У большинства пользователей большое число паролей, и облачные менеджеры позволяют получить к ним доступ с разных устройств и делиться ими с членами семьи. Однако такие сервисы хранят чувствительные данные — логины в онлайн‑банкинге и данные карт — в зашифрованных хранилищах, поэтому безопасность здесь критична.
Исследователи из Applied Cryptography Group при ETH Zurich изучили три популярных провайдера — Bitwarden, LastPass и Dashlane. В команду входили Matilda Backendal, Matteo Scarlata, Kenneth Paterson и Giovanni Torrisi. В сумме эти три провайдера обслуживают около 60 миллионов пользователей и занимают 23% доли рынка.
Команда моделировала «злонамеренный сервер» и продемонстрировала ряд атак: 12 атак на Bitwarden, 7 на LastPass и 6 на Dashlane. Атаки варьировались от нацеливания на отдельные пользовательские хранилища до компрометации всех хранилищ в организации, при этом часто использовались обычные действия — вход в систему, открытие хранилища, просмотр паролей и синхронизация.
Провайдерам дали 90 дней на исправление уязвимостей; рекомендации включают обновления для новых пользователей, возможности миграции для существующих клиентов и прозрачность по безопасности.
Сложные слова
- облачный — хранящий данные на удалённых серверахоблачные
- менеджер — программа для управления паролями и доступомменеджеры
- зашифрованный — сделанный недоступным без специального ключазашифрованных
- хранилище — место для хранения цифровых данныххранилищах, хранилища, хранилищ
- уязвимость — слабое место в системе безопасностиуязвимостей
- синхронизация — процесс обновления данных на разных устройствах
- атака — попытка получить несанкционированный доступ к системеатак
Подсказка: наведите, сфокусируйтесь или нажмите на выделенные слова, чтобы увидеть краткие определения прямо во время чтения или прослушивания.
Вопросы для обсуждения
- Считаете ли вы удобным использовать облачный менеджер для доступа к паролям с разных устройств? Почему?
- Какие из рекомендаций провайдеров (обновления для новых пользователей, миграция для существующих, прозрачность) вам кажутся наиболее важными и почему?
- Что вызывает больше беспокойства: компрометация одного пользовательского хранилища или компрометация всех хранилищ в организации? Обоснуйте ответ.
Похожие статьи
Рост счетов за электроэнергию на Ямайке после Beryl
После урагана Beryl многие ямайцы пожаловались на резкий рост счетов за электроэнергию. Министр энергетики обратился в OUR, и регулятор рекомендовал снизить расхождения в августовских платёжках; обсуждают переход на возобновляемые источники.
Кризис вокруг Кубка мира по крикету T20 2026
Кризис начался, когда Бангладеш отказался играть матчи в Индии из-за опасений за безопасность и политической напряжённости после требований индийской стороны освободить одного игрока. Вмешались оценки риска ICC и политические конфликты.