Вы используете устаревший браузер!

Страница может отображаться некорректно.

Правила гигиены

Правила гигиены

Другие выпуски этой рубрики (90)
  • добавить в избранное
    Добавить в закладки

Пароли: по секрету всему свету

Прочитали: 6726 Комментариев: 131 Рейтинг: 283

«А расскажите подробнее о взломах менеджеров паролей в следующих выпусках.
Будет очень интересно!»

Voin sveta, участник сообщества Dr.Web

Рекомендации использовать сложные пароли и часто менять их слышны постоянно. Но практика показывает, что введение в компании политики по регулярной смене паролей мгновенно приводит к появлению листочков на мониторе или в лучшем случае под клавиатурой – и это, естественно, не есть хорошо. Казалось бы, выходом из ситуации является использование менеджеров паролей – специального ПО, предназначенного для генерации сложных паролей, их хранения, а также автоматической подстановки паролей при соответствующих запросах того же браузера. Удобно, да? Хакерам тоже.

Исследователь из Security Assessment Денис Андзакович (Denis Andzakovic) опубликовал на GitHub бесплатную тулзу, названную KeeFarce. Достаточно запустить KeeFarce на компьютере жертвы, когда та авторизована в популярном кроссплатформенном менеджере паролей KeePass, и инструмент дешифрует весь архив с паролями, сохранив его отдельным файлом (злоумышленник может забрать файл сразу или сделать это позже, удаленно).

Принцип работы KeeFarce базируется на DLL-инъекции. Вредоносный код запускает в самом менеджере паролей вполне легитимную функцию экспорта, благодаря которой открытая в этот момент БД (включая все логины, пароли, заметки и URL, хранящиеся в ней) сохраняется в CSV файл, в виде простого текста.

https://xakep.ru/2015/11/05/keefarce

Специалистом по компьютерной безопасности Шоном Кэссиди (Sean Cassidy) была обнаружена возможность для фишинговой атаки на LastPass. Он остроумно назвал ее LostPass (утерянные пароли). Сначала злоумышленник заманивает вас на свой сайт, который демонстрирует поддельное уведомление о том, что ваша сессия истекла и необходимо залогиниться снова.

Так как уведомление поддельное, нажатие на кнопку Try Again приведет на специально созданную страницу, выглядящую точно так же, как стандартная форма для ввода логина и пароля LastPass. Она даже адрес будет иметь почти такой же, какой обычно имеют служебные страницы браузера, открываемые установленными расширениями. За исключением небольшой детали, которую я выделил на скриншоте. Уверен, что большинство пользователей не обратят на подобную мелочь никакого внимания.

#drweb

Далее вы вводите на этой странице свои логин и пароль для входа в LastPass, и они тут же попадают в руки к хакерам. В результате последние получают полный доступ ко всем вашим сайтам и учетным данным. Атака срабатывает даже в том случае, если у вас включена двухфакторная аутентификация, только последовательность действий хакера будет на один шаг больше. Подробнее о работе LostPass можно прочитать здесь (на английском).

https://lifehacker.ru/2016/01/17/lostpass

Неуязвимых программ нет!

Если вы используете некую программу, то вы держите в руках гранату. Вопрос только в том, кто и когда выдернет чеку (и выдернет ли) и насколько сильно рванет.

Многие пользователи часто работают за разными компьютерами, и поэтому они запускают менеджеры паролей со съемных устройств. Поскольку как правило для работы программ требуются внешние библиотеки, то возможность загрузки несанкционированной библиотеки может превратить менеджер паролей (при наличии соответствующей уязвимости) в опасного распространителя вирусов.

https://xakep.ru/2014/09/08/password-manager-pentest

Из пяти менеджеров паролей, участвовавших в тесте, только один смог успешно противостоять всем атакам и не выдал хранимых данных, при этом пользователи, комментировавшие статью, обратили внимание, что для атак не были использованы все возможности. И время подтвердило их правоту.

В феврале 2016 года исследователь Флориан Богнер (Florian Bogner) нашел уязвимость в менеджере паролей KeePass версий 2.x: механизм обновления программы устроен таким образом, что обращение за апдейтами к серверам KeePass осуществляется посредством HTTP. Благодаря этой особенности на KeePass можно осуществить man-in-the-middle атаку, подменив легитимный апдейт вредоносным файлом. К тому же менеджер паролей никак не верифицирует скачиваемые пакеты обновлений, что дополнительно упрощает работу злоумышленнику.

https://xakep.ru/2016/06/06/no-https-for-keepass

#безопасность #пароль

Dr.Web рекомендует

  • Менеджеры паролей действительно удобны (использовать их намного безопаснее, чем просто иметь один и тот же пароль ко всем ресурсам или использовать пароль, легкий для запоминания и подбора), но никакое средство безопасности не отменяет тот факт, что наиважнейшим фактором защиты является ваша собственная голова.
  • БОльшая часть описанных проблем с менеджерами паролей связана с возможностью наличия на компьютерах вредоносного ПО. Поэтому, если вы заботитесь о своих паролях и доверили их компьютеру, помните: установка антивируса – обязательна!
  • Один пароль все же нужно запомнить и регулярно менять – пароль к самому менеджеру. Внимание! Менеджеры паролей не сохраняют мастер-пароль где-либо на компьютере, и каждый раз при использовании менеджера пользователь должен вводить его вручную. А злоумышленники для перехвата таких паролей, как правило, используют кейлоггеры плюс запись движения курсора и снимки экрана, если вы используете виртуальную клавиатуру.
  • Не забывайте закрывать менеджер паролей после того, как завершите работу с ним.
  • Важные ресурсы не должны включаться в список сервисов с автоматическим входом. Подстановка паролей должна применяться только к тем ресурсам, которые посещаются несколько раз в день и не содержат критически важной информации.
  • При выборе менеджера обратите внимание на место хранения паролей – локально или в облаке. Локальное хранение позволяет использовать менеджер даже при отсутствии доступа в Интернет. Плюс появляется уверенность в защите от взлома владельцев сервиса, хранящего пароли. Но, с другой стороны, это означает, что при наличии нескольких устройств приходится самостоятельно вводить пароль там, где отсутствует менеджер паролей, или хранить общую базу на облачном сервисе.

И в завершении – об отношении авторов менеджеров паролей к безопасности пользователей. Речь идет об уязвимости KeePass, упомянутой выше.

Исследователь уведомил разработчиков KeePass о проблеме еще феврале 2016 года, однако лично глава проекта Доминик Райхл (Dominik Reichl) сообщил исследователю в письме, что уязвимость устранена не будет.

«Эта уязвимость исправлена не будет. Косвенные расходы, которые повлечет за собой переход на HTTPS (к примеру, потерю доходов от рекламы), делают это решение нежизнеспособным», — писал Рейчл.

https://xakep.ru/2016/06/06/no-https-for-keepass

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: