Jelszómenedzserek, rések, frissítések

2017. március 06. 11:03 - Csizmazia Darab István [Rambo]

A biztonság kontra kényelem már egy nagyon régi paradoxon, és ha valaki egyszer végre szerencsésen túllép a feltörhetetlen "password", "123456" vagy a "kutyuska56" típusú jelszavak használatán, sőt ne adj' Isten még mindenhol egyedi és erős jelszót is választ, úgy örömmel fogad egy kis segítséget a memória területén.

A jelszómenedzser program ha nem is változtatja valóságos emlékké az emberek álmait, viszont abban valóban segít, hogy ne féljünk a bonyolult jelszavak elfelejtésétől. Ezek az alkalmazások hatékonyan segíthetnek az egyedi és erős jelszavak megjegyzésben, és használatukkal jobban járunk, mintha szándékosan "megjegyezhetőre" butítanánk, gyengítenénk azokat.

Persze az sosem árt, ha a jelszavaink sosem egyszerű szótári szavak, nem használjuk ugyanazt több helyen is, és a jelszó emlékeztetőnk se legyen maga a jelszavunk. Emellett jó gondolat lehet időközként indok és incidens nélkül is rendszeresen lecserélni jelszavainkat, például negyedévente.

Mint minden programban, a jelszómenedzserekben is fedeznek fel időnként hibákat. Legutóbb a németországi Fraunhofer Intézet TeamSIK csapata elemzett egy rakat, összesen kilenc Android alatt működő jelszómenedzser programot, és azokban számos súlyos sebezhetőséget talált.

A különféle vizsgált termékekben - például LastPass, 1Password, Keeper - összességében 26 darab olyan kihasználható kritikus hiba volt, amelyik lehetővé tette a kódolás ellenére a jelszavakhoz clear textben való hozzáférést a támadónak, beégetett crypto-kulcsokat tartalmaztak, vagy például az implementációban olyan hiba szerepelt, ami miatt a vágólap segítségével lehetett azokat jogosulatlanul megszerezni.

A jelentés weboldalán azóta (Breaking :-) már arról tájékoztatnak, hogy mindegyik érintett gyártó elvégezte a jelzett sérülékenységek teljeskörű befoltozását, ezért minden felhasználónak javasolják a mielőbbi alkalmazás frissítést. Végezetül egyik korábbi posztunkból idézzük az azóta is időszerűnek vélt zárógondolatunkat:

"A sebezhetőségek nyilvánosságra kerülése esetén a helyzet beismerése, az arra adott reagálás és magának a javítás megjelenésének a gyorsasága is nagyban meghatározhatja azt, hogy melyik jelszómenedzser termékbe helyezzük hosszú távon a bizalmunkat."

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása