Nem biztonságosak a webes jelszókezelő szolgáltatások

A kutatók ötféle webes jelszómenedzselő szolgáltatást vizsgáltak meg, az eredmények pedig igencsak lehangolóak lettek.

Nem biztonságosak a webes jelszókezelő szolgáltatások

Nemrégiben, amikor a Heartbleed bug napvilágot látott, a felhasználóknak rengeteg weboldalon kellett jelszót változtatniuk annak érdekében, hogy a biztonsági rés befoltozása után maximálisan biztonságban lehessenek. A jelszócsere sokak számára komoly problémát jelentett, ugyanis egy, vagy akár több tucatnyi weboldalhoz tartozó jelszót megjegyezni elég nehéz, már ha az ember megfogadja azt a tanácsot, hogy ne használja minden weboldalon ugyanazt a jelszót.

Sokan ezért webes jelszómenedzselő szolgáltatások segítségét vették igénybe, ami nagyfokú kényelmet biztosít, viszont egy friss tanulmány szerint azok, akik így jártak el, cseberből vederbe csöppentek. Az UC Berkley kutatócsoportjának korábbi vizsgálatai alapján ezek a webes jelszómenedzselő szolgáltatások több sebből véreznek, így a segítségükkel eltárolt jelszavak abszolút nincsenek biztonságban.

A kutatócsoport tagjai öt webes jelszókezelő szolgáltatást vettek górcső alá – ezek között a LastPass, a RoboForm, a NeedMyPassword, a My1Lohin és a PasswordBox szerepelt. Rossz hír, hogy a felsorolt szolgáltatások mindegyike sebezhető volt, azaz esetükben legalább egy hatásos támadásfajtát találtak a kutatók (cross-site scripting, phishing, könyvjelző alapú támadhatóság, stb...). A vizsgálat során az öt szereplő közül nem sikerült győztest kikiáltani, ugyanis egyik pont ugyanolyan sebezhető volt, mint a másik.

A kutatók a vizsgálat eredményeit megosztották a szóban forgó szolgáltatások üzemeltetőivel, így azoknak lehetőségük volt a hiba javítására még azelőtt, hogy a kutatás eredményeit publikálták volna. A lehetőséggel szerencsére az érintettek többsége élt is. Egyetlen kivétel a NeedMyPassword volt, amelynek tulajdonosai nem reagáltak a megkeresésekre – még azután sem, hogy a kutatás eredményeit publikálták. Maga a vizsgálat egyébként közel egy éve zajlott le.

A kutatócsoport szakemberei kiemelik, vizsgálódásuk során nem voltak maximálisan alaposak, így könnyen lehet, hogy a fent említett szolgáltatások még tartalmaznak kritikus hibákat. A webböngészőn kívül futó alkalmazások – mint például a 1Password, a KeePass vagy a Password Safe– valamivel biztonságosabbak lehetnek, de nem szabad elfelejteni, 100%-osan hibamentes szoftver nincs. Ha felhő alapú szolgáltatást használunk, szintén érdemes odafigyelni, ugyanis a felhő által nyújtott kényelem további biztonsági kockázatokat jelenthet.

Tesztek

{{ i }}
arrow_backward arrow_forward
{{ content.commentCount }}

{{ content.title }}

{{ content.lead }}
{{ content.rate }} %
{{ content.title }}
{{ totalTranslation }}
{{ orderNumber }}
{{ showMoreLabelTranslation }}
A komment írásához előbb jelentkezz be!
Még nem érkeztek hozzászólások ehhez a cikkhez!
Segíts másoknak, mond el mit gondolsz a cikkről.
{{ showMoreCountLabel }}

Kapcsolódó cikkek

Magazin címlap arrow_forward