Kako varni so upravitelji gesel?
- E-izobraževanje
- Blog
- Novice
- Kako varni so upravitelji gesel?
Kako varni so upravitelji gesel?
LastPass, eden izmed najbolj priljubljenih upraviteljev gesel na svetu, je bil avgusta lani tarča kibernetskega napada. Podjetje je sprva zagotavljalo, da so hekerji odnesli le dele izvorne kode in nekaj tehničnih informacij. Pred kratkim pa je podjetje priznalo, da je bil napad bistveno resnejši. Upravitelji gesel so zagotovo koristni, toda ali so tudi varni? Številne kršitve so tako povzročile veliko razprav in polemik o tovrstnih programih.
Kaj sploh so upravitelji gesel?
Gre za programe, ki uporabnikom omogočajo shranjevanje večjega seznama gesel na enem mestu, kjer so podatki varno shranjeni in zavarovani pred nepooblaščenimi vpogledi. To pa pomeni, da so ti podatki shranjeni v šifrirani obliki in da za odklepanje in dešifriranje potrebujemo geslo, ki smo ga določili sami. To geslo pa moramo uporabniki še posebej skrbno varovati. Uporabnikom, ki si težko zapomnijo različna gesla za vse spletne račune, so takšni programi zagotovo v veliko pomoč. Zlasti zato, ker se vedno znova odsvetuje uporaba enostavnih gesel ali uporaba enakega gesla za različne namene, saj je ravno to najpogostejša pot, preko katere spletni kriminalci vdrejo v naše račune. Ker pa to lahko pomeni na desetine različnih gesel, si bomo te zelo težko zapomnili, zato jih moramo nekako shraniti.
Težava pa nastane, ko postanejo tarča napadalcev prav upravitelji gesel. V kolikor hekerjem uspe vdreti v te storitve, lahko pridobijo dostop do naših najbolj zaupnih podatkov. In prav to se je zgodilo v primeru ponudnika LastPass. Tega uporablja že 33 milijonov registriranih uporabnikov in več kot 100.000 poslovnih strank. V vseh teh letih si je poleg množice uporabnikov pridobil tudi sloves varne in zanesljive rešitve, ki so jo priporočali tudi številni varnostni strokovnjaki.
Napad na LastPass
Prvotni napad na LastPass se je zgodil avgusta 2022. Čeprav je podjetje sprva zatrjevalo, da so napadalci odnesli le nekaj izvorne kode in tehničnih informacij, je LastPass pred kratkim sporočil, da so napadalci v vmesnem času dostopali do njihovega okolja za shranjevanje v oblaku in šifriranih shramb gesel z uporabo informacij, pridobljenih med avgustovskim napadom. Med drugim so tudi kopirali varnostno kopijo podatkov strank v oblaku, ki je vključevala šifrirana gesla, uporabniška imena in še veliko več. Ti podatki sicer še vedno ostajajo zavarovani s 256-bitnim šifriranjem AES in jih je mogoče dešifrirati samo z edinstvenim šifrirnim ključem, ki izhaja iz glavnega gesla vsakega uporabnika. Vendar se lahko napadalci sedaj z uporabo »brute-force« napada, socialnega inženiringa ali pa phishinga napada dokopljejo tudi do našega glavnega gesla.
Uradno obvestilo podjetja LastPass o varnostnem incidentu (Vir:LastPass)
Kaj pa sedaj?
Na žalost smo uporabniki še vedno prepuščeni dilemi, kako si zapomniti na desetine različnih gesel, da bi zavarovali svoje uporabniške račune. V želji, da bodo gesla nekega dne nadomestile boljše alternative, se večina varnostnih strokovnjakov še vedno strinja, da so upravitelji gesel v oblaku varni za uporabo in so pravzaprav najvarnejši način za shranjevanje gesel. Vsekakor pa je odločitev prepuščena vsakemu posamezniku posebej.
V luči zadnjih dogodkov pri LastPass pa z vami za konec delimo še nekaj uporabnih nasvetov, kako zaščititi svoja gesla v primeru, da ste uporabnik upravitelja gesel:
- Vsem uporabnikom LastPass svetujemo, da takoj spremenite vsa gesla, tako glavno geslo, kot tudi gesla za vsa spletna mesta in račune, shranjene v LastPassu.
- Premislite o menjavi upravitelja gesel, saj LastPass še zdaleč ni edini upravljavec gesel. Predlogi nekaj alternativ: NordPass, RoboForm, 1Password, Keeper, Dashlane.
- Glavno geslo, ki ga uporabljate v upravitelju gesel naj bo čim bolj kompleksno.
- Bodite pozorni na phishing napade ali napade s socialnim inžineringom, v katerih bi se napadalci lahko dokopali do vašega glavnega gesla v upravitelju gesel. Pomembno je vedeti, da vas ponudnik upravitelja gesel nikoli ne bo poklical, vam poslal e-pošte ali vam poslal SMS sporočila, v katerem vas bo prosil, da kliknete povezavo za potrditev svojih osebnih podatkov.
- Če program to omogoča, upravitelja gesel zaščitite z večstopenjsko avtentikacijo.
- Čim bolje zaščitite tudi svoje naprave, na katerih imate naložene aplikacije z upravitelji gesel.
- Bolj varni so upravitelji gesel, ki shranjujejo podatke lokalno, na napravi in torej ne v oblaku. Vsekakor pa imamo tako več dela z ustvarjanjem varnostnih kopij v primeru, da se naša naprava pokvari.
- Običajno so plačljivi upravitelji gesel veliko varnejših od večine brezplačnih. Slednji pogosto vsebujejo varnostne luknje, razvijajo jih sumljiva podjetja in včasih celo vključujejo zlonamerno programsko opremo.
- Vsekakor pa priporočamo, da tista res pomembna gesla shranimo v spomin in jih ne zaupamo nikomur!
DARILO
Različne nasvete iz kibernetske varnosti smo za vas izbrali tudi v obliki štirih ličnih ohranjevalnikov zaslona, s katerimi si lahko v vaši organizaciji pomagate pri boljši obrambi pred kibernetsko kriminaliteto.
Zahtevajte BREZPLAČEN komplet za vaše zaposlene zdaj!