W kwietniu wiele mówiło się o tzw. Heartbleed, czyli luce bezpieczeństwa w popularnym protokole OpenSSL. Chodziło o to, że wiele stron internetowych, które z niego korzystało, było podatnych na ataki cyberprzestępców. W efekcie tysiące użytkowników mogło stracić swoje dane logowania i narazić się na niebezpieczeństwo utraty ważnych informacji. Jako remedium na taką sytuację proponowane były menedżery haseł. Jak się okazuje, nie wszystkie z nich są tak samo bezpieczne.
Gdzie tkwi problem? Winne są zakładki przeglądarek internetowych, ponieważ menedżery haseł często są w nich umieszczane. Przestępcy mogą to wykorzystać, umieszczając na stronach internetowych złośliwy kod, który „podpatrzy” i ukradnie dane zawarte w pamięci usługi chroniącej hasła. W ten sposób użytkownik może stracić dane logowania i hasła do wielu często wykorzystywanych stron internetowych.
Na ślad błędów w kilku internetowych menedżerów haseł natrafili specjaliści w dziedzinie bezpieczeństwa z Uniwersytetu Kalifornijskiego w Berkeley. We wrześniu 2013 roku odkryli, że 5 najpopularniejszych sieciowych menedżerów haseł jest narażonych na ataki, które pozwolą odczytać przechowywane w nich dane. Następnie poinformowali o tym zainteresowane firmy.
Ofiarami ataków mogli być użytkownicy następujących usług: LastPass, PasswordBox, RoboForm, my1login oraz NeedMyPassword. Wszystkie z wyjątkiem jednej – NeedMyPassword, zostały już poprawione i nie powinny stanowić zagrożenia dla użytkowników.
Co ważne – menedżery haseł, które nie mają wersji internetowych, nie są narażone na podobne zagrożenia. W dodatku większość z wymienionych wyżej firm zareagowały na informacje o problemach nienagannie, wydając odpowiednie patche i likwidując problem. Jednak jeśli korzystaliście z tych usług przed wrześniem 2013 roku, warto mimo wszystko rozważyć zmianę hasła głównego lub zmianę programu na lokalnego menedżera haseł (czyli takiego, który pracuje w pamięci komputera, a nie tylko w przeglądarce internetowej).
Jak widać bezpieczeństwie w internecie to dynamiczne zagadnienie, które ciągle się zmienia i ewoluuje. Jeszcze w kwietniu mówiło się, że menedżer haseł pomoże w zachowaniu bezpieczeństwa naszych danych. Dziś okazuje się, że to nie zawsze musi być prawda i bardzo wiele zależy od samych twórców takiego oprogramowania. A Wy z jakich metod korzystacie?
Więcej informacji na temat bezpieczeństwa w sieci znajdziecie w naszym dziale poświęconym temu zagadnieniu: bezpieczeństwo w Softonic.
- Hasła: zło konieczne, ale przyszłość zwiastuje duże zmiany
- Jakiego menadżera haseł wybrać? Porównanie Lastpass, 1Password oraz Dashlane
Źródła: devd.me (plik PDF), LastPass,
Źródło obrazka:David Goehring (Flickr)