Şifre yöneticisi - Password manager

Bir şifre yöneticisi , mağaza kullanıcıları verir oluşturmak ve onların yönetmek bir bilgisayar programıdır şifreleri yerel uygulamalar ve çevrimiçi servisler için.

Parola yöneticisi , karmaşık parolaların oluşturulmasına ve alınmasına, bu tür parolaların şifrelenmiş bir veritabanında saklanmasına veya isteğe bağlı olarak hesaplanmasına yardımcı olur.

Parola yöneticisi türleri şunları içerir:

Kullanılan parola yöneticisinin türüne ve geliştiricileri tarafından sunulan işlevselliğe bağlı olarak, şifrelenmiş veritabanı ya kullanıcının cihazında yerel olarak depolanır ya da bir çevrimiçi dosya barındırma hizmeti aracılığıyla uzaktan depolanır . Parola yöneticileri, genellikle bir kullanıcının veritabanlarında depolanan bilgilerin kilidini açmak ve bunlara erişmek için bir "ana" parola oluşturmasını ve hatırlamasını gerektirir. Birçok parola yöneticisi uygulaması, kredi kartı ve sık uçan yolcu bilgilerinin saklanması ve otomatik doldurma işlevi gibi hem rahatlığı hem de güvenliği artıran ek yetenekler sunar.

Yerel olarak yüklenen yazılım

Parola yöneticileri genellikle kullanıcının kişisel bilgisayarında veya mobil cihazında ve akıllı telefonlar gibi anında doldurulacak web tarayıcılarında yerel olarak yüklenmiş bir yazılım uygulaması biçiminde bulunur . Bu uygulamalar çevrimdışı olabilir, burada parola veritabanı bağımsız ve yerel olarak parola yöneticisi yazılımıyla aynı cihazda depolanır. Alternatif olarak, parola yöneticileri, parola veritabanının çevrimiçi bir dosya barındırma hizmetine bağlı olduğu ve uzaktan depolandığı, ancak kullanıcının cihazına yüklenen parola yönetim yazılımı tarafından yönetildiği bulut tabanlı bir yaklaşım sunabilir veya gerektirebilir.

Bazı çevrimdışı parola yöneticileri İnternet izni gerektirmez, bu nedenle ağ nedeniyle veri sızıntısı olmaz. Bir dereceye kadar, tamamen çevrimdışı bir parola yöneticisi daha güvenlidir, ancak kolaylık ve işlevsellik açısından çevrimiçi olandan çok daha zayıf olabilir.

Web tabanlı hizmetler

Çevrimiçi parola yöneticisi, oturum açma ayrıntılarını güvenli bir şekilde saklayan bir web sitesidir. Daha geleneksel masaüstü tabanlı parola yöneticisinin web tabanlı bir versiyonudur.

Çevrimiçi parola yöneticilerinin masaüstü tabanlı sürümlere göre avantajları taşınabilirliktir (genellikle yazılım yüklemeye gerek kalmadan bir web tarayıcısı ve ağ bağlantısı olan herhangi bir bilgisayarda kullanılabilirler ) ve hırsızlık veya hasar nedeniyle parolaları kaybetme riskinin azalmasıdır. tek bir PC'ye - aynı risk, kullanıcı şifrelerini depolamak için kullanılan sunucu için mevcut olsa da. Her iki durumda da güvenli yedeklemelerin alınması sağlanarak bu risk önlenebilir .

Çevrimiçi parola yöneticilerinin en büyük dezavantajları, kullanıcının barındırma sitesine güvenme gereksinimleri ve kullandıkları bilgisayarda bir keylogger olmamasıdır. Sunucular ve bulut, siber saldırıların odak noktası olduğundan, çevrimiçi hizmette nasıl kimlik doğrulaması yapıldığı ve orada depolanan parolaların kullanıcı tanımlı bir anahtarla şifrelenmesi de aynı derecede önemlidir. Yine, kullanıcılar kolaylık sağlamak için güvenliği atlama eğilimindedir. Bir diğer önemli faktör, bir veya iki yönlü şifrelemenin kullanılmasıdır.

Bitwarden gibi bazı çevrimiçi şifre yönetim sistemleri, kaynak kodunun bağımsız olarak denetlenebildiği veya hizmetin bulutuna güvenmek yerine kullanıcının kendi makinesinde barındırılabildiği açık kaynak kodludur.

