוגוסט 2022. "למרות שלא בוצעה גישה לנתוני לקוחות במהלך התקרית באוגוסט 2022, חלק מהקוד מקור ומידע טכני היו נגנב מסביבת הפיתוח שלנו והשתמשו בו כדי למקד עובד אחר, השגת אישורים ומפתחות ששימשו לגישה ולפענוח של חלק מהנפחי האחסון בתוך שירות האחסון מבוסס הענן", נכתב בהצהרה שלה.

שני התקריות הקשורות אלו אינן הפעם הראשונה שבה LastPass מתמודדת עם כותרות אבטחה שליליות. בחזרה ב 2015, החברה התריעה למשתמשים על "פעילות חשודה ברשת שלנו", שבה "נפגעו כתובות דוא"ל של חשבון LastPass, תזכורות סיסמאות, מלחיות שרת למשתמש ו-hashs לאימות".

זה לא נועד לייחד את LastPass, מכיוון שספקי מנהלי סיסמאות אחרים סבלו אירועי ביטחון בעבר, אבל יותר שאלה האם מנהלי סיסמאות מתאימים למטרה בשנת 2023. אחרי הכל, אם עוד פיסת תוכנת אבטחת סייבר הייתה סובלת מכל כך הרבה אירועי אבטחה, האם המשתמשים היו מוותרים עליה עד עכשיו?

האם יש לסמוך על מנהלי סיסמאות?

בחודש האחרון סקר טוויטר, שאלנו האם למרות הפרות כמו זו שחוותה LastPass, משתמשים עדיין יחשבו שמנהל סיסמאות הוא השיטה הטובה ביותר לאחסן סיסמאות בצורה מאובטחת. בסקר שלנו, היו 96 נשאלים, ו-85 אחוז הסכימו שזו האפשרות הטובה ביותר. ההערות שקיבלנו אמרו, "התיאוריה מאחורי פעולתו עדיין מבוססת ברובה", שכן כספות עדיין מוצפנות בסיסמת האב של המשתמש. האפשרויות סביב מנהלי סיסמאות משתנות בין מקומי ומבוסס ענן, אם כי זו "אופציה כדאית שיכולה לחסוך הרבה זמן [ו] טרחה, והיא עדיפה על שימוש חוזר בסיסמאות או פשוט לבחור בסיסמאות רעות."

פר תורסהיים, מייסד PasswordsCon, ציין כי "התשובה הקלה מאוד היא כן, שכן מנהלי סיסמאות הם טובים, ואני בהחלט ממליץ עליהם" כששאלנו אותו אם הוא מרגיש שמנהלי סיסמאות הם עדיין האופציה הטובה ביותר למרות מספר הפרצות שאנו עושים. ראיתי.

עם זאת, טורסהיים מזהיר ממספר מנהלי הסיסמאות, שכן הוא מאמין ש"לא מעט הם 'שמן נחש סיליקון' מבחינת אבטחה, יכולים להיות בצד היקר, וחווית המשתמש עשויה להיות לא קלה כפי שהיית מצפה. .

Thorsheim גם הצהיר כי "מנהל סיסמאות לא צריך להיות אפליקציה נפרדת, ריבוי מכשירים או לספק סנכרון מיידי של ריבוי עננים בין מכשירים. מנהל סיסמאות יכול להיות גם פשוט כמו מחברת במגירת המטבח שלך, באמצעות העיפרון הישן והטוב כדי לבצע את הערכים החשובים האלה שם."

כמובן, אנחנו מדברים כאן על פורמט האפליקציה של מנהל סיסמאות. יש טענה שמחברת של סיסמאות כתובות במיקום מאובטח בבית שלך מאובטחת יותר מכל גרסה דיגיטלית. ובכל זאת, כדי לקבוע אם מנהלי סיסמאות מאובטחים יותר, שאלתי את וונדי נאת'ר, ראש ארגוני CISO מייעצים בסיסקו, מה היא חושבת על מצב האבטחה שלהם.

היא מכנה אותם "מאמץ מוקדם להציב ממשק פרוגרמטי בין המשתמש למערכת", שהוא לא מושלם אבל יכול להגן על המשתמש מבעיית הסיסמה וניתן לשפר אותו. Nather מודה שאנו נמצאים בימים הראשונים של מיגון והגנה על המשתמש בתהליך האימות. טכנולוגיות ותקנים ללא סיסמה כמו FIDO2 מאומצים, ואנחנו "רואים יותר שיפורים, אמינות ועקביות, וכל מה שחסר למשתמש הוא עקביות".

