Как обеспечить ИБ при использовании менеджеров паролей?

Как обеспечить ИБ при использовании менеджеров паролей?
f1bc39babeb655703ac4df63d004e641.jpg

Популярность перехода на удаленную работу поднимает сопутствующие вопросы обеспечения информационной безопасности. Один из них – это хранение паролей пользователей. Многие ресурсы требуют пароль достаточного уровня сложности и длины с частотой сменяемости до раза в одну-две недели. Что делает практически нереальным для обычного человека держать их в уме, а хранение на бумаге, как известно, не лучший вариант во многих случаях. Отсюда возникает проблема, рекомендуемое решение которой заключается в использовании специализированного ПО – менеджера паролей.

На днях эксперты безопасности Йоркского Университета поделились исследованием популярных менеджеров паролей и показали, что все они уязвимы к определенным атакам:
● Протестированные менеджеры использовали слабые критерии для идентификации приложения, запрашивающего пароль. В итоге вредоносное приложение, выдававшее себя за законное путем переименования в то же имя, получало у менеджера текущие логин-пароль.
● Некоторые менеджеры паролей не имеют ограничения на количество попыток ввода основного PIN-кода доступа к паролям. И таким образом могут быть взломаны методом простого перебора (Brute Force). Так, четырехсимвольный код взламывается за 2,5 часа.
Также было обнаружено несколько некритичных уязвимостей, которые поставщики уже исправили.

Тем не менее эксперты Йоркского Университета советуют продолжать использовать программы управления паролями, а эксперты группы компаний Angara для нивелирования указанных рисков дополнительно рекомендуют:
● по возможности использовать более сложные коды доступа в сами менеджеры (если такая опция доступна),
●для проведения атаки злоумышленнику потребуется заменить ваше легитимное приложение на свое, а это не так незаметно в системе. То есть соблюдение стандартной цифровой гигиены (не устанавливать неизвестное ПО, не посещать подозрительные сайты, не открывать и не запускать подозрительные вложения и т.д.) и внимательное отношение к устройствам, системным сообщениям, антивирусной защите – достаточно действенные в данном случае механизмы защиты от кражи паролей.

Кроме того, эксперты ФСБ рекомендуют использовать длинные парольные фразы вместо коротких и сложных. Длина пароля делает более длительным его подбор, но при этом фраза сделает его более легким для запоминания, если это все-таки необходимо.
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group