Web tabanlı parola yöneticisi kullanımı , OpenID veya Microsoft'un Microsoft hesabı (önceden Microsoft Cüzdan, Microsoft Passport, .NET Passport, Microsoft Passport Network ve Windows Live ID) şeması gibi çoklu oturum açma tekniklerine bir alternatiftir veya daha iyi bir yöntemin benimsenmesini bekleyen bir geçici önlem olarak hizmet edebilir.

Belirteç tabanlı donanım aygıtları

Belirteç tabanlı parola yöneticilerinin bir güvenlik belirteci mekanizmasına sahip olması gerekir; burada akıllı kartlar veya güvenli USB flaş aygıtları gibi yerel olarak erişilebilen bir donanım aygıtı, geleneksel metin tabanlı parola yerine veya buna ek olarak bir kullanıcının kimliğini doğrulamak için kullanılır. veya diğer iki faktörlü kimlik doğrulama sistemi. Belirteçte depolanan veriler, verilerin araştırılmasını ve yetkisiz okunmasını önlemek için genellikle şifrelenir. Bazı belirteç sistemleri, verileri düzgün bir şekilde okumak ve kodunu çözmek için donanım (akıllı kart okuyucu) ve sürücülerle birlikte PC'de yüklü bir yazılım gerektirir.

En popülerlerinden biri YubiKey olan belirli üçüncü taraf kimlik doğrulama cihazları yapan birkaç şirket var . Ancak yalnızca birkaç üçüncü taraf parola yöneticisi bu donanım aygıtlarıyla entegre olabilir. Bu bir sorun gibi görünse de çoğu şifre yöneticisi, Google Authenticator ve yerleşik TOTP oluşturucular gibi uygulamalarla entegre olan, kabul edilebilir başka iki adımlı doğrulama seçeneklerine sahiptir . Üçüncü taraf belirteç aygıtları güvenliği artırmada yararlı olsa da, yalnızca güvenlik ve rahatlık için ek önlemler olarak kabul edilirler ve bir parola yöneticisinin düzgün çalışması için ne gerekli ne de kritik olarak kabul edilirler.

Avantajlar

Parola tabanlı erişim denetimlerinin avantajı, birçok yazılım ürününde bulunan API'leri kullanarak çoğu yazılıma kolayca dahil edilmeleri, kapsamlı bilgisayar/sunucu değişiklikleri gerektirmemeleri ve kullanıcıların parola kullanımına zaten aşina olmalarıdır. Parolalar oldukça güvenli olsa da, zayıf olan nokta, kullanıcıların aşağıdakileri kullanarak parolaları seçme ve yönetme şeklidir:

  • basit parolalar – kısa, sözlüklerde bulunan sözcükleri kullanan veya farklı karakter türlerinde (sayılar, noktalama işaretleri, büyük/küçük harfler) karışmayan veya başka bir şekilde kolayca tahmin edilebilen kısa parolalar
  • diğerlerinin bulabileceği şifreler – monitörlerdeki yapışkan notlarda, bilgisayardaki bir not defterinde, bilgisayardaki bir belgede, beyaz tahta hatırlatıcılarında, açık metin olarak akıllı cihaz depolamasında vb.
  • aynı şifre – birden fazla site için aynı şifreyi kullanmak, hesap şifrelerini asla değiştirmemek vb.
  • paylaşılan parolalar – diğerlerine parola söyleyen kullanıcılar, parola bilgilerini içeren şifrelenmemiş e-postalar gönderen, yükleniciler tüm hesapları için aynı parolayı kullanan vb.
  • sınırlı girişlerin yeterli olacağı durumlarda yönetici hesabı girişleri veya
  • aynı role sahip kullanıcıların aynı parolayı kullanmasına izin veren yöneticiler.

Bu hatalardan en az birini yapmak tipiktir. Bu, bilgisayar korsanlarının , korsanların , kötü amaçlı yazılımların ve siber hırsızların bireysel hesaplara, her büyüklükteki şirkete, devlet kurumlarına, kurumlara vb. girmesini çok kolaylaştırır. Parola yöneticilerini bu kadar önemli kılan bu güvenlik açıklarına karşı koruma sağlamasıdır.

