Salasanojen hallintaohjelmat: Työ käynnissä suosiosta huolimatta
Vuoden 2022 lopussa LastPass ilmoitti toisesta tietoturvahäiriöstä, ja kun vietetään salasanojen vaihtamispäivää, Dan Raywood kysyy, jos joku toinen kyberturvallisuusohjelmisto olisi kärsinyt niin monista tietoturvahäiriöistä, olisivatko käyttäjät jo luopuneet siitä?
Vuoden 2022 lopussa todennustoimittaja LastPass ilmoitti käyttäjille ja muulle maailmalle turvallisuusvälikohtaus jossa "valtuuttamaton osapuoli sai pääsyn kolmannen osapuolen pilvipohjaiseen tallennuspalveluun, jota LastPass käyttää arkistoitujen varmuuskopioiden tallentamiseen .. tuotantotiedoista."
Tapaus loi otsikoita maailmanlaajuisesti, mukaan lukien Wired, joka kritisoi voimakkaasti LastPassin toimintaa – tai, rehellisemmin sanottuna – sen vastausten puuttumista olennaisiin kysymyksiin, ja syytti sitä siitä, että se ei antanut "lisätietoja hämmentyneelle ja huolestuneille asiakkaille".
LastPass-rikkomus: mitä, milloin ja miten
Tapaus sattui, kun uhkatekijä pääsi pilvipohjaiseen tallennusympäristöön hyödyntäen tietoja, jotka oli saatu aiemmin elokuussa 2022 julkistamastaan tapauksesta. ”Vaikka asiakastietoja ei käsitelty elokuun 2022 tapahtuman aikana, osa lähdekoodista ja teknisistä tiedoista varastettiin kehitysympäristöstämme ja sitä käytettiin toisen työntekijän kohdistamiseen hankkien valtuustietoja ja avaimia, joita käytettiin joihinkin pilvipohjaisen tallennuspalvelun tallennustilamääriin ja niiden salauksen purkamiseen", LastPass sanoi lausunnossaan.
Nämä kaksi toisiinsa liittyvää tapausta eivät ole ensimmäinen kerta, kun LastPass on kohdannut negatiivisia tietoturvaotsikoita. Takaisin 2015, yhtiö varoitti käyttäjiä "epäilyttävästä toiminnasta verkossamme", jossa "LastPass-tilin sähköpostiosoitteet, salasanamuistutukset, palvelinkohtaiset suolat ja todennustiivisteet vaarantuivat".
Tämän ei ole tarkoitus korostaa LastPassia, koska muut salasananhallintapalveluntarjoajat ovat kärsineet turvallisuustilanteet Menneisyydessä, mutta enemmän kysymys siitä, ovatko salasananhallintaohjelmat tarkoituksenmukaisia vuonna 2023. Loppujen lopuksi, jos toinen kyberturvallisuusohjelmisto olisi kärsinyt niin monista tietoturvahäiriöistä, olisivatko käyttäjät jo luopuneet siitä?
Ovatko salasananhallinnat luotettavia?
Eräässä äskettäin Twitter-kysely, kysyimme, pitävätkö käyttäjät LastPassin kaltaisista rikkomuksista huolimatta salasanojen hallintaa parhaana tapana tallentaa salasanoja turvallisesti. Kyselyssämme oli 96 vastaajaa, ja 85 prosenttia piti sitä parhaana vaihtoehtona. Saamissamme kommenteissa sanottiin, että "sen toiminnan taustalla oleva teoria on edelleen pääosin hyvä", koska varastot ovat edelleen salattuja käyttäjän pääsalasanalla. Salasanojen hallinnan vaihtoehdot vaihtelevat paikallisten ja pilvipohjaisten välillä, vaikka se on "arvokas vaihtoehto, joka voi säästää paljon aikaa [ja] vaivaa ja on parempi kuin salasanojen uudelleenkäyttö tai vain huonojen salasanojen valitseminen".
Per Thorsheim, PasswordsConin perustaja, totesi, että "erittäin helppo vastaus on kyllä, koska salasanojen hallintaohjelmat ovat hyviä, ja suosittelen niitä ehdottomasti", kun kysyimme häneltä, oliko salasananhallinta edelleen paras vaihtoehto lukuisista rikkomuksista huolimatta. on nähnyt.
Thorsheim kuitenkin varoittaa salasanojen hallintaohjelmien määrästä, koska hän uskoo, että "melko monet ovat turvallisuuden kannalta 'piikäärmeöljyä', voivat olla kalliita ja käyttökokemus ei välttämättä ole niin helppoa kuin odotat. .
Thorsheim totesi myös, että "salasanojen hallinnan ei tarvitse olla erillinen sovellus, useita laitteita tai tarjota välitöntä monipilven synkronointia laitteiden välillä. Salasanojen hallinta voi olla myös yksinkertainen kuin muistivihko keittiön laatikossa, jossa tärkeät merkinnät tehdään vanhalla hyvällä kynällä."
