Berta Sándor

Mégsem olyan biztonságosak a jelszó­menedzserek?

Bűnözők bizonyos esetekben hozzáférhetnek a tárolt adatokhoz.

A Yorki Egyetem kutatói kiderítették, hogy különböző személyek vagy csoportok egyes esetekben Brute Force támadások elkövetésével megszerezhetik a jelszómenedzserekben tárolt információkat. Ugyanakkor nem mindegyik szoftver sebezhető.

A szakemberek kifejlesztettek egy kártevőt, amely átlagos alkalmazásnak álcázta magát. A programmal sikerült öt tesztelt jelszómenedzserből kettő védelmét megkerülni vagy kijátszani. Siamak Shahandashti, az egyetem tudósa kifejtette, hogy a jelszómenedzserek sebezhetősége lehetővé teszi a bűnözők számára, hogy ellopják a hozzáférési adatokat, kereskedelmi információkat szerezzenek meg és félretájékoztassanak bizonyos munkatársakat. Az elkészített tanulmányból kiderült, hogy minden esély megvan egy kártevő segítségével végrehajtott sikeres adathalászatra akkor, ha a későbbi áldozat letölti az őt megtévesztő adott szoftvert.

A helyzetet súlyosbítja, hogy némelyik alkalmazásból még a legalapvetőbb hackervédelmi mechanizmusok is hiányoznak. Így például némelyik jelszómenedzser még a mester PIN-kód megadására vonatkozó három sikertelen kísérlet után sem válik hozzáférhetetlenné. Ez azt jelenti, hogy egy Brute Force támadás segítségével az elkövetők gyakorlatilag bármennyi kombinációt próbálhatnak ki és az ilyen próbálkozások általában körülbelül 2,5 óra után eredményre vezetnek.

A fejlesztők a legtöbb korábbi sebezhetőséget befoltozták, de közel sem mindegyikük reagált ezekre a jelzésekre. Michael Carr ezért amellett érvelt, hogy fokozni kell a védelmi erőfeszítéseket. A szakember végül rámutatott, hogy a programok használata még a hiányosságok ellenére is biztonságosabb, mint a könnyen megjegyezhető és feltörhető jelszavak alkalmazása.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • duke #5
    Feleslegesek a jelszomenedzserek, az 123456-ot nem felejtem el.
    Utoljára szerkesztette: duke, 2020.03.22. 22:48:43
  • kvp #4
    Lehet jelszokezelot hasznalni, csak lehetoleg arra a keszulekre ne rakjuk fel semmilyen extra programot vagy legalabb legyen minden program sandbox-olva. Android es windows alatt amit a user elindit, az lathatja az osszes helyileg tarolt adatat, a kepernyojet es minden bevitt adatat. Szoval ha ertelmes a felhasznalo akkor egy sima jegyzet file is boven jo, ha meg nem, akkor a mai technologia sem segit rajta.
  • Kissssss0 #3
    marad a toll meg a papír...
  • Gabbbbbbbbbbbb #2
    Ez olyan, ha a karos alkalmazas kijatsza a playstore vedelmet es a user fel is telepiti a keszulekere, akkor ez lesz a legkisebb problema, mert root exploit utan akar tavoli asztal modban google fiokban tarolt jelszavakat is megszerezhet, vagy hasznalhatja a keszuleket aktivan pl. netbankolasra..
    Utoljára szerkesztette: Gabbbbbbbbbbbb, 2020.03.22. 06:09:52
  • T_I #1
    Éreztem én, hogy nem szabad jelszó menedzserre (sem) bízni a jelszavakat. Amit ember írt, azt ember fel is töri, amit MI írt, azt MI fel is töri