.
En yaygın kullanılan şifre yöneticilerinden biri olan LastPass, geçtiğimiz haftalarda yaz aylarında yaşadığı güvenlik ihlalinin kullanıcılarının verilerini etkilediğini kabul etmişti. Bu, sıradan vatandaşların şifrelerinin, e-postalarının, bankalarının, dijital cüzdanlarının, her şeyin suçluların eline geçtiği anlamına geliyor. Prensip olarak şifrelenmiş olmasına rağmen.
Bu gerçek, LastPass kullanıcıları ve benzer parola yöneticileri kullanan diğerleri arasında alarma neden oldu. Bu noktada ne yapacağız? Bu çözümlere güvenmeye devam edecek miyiz? Başka bir şekilde yapmak mümkün mü?
Parola yöneticisi nasıl çalışır?
Bugün ortalama bir vatandaş, hem kişisel hem de profesyonel alanında birkaç düzine parola kullanıyor. Hepsi farklı ve yeterince uzun, rastgele ve karmaşık olmalıdır. Bu şekilde, bir hizmetteki bir veri ihlali, yalnızca o hizmetteki kullanıcının şifresini tehlikeye atar. Ve bir saldırganın, ortak parola sözlüklerini veya o kullanıcıyla ilgili kişisel bilgileri (doğum tarihi, evcil hayvan adı vb.) kullanarak kaba kuvvetle parolayı kırması zorlaşır.
Bu da onlarca farklı, uzun, gelişigüzel ve karmaşık şifrelerin hatırlanmasını imkansız hale getiriyor. Dolayısıyla, sezgisel olarak çözüm, onları bir yere “işaretlemektir”.
Analog çözüm bir defter veya defterdir, ancak sorun şu ki, sahiplerinin onu çok iyi koruması gerekiyor, çünkü kaybolursa veya birileri çalarsa, tüm hesapları tehlikeye girecek. Ayrıca tüm uygulamalarına ve hizmetlerine günlük olarak erişebilmek için her zaman yanlarında taşımaları gerekir.
Teknolojik çözüm, şifreleri bir depoda dijital formatta “not etmemizi” sağlayan şifre yöneticisidir. Nerede tutulurlar? İki alternatif vardır: kullanıcının kendi cihazında veya bulutta. İdeal olarak, parola deposunun güvenliği ihlal edildiğinde tüm parolaların kolayca kurtarılamayacağı kadar güçlü bir şekilde şifrelenir. Her kullanıcı, yöneticinin güvenliğinin bağlı olduğu bir parola veya ana ifade aracılığıyla parolalarını kullanması gerektiğinde şifresini çözebilecektir.
LastPass ihlali hakkında bildiklerimiz
2022 yazında 25 milyondan fazla kullanıcısı olan LastPass, bir güvenlik ihlali yaşadığını duyurdu. Saldırganlar, çözüm kodlarına ve diğer fikri mülkiyetlerine erişmişti, ancak kullanıcılarının şifre kasalarına erişememişti.
Ancak 2022 Noelinde saldırganların müşterilerinin kişisel verilerine ve daha da kötüsü bazılarının şifre depolarının yedek kopyalarına erişebildiklerini itiraf ettiler.
İhlal bildirimi, etkilenen kullanıcı veya parola sayısını sağlamadığından, bu olayın gerçek etkisini tahmin edemiyoruz.
Şifre: Ana Cümle
LastPass ekibi, bu mağazalardaki kritik bilgilerin her kullanıcının parolasından türetilen bir anahtarla şifrelendiğini açıklayarak kullanıcılarına güven vermeye çalıştı. 2018’den bu yana, bu ifadeler en az 12 karakter uzunluğunda olmalıdır, onları kaba kuvvetle kırmak (bu, olası tüm kombinasyonları denemek anlamına gelir) zaman ve kaynak açısından çok maliyetli olacaktır. Birkaç bin yıl süreceği tahmin ediliyor.
Ancak bu parola başka bir şekilde ele geçirilirse, ihlalden etkilenen kasalardaki parolalar kırılabilir. Bu, örneğin saldırganlar bazı sosyal mühendislik tekniklerini kullanarak başarılı olursa gerçekleşebilir. e-dolandırıcılık. Veya kullanıcı aynı ana tümceyi veri ihlalinden etkilenen başka bir hizmette kullanıyorsa.
Bu nedenle, LastPass kasasına kaydedilen tüm parolaları değiştirip değiştirmemeye karar vermek, etkilenen her kullanıcıya bağlıdır. Ya da en azından, ikinci bir kimlik doğrulama faktörü yapılandırmadığınız en kritik hizmetler ve uygulamalar için (bu, parola güvenliğinin aşılmasını daha az kritik hale getirir). Her şey, Ana Sözlerine ne kadar güvendiklerine ve bundan taviz verilmediğine bağlıdır.
Ek olarak, LastPass mağazalarındaki tüm bilgiler şifreli olarak saklanmadığı için ek bir belirsizlik ortaya çıkar. Bu, ona erişimi olan herkesin, örneğin fazla çaba harcamadan, her kullanıcının eriştiği uygulamaların ve hizmetlerin URL’lerini ve hatta etkilenen kullanıcıların profilini çıkarmaya veya sonraki saldırıları önceliklendirmeye yardımcı olabilecek diğer bilgileri bulabileceği anlamına gelir.
Açıkçası, bir hükümet başkanının veya büyük bir şirketin şifrelerini kurtarmak için ortalama bir vatandaştan daha fazla zaman ve çaba harcamak daha ilginç olacaktır.
Öyleyse bir yönetici kullanmalı mıyız, kullanmamalı mıyız?
LastPass’ın başına gelen olaya ve kriz yönetiminin iletişim ve şeffaflık açısından mümkün olan en iyi şekilde yönetilmediği gerçeğine rağmen, şifre yöneticilerinin kullanılması tüm kullanıcılara şiddetle tavsiye edilmektedir. En azından güvenliği kritik olan uygulama ve hizmetlerde (ana posta, banka vb.) ikinci bir kimlik doğrulama faktörünün etkinleştirilmesi ile birlikte.
Basitçe, diğer birçok durumda olduğu gibi, her birimiz için en iyi alternatifin hangisi olduğuna karar vermeden önce biraz öğrenmeniz gerekir. Şu anda, LastPass’ın herkes için olmaya devam edeceğine dair birçok şüphe var çünkü zaten önemli sayıda olayı zincirlediler. Bu özelliklere sahip bir olayın ne kadar kritik olabileceği göz önüne alındığında, farklı seçenekler arasında bir karşılaştırma yapmak ve fiyatlarını, işlevselliklerini, esnekliklerini ve tabii ki güvenliklerini değerlendirmek önemlidir.
Parola yöneticisi evet, ancak herhangi biri değil, herhangi bir şekilde kullanılmış veya yapılandırılmış. Örneğin ana ifadenin güvenliği kritiktir ve bu bizim sorumluluğumuzdur.
.
