Quali sono le vulnerabilità più pericolose degli utenti nella gestione delle password? [chiuso]

-2

Ci sono esempi in cui qualcosa non funziona . Ad esempio, diciamo che le persone hanno usato in modo improprio i gestori di password e sono stati violati o hanno subito delle perdite? Se sì, come?

Fondamentalmente, conosco le tipiche vulnerabilità di gestione delle password (o più probabilmente dei loro utenti). In particolare, sono interessato ai problemi realmente accaduti.

Mi chiedo se ci sia qualche caso in cui le persone hanno usato 1Password o LastPass e sono stati comunque compromessi e hanno perso denaro o qualcosa di significativo.

L'hack non deve essere l'errore dei gestori di password. Potrebbe essere proprio colpa degli utenti, che voglio evitare di fare.

Voglio vedere esempi così posso capire meglio tutte le vulnerabilità.

Quello che cerco principalmente è il caso in cui qualcuno con un account bitcoin ha perso bitcoin anche se ha usato 1Password, AllPass, per esempio.

La maggior parte è probabile che sia l'errore proprio degli utenti. Voglio sapere che tipo di errori devo preoccuparmi quando utilizzo gestori di password.

Sono consapevole che AllPass è stato hackerato, ma nessuno ha perso i soldi a causa di ciò.

Questo include qualsiasi punto di errore, come dimenticare le password principali. Qualsiasi cosa "indesiderabile" che non sia intenzionale e non intenzionale.

    
posta user4951 01.10.2018 - 19:33
fonte

2 risposte

4

Nel giugno 2018, ZDNet ha segnalato che il gestore delle password OneLogin è stato violato, esponendo i dati sensibili dei clienti. Qualche mese prima, un altro famoso gestore di password, LastPass, aveva anche un problema di sicurezza fastidioso come questo articolo del Regno Unito descrive ( LastPass era stato precedentemente violato due anni prima.)

In conclusione: la potenziale sicurezza derivante dall'uso di un gestore di password supera qualsiasi potenziale problema di sicurezza da parte loro.

Il mio preferito è 1Password.

PCMag.com ha assegnato a Dashlane e Keeper il loro Editor's Choice:

I migliori gestori di password del 2018

    
risposta data 01.10.2018 - 19:58
fonte
4

Queste sono le minacce che ho identificato quando ho a che fare con i gestori di password.

  • È un singolo punto di errore. Se si dimentica la password principale o viene rubata, tutto sarà compromesso. Hai bisogno di backup come tutto il resto, ma devi assicurarti che i backup siano almeno altrettanto sicuri di tutto il resto, altrimenti diventerà l'anello più debole della catena e un singolo punto di errore ancora peggiore.
  • I gestori di password, come tutte le applicazioni, possono avere bug che portano a vulnerabilità della sicurezza o possono essere danneggiati per aggiungere backdoor nascosti.
  • I gestori di password popolari, poiché sono comunemente usati da molte persone, possono diventare un bersaglio specifico anche in attacchi generici. Ad esempio, ciò significa che se PopularManager memorizza tutte le password in ~ / popularmanagers / passwords.db, è più probabile che il malware venga scritto per verificare tale percorso (e probabilmente rubare il database, ecc.). Lo stesso vale per il phishing e tutto ciò che può essere indirizzato a uno specifico gestore di password popolare.
  • I gestori di password online possono essere compromessi in molti più modi, non solo attaccando l'utente o il loro client, ma anche attaccando il server o le persone che forniscono il servizio.

Non riesco a pensare a nessun altro al momento. Se tali minacce meritano di essere considerate o meno, dipende dal "modello di minaccia", che a sua volta dipende da alcuni compromessi. Se decidi di non utilizzare un gestore di password per evitare le minacce di cui sopra, dovrai affrontare altre minacce specifiche. Oggi ci sono troppe password da ricordare, direi da almeno una dozzina a circa un centinaio in media. Alcune persone come parte del loro lavoro potrebbero dover utilizzare anche più di un centinaio di password. Come gestirlo?

  • Utilizza la stessa password ovunque, o password simili basate su un modello. Questo significa che l'amministratore di StackExchange sarebbe in grado di accedere a tutti i tuoi account (poiché le password saranno uguali o molto simili), e lo stesso è vero per qualsiasi utente malintenzionato che è riuscito a compromettere StackExchange, e lo stesso è vero per qualsiasi altro servizio in cui hai un account.
  • scrivili da qualche parte. Il che significa che userete comunque una sorta di "password manager". Se li scrivi su un pezzo di carta, quel pezzo di carta sarà il tuo "gestore di password". Se li scrivi in un file sul tuo computer, quel file sarà il tuo "gestore di password". E questi "gestori di password" affronteranno tutte le minacce discusse sopra, oltre a più minacce a seconda di quanto succhiano. Ad esempio, se si scrivono password su un pezzo di carta, allora cosa si intende fare quando è necessario immettere una password? Prendi il pezzo di carta e lo digiti. Ma se sei in un ufficio (oa casa), tutti intorno a te vedranno dove manterrai tutte le tue password. Dovresti bloccarlo da qualche parte, ma poi dovrai tenere la chiave con te tutto il tempo. Inoltre mentre stai digitando le password, tutti potrebbero facilmente dare un'occhiata al pezzo di carta (o scattare una foto) e vedere la tua password. Oh, e non dimenticare il backup del pezzo di carta. Questi sono solo alcuni esempi, basti pensare a tutti gli scenari e ti renderai conto che ci sono molte minacce.

Come puoi vedere, nella maggior parte dei casi, non utilizzare un gestore di password introdurrà molte più minacce che sono difficili da mitigare, quindi è consigliabile comunque utilizzare i gestori di password.

    
risposta data 06.10.2018 - 20:26
fonte