לעתים קרובות אנו רואים שדפדפנים רבים מציעים לשמור סיסמה. אמנם זו שיטה פוטנציאלית נוספת להפעלת הפרה, אך מתווספת גם פונקציונליות כדי להבטיח שהמשתמש יוזהר היכן ייתכן שהסיסמאות שלו נתפסו ב- נתוני פרה.

מנהלי סיסמאות הם צעד קדימה מכתיבתן והשארתם במקום נגיש או אפילו באפליקציה אחרת או שימוש באותה סיסמה לכל שירות. ובכל זאת, ברור שהם עבודה בתהליך בכל הנוגע לאבטחה הכללית שלהם. Thorsheim אומר שזה מקרה של שימוש נכון בהם, ו"זה כולל לאפשר להם ליצור סיסמה אקראית לכל אתר שיש לנו."

אולם מאחר שלמנהלי סיסמאות יש אפשרויות שונות זמינות לאבטחת הנתונים שלך וחשבונך, ת'ורסהיים אמר שלעתים קרובות זה תלוי במשתמש "להבין, להגדיר ולהשתמש ברבות מהאפשרויות הללו, ורוב האנשים לא קוראים את המדריך, והם בוודאות אל תשנה שום הגדרות ברירת מחדל!"

זה גרם לו להעיר שיותר מדי משתמשים אינם מבינים כיצד הם משתמשים במנהל סיסמאות בדפדפן, והבעיה העיקרית של "איך אתה משתמש בהם חשובה יותר מאשר באיזה מהם אתה בוחר להשתמש, לדעתי."

יכול להיות שמנהלי סיסמאות הם טכנולוגיה מתפתחת במידת הפיתוח שלהם לשימוש הציבור. עד כמה הם ידידותיים למשתמש ללא הדרכה, בעוד שהחברות שמפתחות אותם נתונות לאותן התקפות שכל נקודת קצה אחרת בעולם. בסופו של דבר הם אוצר של גישה לשחקן איום, וזה הגיוני לחלוטין למה הם יהיו ממוקדים.

בעוד שהפרות נמשכו שנים רבות, חלק מהפלטפורמות הושפעו, ואחרות מיישמות כל הזמן הגנות כדי להבטיח שהן יוכלו לשרוד פרצת נתונים או התקפה ממוקדת. עלינו להיות מציאותיים לגבי מידת האבטחה הנוספת שהם מציעים לשימוש בסיסמה. במשך זמן רב מדי, אנשים עשו שימוש חוזר בסיסמאות ונאמר להם לשנות את הסיסמאות שלהם לאחר אירוע אבטחה; ביום ה-Change Your Password National, אולי הגיע הזמן לשנות את דרך החשיבה שלך לגבי מנהלי סיסמאות: השתמש בהם, תבין איך הם עובדים ואיך טוב לך איתם מאשר בלעדיהם.

 

חזקו את אבטחת המידע שלכם עוד היום

אם אתה מחפש להתחיל את המסע שלך לאבטחת מידע טובה יותר, אנחנו יכולים לעזור.

פתרון ה-ISMS שלנו מאפשר גישה פשוטה, מאובטחת ובת קיימא לאבטחת מידע וניהול נתונים עם ISO 27001 ולמעלה מחמישים מסגרות נוספות. הבינו את היתרון התחרותי שלכם עוד היום.

ספר הדגמה

מְחַבֵּר

דן רייווד

דן רייווד כתב על אבטחת IT מאז 2008, והוא אנליסט לשעבר ב-451 Research Practice. הוא דיבר בתערוכות כולל 44CON, SecuriTay, SteelCon, Irisscon ו-Infosecurity Europe, וכן כתב עבור מספר בלוגים של ספקים והציג בשידורי אינטרנט.

צפה בכל הפוסטים של דן רייווד

פוסטים קשורים

ISMS.online תומך כעת ב-ISO 42001 - מערכת ניהול הבינה המלאכותית הראשונה בעולם. לחץ למידע נוסף