Şifre yöneticileri de karşı bir savunma olarak kullanılabilir phishing ve pharming . İnsanlardan farklı olarak, bir parola yöneticisi programı, ilk önce mevcut sitenin URL'sini depolanan sitenin URL'siyle karşılaştıran otomatik bir oturum açma komut dosyası da içerebilir. İkisi eşleşmiyorsa, parola yöneticisi oturum açma alanlarını otomatik olarak doldurmaz. Bu, görsel taklitlere ve benzer web sitelerine karşı bir koruma olarak tasarlanmıştır. Bu yerleşik avantajla, kullanıcının hatırlaması gereken yalnızca birkaç parolası olsa bile bir parola yöneticisinin kullanılması faydalıdır. Tüm şifre yöneticileri, birçok bankacılık web sitesinin dayattığı daha karmaşık oturum açma prosedürlerini otomatik olarak gerçekleştiremese de, daha yeni şifre yöneticilerinin çoğu, daha önce karmaşık şifreleri, çok sayfalı doldurmaları ve çok faktörlü kimlik doğrulamayı ele alır.

Aynı mantıkla, parola yöneticileri tuş vuruşu günlüğü kötü amaçlı yazılımlarına (keylogger'lar) karşı da koruma sağlayabilir . Oturum açma alanlarını otomatik olarak dolduran çok faktörlü bir kimlik doğrulama parola yöneticisi kullanırken, kullanıcının keylogger'ın alması için herhangi bir kullanıcı adı veya parola girmesi gerekmez. Bir keylogger, örneğin akıllı kartın kendisi (kullanıcının sahip olduğu bir şey) olmadan, akıllı kart belirtecinde kimlik doğrulaması yapmak için PIN'i alabilirken, PIN saldırgana hiçbir fayda sağlamaz. Ancak, parola yöneticileri , kullanıcı oturum açarken kötü amaçlı etkinliği kullanıcıdan gizlerken, kullanıcının cihazındaki kötü amaçlı yazılımın işlemler (örneğin bir bankacılık web sitesinde) yaptığı tarayıcıdaki adam saldırılarına karşı koruma sağlayamaz .

Sorunlar

Güvenlik açıkları

Parolalar şifrelenmemiş bir şekilde saklanıyorsa, makineye yerel erişim verilen parolaları elde etmek genellikle mümkündür.

Bazı parola yöneticileri , korunan parolaları şifrelemek için kullanılan anahtarı oluşturmak için kullanıcı tarafından seçilen bir ana parola veya parola kullanır . Bu yaklaşımın güvenliği, seçilen parolanın (tahmin edilebilir veya kaba kuvvetle zorlanmış olabilir) gücüne ve ayrıca parolanın kendisinin hiçbir zaman kötü niyetli bir programın veya bireyin okuyabileceği yerde yerel olarak depolanmamasına bağlıdır. Güvenliği ihlal edilmiş bir ana parola, korunan tüm parolaları savunmasız hale getirir.

Kullanıcının bir parola girmesini içeren herhangi bir sistemde olduğu gibi, ana parola da anahtar günlüğü veya akustik kriptoanaliz kullanılarak saldırıya uğrayabilir ve keşfedilebilir . Bazı parola yöneticileri, bu riski azaltmak için sanal klavyeler kullanmaya çalışır - ancak bu, veri girilirken ekran görüntüsü alan tuş kaydedicilere karşı hala savunmasızdır. Bu risk, çok faktörlü bir doğrulama cihazının kullanılmasıyla azaltılabilir .

Bazı şifre yöneticileri bir şifre üreticisi içerir . Parola yöneticisi, kriptografik olarak güvenli olan yerine zayıf bir rastgele sayı üreteci kullanıyorsa, oluşturulan parolalar tahmin edilebilir .

Güçlü bir parola yöneticisi, parola yöneticisi kilitlenmeden ve BT hizmetlerinin yeniden etkinleştirilmesini gerektirmeden önce izin verilen sınırlı sayıda yanlış kimlik doğrulama girişini içerecektir. Bu, kaba kuvvet saldırısına karşı korunmanın en iyi yoludur.

Belleğin sabit sürücüye aktarılmasını engellemeyen parola yöneticileri, bilgisayarın sabit sürücüsünden şifrelenmemiş parolaların çıkarılmasını mümkün kılar. Swapı kapatmak bu riski önleyebilir.

