Wagwoordbestuurders: 'n Werk aan die gang ten spyte van gewildheid
Aan die einde van 2022 het LastPass nog 'n sekuriteitsvoorval aangemeld, en terwyl ons 'n dag merk om wagwoorde te verander, vra Dan Raywood of 'n ander stuk kuberveiligheidsagteware soveel sekuriteitsinsidente ondervind het, sou gebruikers dit nou al opgegee het?
Aan die einde van 2022 het die verifikasieverkoper LastPass gebruikers en die wyer wêreld van 'n veiligheidsvoorval waar "'n ongemagtigde party toegang verkry het tot 'n derdeparty-wolkgebaseerde bergingsdiens, wat LastPass gebruik om argiefrugsteun van ... produksiedata te stoor."
Die voorval het wêreldwyd nuus geskep, insluitend van Wired, wat erg krities was oor LastPass se optrede – of, om eerliker te wees – sy gebrek aan reaksie op noodsaaklike vrae, en beskuldig dat dit nie “bykomende inligting aan verwarde en bekommerde kliënte verskaf nie.”
LastPass-oortreding: wat, wanneer en hoe
Die voorval het plaasgevind toe 'n bedreigingsakteur toegang tot 'n wolk-gebaseerde bergingsomgewing verkry het, met behulp van inligting verkry uit 'n voorval wat dit voorheen in Augustus 2022 bekend gemaak het. uit ons ontwikkelingsomgewing gesteel en gebruik om 'n ander werknemer te teiken, geloofsbriewe en sleutels te verkry wat gebruik is om toegang tot sekere bergingsvolumes binne die wolkgebaseerde bergingsdiens te verkry en te dekripteer,” het LastPass in sy verklaring gesê.
Hierdie twee verwante voorvalle is nie die eerste keer dat LastPass negatiewe sekuriteitsopskrifte in die gesig staar nie. Terug in 2015, het die maatskappy gebruikers gewaarsku oor “verdagte aktiwiteit op ons netwerk”, waar “LastPass-rekening-e-posadresse, wagwoordherinneringe, bediener per gebruiker-soute en verifikasie-hashes gekompromitteer is.”
Dit is nie bedoel om LastPass uit te sonder nie, aangesien ander wagwoordbestuurderverskaffers gely het veiligheidsvoorvalle in die verlede, maar eerder 'n vraag of wagwoordbestuurders geskik is vir 'n doel in 2023. As 'n ander stuk kubersekuriteitsagteware soveel sekuriteitsinsidente ondervind het, sou gebruikers dit nou al opgegee het?
Moet wagwoordbestuurders vertrou word?
In 'n onlangse Twitter-peiling, het ons gevra of gebruikers, ten spyte van oortredings soos die een wat LastPass ervaar, steeds 'n wagwoordbestuurder as die beste metode sal beskou om wagwoorde veilig te stoor. In ons peiling was daar 96 respondente, en 85 persent het saamgestem dat dit die beste opsie is. Kommentaar wat ons ontvang het, het gesê, "die teorie agter die werking daarvan is steeds meestal gesond", aangesien kluise steeds met die gebruiker se hoofwagwoord geïnkripteer is. Die opsies rondom wagwoordbestuurders verskil tussen plaaslik en wolkgebaseer, alhoewel dit "'n waardevolle opsie is wat baie tyd [en] moeite kan bespaar, en is beter as om wagwoorde te hergebruik of net slegtes te kies."
Per Thorsheim, stigter van PasswordsCon, het gesê dat die "baie maklike antwoord ja is, aangesien wagwoordbestuurders goed is, en ek beveel hulle absoluut aan" toe ons hom vra of hy voel dat wagwoordbestuurders steeds die beste opsie is ondanks die aantal oortredings wat ons het gesien.
Thorsheim waarsku egter teen die aantal wagwoordbestuurders, aangesien hy glo dat “n hele paar 'silikonslangolie' in terme van sekuriteit aan die duur kant kan wees, en die gebruikerservaring sal dalk nie so maklik wees as wat jy sou verwag nie. .
Thorsheim het ook gesê dat ''n wagwoordbestuurder nie 'n aparte toepassing, multi-toestel hoef te wees of onmiddellike multi-wolk-sinkronisering tussen toestelle te verskaf nie. ’n Wagwoordbestuurder kan ook so eenvoudig soos ’n notaboek in jou kombuislaai wees, met die goeie ou potlood om daardie belangrike inskrywings daar te maak.”
