У большинства пользователей большое число паролей, и облачные менеджеры позволяют получить к ним доступ с разных устройств и делиться ими с членами семьи. Однако такие сервисы хранят чувствительные данные — логины в онлайн‑банкинге и данные карт — в зашифрованных хранилищах, поэтому безопасность здесь критична.
Исследователи из Applied Cryptography Group при ETH Zurich изучили три популярных провайдера — Bitwarden, LastPass и Dashlane. В команду входили Matilda Backendal, Matteo Scarlata, Kenneth Paterson и Giovanni Torrisi. В сумме эти три провайдера обслуживают около 60 миллионов пользователей и занимают 23% доли рынка.
Команда моделировала «злонамеренный сервер» и продемонстрировала ряд атак: 12 атак на Bitwarden, 7 на LastPass и 6 на Dashlane. Атаки варьировались от нацеливания на отдельные пользовательские хранилища до компрометации всех хранилищ в организации, при этом часто использовались обычные действия — вход в систему, открытие хранилища, просмотр паролей и синхронизация.
Провайдерам дали 90 дней на исправление уязвимостей; рекомендации включают обновления для новых пользователей, возможности миграции для существующих клиентов и прозрачность по безопасности.
Сложные слова
- облачный — хранящий данные на удалённых серверахоблачные
- менеджер — программа для управления паролями и доступомменеджеры
- зашифрованный — сделанный недоступным без специального ключазашифрованных
- хранилище — место для хранения цифровых данныххранилищах, хранилища, хранилищ
- уязвимость — слабое место в системе безопасностиуязвимостей
- синхронизация — процесс обновления данных на разных устройствах
- атака — попытка получить несанкционированный доступ к системеатак
Подсказка: наведите, сфокусируйтесь или нажмите на выделенные слова, чтобы увидеть краткие определения прямо во время чтения или прослушивания.
Вопросы для обсуждения
- Считаете ли вы удобным использовать облачный менеджер для доступа к паролям с разных устройств? Почему?
- Какие из рекомендаций провайдеров (обновления для новых пользователей, миграция для существующих, прозрачность) вам кажутся наиболее важными и почему?
- Что вызывает больше беспокойства: компрометация одного пользовательского хранилища или компрометация всех хранилищ в организации? Обоснуйте ответ.
Похожие статьи
Надувной робот для сбора яблок в Вашингтоне
Из‑за нехватки сборщиков в штате Вашингтон учёные из Washington State University создали недорогой надувной робот‑манипулятор, который помогает снимать яблоки. Устройство безопасно для людей и сейчас дорабатывается перед коммерческим запуском.
Искусственный интеллект помогает диагностировать аутизм в Миссури
Учёные из University of Missouri проверили одобренное FDA устройство CanvasDx с искусственным интеллектом для помощи при диагностике аутизма. В исследовании из 80 детей устройство дало определённые результаты для 52% и не давало ложных диагнозов.