Tietenkin puhumme tässä salasananhallinnan sovellusmuodosta. On syytä väittää, että kirjoitettujen salasanojen muistikirja turvallisessa paikassa kotonasi on turvallisempi kuin mikään digitaalinen versio. Silti selvittääkseni, ovatko salasanojen hallintaohjelmat turvallisempia, kysyin Wendy Natherilta, Ciscon neuvoa-antavan CISO:n johtajalta, mitä hän ajattelee niiden turvallisuustilasta.
Hän kutsuu niitä "varhaisyritykseksi asettaa ohjelmallinen käyttöliittymä käyttäjän ja järjestelmän välille", mikä on epätäydellinen, mutta voi suojata käyttäjää salasanaongelmalta ja jota voidaan parantaa. Nather myöntää, että olemme tällä hetkellä varhaisessa vaiheessa suojaamassa ja suojelemassa käyttäjää todennusprosessissa. Salasanattomat tekniikat ja standardit, kuten FIDO2 on otettu käyttöön, ja "näemme lisää parannuksia, luotettavuutta ja johdonmukaisuutta, ja kaikki, mitä käyttäjältä puuttuu, on johdonmukaisuus".
Usein monet selaimet tarjoavat nyt salasanan tallentamista. Vaikka tämä on toinen mahdollinen tapa ottaa murto käyttöön, toiminnallisuutta lisätään myös sen varmistamiseksi, että käyttäjää varoitetaan siitä, missä hänen salasanansa on saatettu kiinni. tietoturvaloukkauksesta.
Salasanojen hallintaohjelmat ovat askel eteenpäin, kun ne kirjoitetaan muistiin ja jätetään helposti saatavilla olevaan paikkaan tai jopa toiseen sovellukseen tai käyttävät samaa salasanaa jokaiseen palveluun. Silti on selvää, että ne ovat työn alla, kun kyse on niiden yleisestä turvallisuudesta. Thorsheim sanoo, että kyse on niiden oikeasta käytöstä, ja "johon sisältyy se, että he voivat luoda satunnaisen salasanan jokaiselle verkkosivustollemme."
Mutta koska salasanojen hallinnoijilla on käytettävissään erilaisia vaihtoehtoja tietojesi ja tilisi suojaamiseen, Thorsheim sanoi, että usein käyttäjän on "ymmärtää, määrittää ja käyttää monia noista vaihtoehdoista, ja useimmat ihmiset eivät lue käyttöohjetta, ja he ovat varmoja. älä muuta mitään oletusasetuksia!”
Tämä sai hänet kommentoimaan, että liian monet käyttäjät eivät ymmärrä, kuinka he käyttävät salasananhallintaa selaimessa, ja pääongelma, "miten käytät niitä, on mielestäni tärkeämpi kuin kumpaa valitset."
Saattaa olla niin, että salasanojen hallintaohjelmat ovat nouseva teknologia sen suhteen, kuinka hyvin ne ovat julkiseen käyttöön. Kuinka käyttäjäystävällisiä ne ovat ilman ohjeita, kun taas niitä kehittäviin yrityksiin kohdistuu samoja hyökkäyksiä kuin kaikkiin muihin päätepisteisiin maailmassa. Lopulta ne ovat uhkatoimijan aarreaitta, ja on täysin järkevää, miksi he joutuisivat kohteena.
Vaikka tietomurrot ovat jatkuneet useita vuosia, ne ovat vaikuttaneet joihinkin alustoihin, ja toiset ottavat jatkuvasti käyttöön suojauksia varmistaakseen, että ne selviävät tietomurrosta tai kohdistetusta hyökkäyksestä. Meidän on oltava realistisia sen suhteen, kuinka paljon lisäturvaa ne tarjoavat salasanan käytölle. Liian pitkään ihmiset ovat käyttäneet salasanoja uudelleen ja heitä on käsketty vaihtamaan salasanansa tietoturvahäiriön jälkeen. Kansallisen salasanan vaihtamisen päivänä, ehkä on aika muuttaa ajattelutapaasi salasanojen hallintaohjelmista: Käytä niitä, ymmärrä, miten ne toimivat ja kuinka voit paremmin niiden kanssa kuin ilman niitä.
Vahvista tietoturvaasi jo tänään
Jos haluat aloittaa matkasi kohti parempaa tietoturvaa, voimme auttaa.
ISMS-ratkaisumme mahdollistaa yksinkertaisen, turvallisen ja kestävän lähestymistavan tietoturvaan ja tiedonhallintaan ISO 27001 ja yli viisikymmentä muuta kehystä. Ymmärrä kilpailuetusi jo tänään.