Natuurlik praat ons hier oor die toepassingformaat van 'n wagwoordbestuurder. Daar is 'n argument wat gemaak moet word dat 'n notaboek van geskrewe wagwoorde op 'n veilige plek in jou huis veiliger is as enige digitale weergawe. Tog, om vas te stel of wagwoordbestuurders veiliger is, het ek Wendy Nather, hoof van adviserende CISO's by Cisco, gevra wat sy van hul toestand van sekuriteit dink.
Sy noem hulle "'n vroeë poging om 'n programmatiese koppelvlak tussen die gebruiker en stelsel te plaas," wat onvolmaak is, maar die gebruiker kan beskerm teen die wagwoordprobleem en verbeter kan word. Nather erken dat ons tans in die vroeë dae is om die gebruiker in die verifikasieproses te beskerm en te beskerm. Wagwoordlose tegnologieë en standaarde soos FIDO2 word aangeneem, en ons "sien meer verbeterings, betroubaarheid en konsekwentheid, en al wat die gebruiker kort, is konsekwentheid."
Ons sien nou dikwels dat baie blaaiers aanbied om 'n wagwoord te stoor. Alhoewel dit nog 'n moontlike metode is vir 'n oortreding om geaktiveer te word, word funksionaliteit ook bygevoeg om te verseker dat die gebruiker gewaarsku word waar hul wagwoorde moontlik vasgevang is in 'n databreuk.
Wagwoordbestuurders is 'n stap vorentoe om dit neer te skryf en op 'n toeganklike plek of selfs op 'n ander toepassing te laat of om dieselfde wagwoord vir elke diens te gebruik. Tog is dit duidelik dat hulle 'n werk aan die gang is wanneer dit kom by hul algehele sekuriteit. Thorsheim sê dit is 'n geval van behoorlike gebruik daarvan, en "dit sluit in dat hulle 'n ewekansige wagwoord kan genereer vir elke webwerf wat ons het."
Maar aangesien wagwoordbestuurders verskillende opsies beskikbaar het om jou data en jou rekening te beveilig, het Thorsheim gesê dit is dikwels die gebruiker “om baie van daardie opsies te verstaan, op te stel en te gebruik, en die meeste mense lees nie die handleiding nie, en hulle is sekerlik moenie enige verstekinstellings verander nie!”
Dit het hom laat kommentaar lewer dat te veel gebruikers nie verstaan hoe hulle 'n wagwoordbestuurder in die blaaier gebruik nie, en die hoofprobleem van "hoe jy dit gebruik, is volgens my belangriker as watter een jy kies om te gebruik."
Dit kan die geval wees dat wagwoordbestuurders 'n opkomende tegnologie is in hoe goed ontwikkel hulle vir publieke gebruik is. Hoe gebruikersvriendelik hulle is sonder instruksie, terwyl die maatskappye wat dit ontwikkel, onderhewig is aan dieselfde aanvalle as elke ander eindpunt in die wêreld. Uiteindelik is hulle 'n skatkis van toegang vir 'n bedreigingsakteur, en dit maak heeltemal sin hoekom hulle geteiken sou word.
Terwyl oortredings al vir baie jare aangehou het, is sommige platforms geraak, en ander implementeer voortdurend beskerming om te verseker dat hulle 'n data-oortreding of geteikende aanval kan oorleef. Ons moet realisties wees oor hoeveel bykomende sekuriteit hulle bied vir wagwoordgebruik. Vir te lank het mense wagwoorde hergebruik en is aangesê om hul wagwoorde te verander na 'n sekuriteitsvoorval; op Nasionale Verander jou wagwoord-dag is dit dalk tyd om jou manier van dink oor wagwoordbestuurders te verander: Gebruik hulle, verstaan hoe hulle werk en hoe jy beter daaraan toe is as sonder hulle.
Versterk jou inligtingsekuriteit vandag
As jy jou reis na beter inligtingsekuriteit wil begin, kan ons help.
Ons ISMS-oplossing maak 'n eenvoudige, veilige en volhoubare benadering tot inligtingsekuriteit en databestuur moontlik ISO 27001 en meer as vyftig ander raamwerke. Besef vandag jou mededingende voordeel.