Kullanıcının tarayıcısında çalışan web tabanlı şifre yöneticileri, özellikle tuzaklarla doludur. Birkaç şifre yöneticisinin kullanıldığı ayrıntılı bir çalışma, web tabanlı şifre yöneticilerinin aşağıdaki olası kusurlarını ortaya çıkardı:

  • Yetkilendirme kusurları : Başka bir olası sorun, kimlik doğrulamayı yetkilendirme ile karıştırmaktır . Araştırmacı, birkaç web tabanlı şifre yöneticisinin bir zamanlar bu tür kusurlara sahip olduğunu buldu. Bu sorunlar özellikle, kullanıcıların kimlik bilgilerini diğer kullanıcılarla paylaşmasına izin veren parola yöneticilerinde mevcuttu.
  • Bookmarklet kusurları : Web tabanlı parola yöneticileri , kullanıcıların oturum açması için genellikle Bookmarklet'lere güvenir . Ancak, yanlış bir şekilde uygulanırsa, kötü niyetli bir web sitesi bunu bir kullanıcının şifresini çalmak için kötüye kullanabilir. Bu tür güvenlik açıklarının ana nedeni, kötü niyetli bir web sitesinin JavaScript ortamına güvenilememesidir.
  • Kullanıcı Arayüzü kusurları : Bazı parola yöneticileri, kullanıcıdan bir iframe aracılığıyla oturum açmasını isteyecektir . Bu, bir güvenlik riski oluşturabilir, çünkü tarayıcı tarafından görüntülenen URL, şifre yöneticisinin URL'si değilken kullanıcıyı şifresini girmeye eğitir. Kimlik avcısı, sahte bir iframe oluşturarak ve kullanıcının kimlik bilgilerini ele geçirerek bunu kötüye kullanabilir. Daha güvenli bir yaklaşım, kullanıcıların parola yöneticisine giriş yapabileceği yeni bir sekme açmak olabilir.
  • Web kusurları : Klasik web güvenlik açıkları, web tabanlı parola yöneticilerinde de bulunabilir. Özellikle, XSS ve CSRF güvenlik açıkları, bir kullanıcının parolasını elde etmek için bilgisayar korsanları tarafından kullanılabilir.

Ayrıca, şifre yöneticileri, herhangi bir potansiyel bilgisayar korsanı veya kötü amaçlı yazılımın, bir kullanıcının tüm şifrelerine erişmek için sadece bir şifreyi bilmesi gerektiği ve bu tür yöneticilerin, kötü amaçlı yazılımlar tarafından kullanılabilecek standartlaştırılmış konumlara ve şifreleri saklama yollarına sahip olması dezavantajına sahiptir.

Şifre yöneticilerinin engellenmesi

Çeşitli yüksek profilli web siteleri, şifre yöneticilerini engellemeye çalıştı ve genellikle halka açık bir şekilde sorgulandığında geri çekildi. Belirtilen nedenler arasında otomatik saldırılara karşı koruma , kimlik avına karşı koruma , kötü amaçlı yazılımları engelleme veya yalnızca uyumluluğu reddetme sayılabilir . Trusteer istemci güvenlik yazılımı IBM blok şifre yöneticilerine açık mekanı bulunmaktadır.

Bu tür engelleme, bilgi güvenliği uzmanları tarafından kullanıcıları daha az güvenli hale getirdiği ve gerekçelerin düzmece olduğu gerekçesiyle eleştirilmiştir . Tipik engelleme uygulaması, autocomplete='off'ilgili parola web formunda ayarlamayı içerir . Sonuç olarak, bu seçenek artık yok sayılır Internet Explorer 11 üzerinde https , siteler Firefox 38, Chrome 34 ve içinde Safari 7.0.2 hakkında gelen.

Carnegie Mellon Üniversitesi'ndeki bir araştırmacının 2014 yılında yayınladığı bir makale , mevcut oturum açma sayfasındaki protokol parolanın kaydedildiği andaki protokolden farklıysa tarayıcılar otomatik doldurmayı reddederken, bazı parola yöneticilerinin http sürümü için parolaları güvenli olmayan bir şekilde doldurduğunu buldu. https kayıtlı şifreler. Çoğu yönetici, iframe ve yeniden yönlendirme tabanlı saldırılara karşı koruma sağlamadı ve birden fazla cihaz arasında parola senkronizasyonunun kullanıldığı durumlarda ek parolaları açığa çıkardı.

Ayrıca bakınız

Referanslar

Dış bağlantılar