Passordadministratorer: et arbeid på gang til tross for popularitet
På slutten av 2022 rapporterte LastPass nok en sikkerhetshendelse, og da vi markerer en dag for å endre passord, spør Dan Raywood om et annet stykke cybersikkerhetsprogramvare hadde vært utsatt for så mange sikkerhetshendelser, ville brukerne ha gitt opp det nå?
På slutten av 2022 varslet autentiseringsleverandøren LastPass brukere og den bredere verden av en sikkerhetshendelse hvor "en uautorisert part fikk tilgang til en tredjeparts skybasert lagringstjeneste, som LastPass bruker til å lagre arkiverte sikkerhetskopier av ... produksjonsdata."
Hendelsen skapte overskrifter over hele verden, inkludert fra Wired, som var sterkt kritisk til LastPass sine handlinger – eller, for å være mer ærlig – dens mangel på respons på viktige spørsmål, og anklaget den for ikke å gi "ytterligere informasjon til forvirrede og bekymrede kunder."
LastPass-brudd: Hva, når og hvordan
Hendelsen skjedde da en trusselaktør fikk tilgang til et skybasert lagringsmiljø, og utnyttet informasjon hentet fra en hendelse den tidligere hadde avslørt i august 2022. «Selv om det ikke ble tilgang til kundedata under hendelsen i august 2022, var noe kildekode og teknisk informasjon stjålet fra utviklingsmiljøet vårt og brukt til å målrette mot en annen ansatt, skaffe legitimasjon og nøkler som ble brukt til å få tilgang til og dekryptere noen lagringsvolumer innenfor den skybaserte lagringstjenesten," sa LastPass i sin uttalelse.
Disse to relaterte hendelsene er ikke første gang LastPass har møtt negative sikkerhetsoverskrifter. Tilbake i 2015, varslet selskapet brukere om "mistenkelig aktivitet på nettverket vårt", der "LastPass-konto-e-postadresser, passordpåminnelser, server-per-bruker-salter og autentiserings-hasher ble kompromittert."
Dette er ikke ment å skille ut LastPass, som andre passordbehandlingsleverandører har lidd sikkerhetshendelser tidligere, men mer et spørsmål om passordbehandlere er egnet til formålet i 2023. Tross alt, hvis en annen del av cybersikkerhetsprogramvare hadde vært utsatt for så mange sikkerhetshendelser, ville brukerne ha gitt opp det nå?
Er passordbehandlere å stole på?
I en fersk Twitter-avstemning, spurte vi om, til tross for brudd som det LastPass opplevde, ville brukere fortsatt vurdere en passordbehandler som den beste metoden for å lagre passord sikkert. I vår meningsmåling var det 96 respondenter, og 85 prosent var enige om at det var det beste alternativet. Kommentarer vi mottok sa: "Teorien bak driften er fortsatt for det meste forsvarlig", ettersom hvelv fortsatt er kryptert med brukerens hovedpassord. Alternativene rundt passordbehandlere varierer mellom lokale og skybaserte, selv om det er "et verdig alternativ som kan spare mye tid [og] bryderi, og er bedre enn å gjenbruke passord eller bare velge dårlige."
Per Thorsheim, grunnlegger av PasswordsCon, uttalte at "det veldig enkle svaret er ja, siden passordbehandlere er gode, og jeg anbefaler dem absolutt" da vi spurte ham om han følte at passordbehandlere fortsatt er det beste alternativet til tross for antallet brudd vi har sett.
Thorsheim advarer imidlertid om antallet passordbehandlere, siden han mener at "ganske mange er 'silisiumslangeolje' når det gjelder sikkerhet, kan være på den dyre siden, og brukeropplevelsen er kanskje ikke så enkel som du forventer. .
Thorsheim uttalte også at «en passordbehandler trenger ikke å være en separat app, multi-enhet eller gi umiddelbar multi-cloud-synkronisering mellom enheter. En passordbehandler kan også være så enkel som en notatbok i kjøkkenskuffen din, ved å bruke den gode gamle blyanten til å skrive de viktige oppføringene der.»
Selvfølgelig snakker vi her om appformatet til en passordbehandler. Det er et argument for at en notatbok med skriftlige passord på et sikkert sted i hjemmet ditt er sikrere enn noen digital versjon. Likevel, for å finne ut om passordbehandlere er sikrere, spurte jeg Wendy Nather, leder for rådgivende CISOer i Cisco, hva hun syntes om deres sikkerhetstilstand.
Hun kaller dem "en tidlig innsats for å plassere et programmatisk grensesnitt mellom brukeren og systemet", som er ufullkommen, men som kan skjerme brukeren fra passordproblemet og kan forbedres. Nather innrømmer at vi for øyeblikket er i begynnelsen av å skjerme og beskytte brukeren i autentiseringsprosessen. Passordløse teknologier og standarder som FIDO2 blir tatt i bruk, og vi "ser flere forbedringer, pålitelighet og konsistens, og alt brukeren mangler er konsistens."
Vi ser nå ofte at mange nettlesere tilbyr å lagre et passord. Selv om det er en annen potensiell metode for å aktivere et brudd, blir funksjonalitet også lagt til for å sikre at brukeren blir advart om hvor passordene deres kan ha blitt fanget i en datainnbrudd.
Passordadministratorer er et skritt fremover fra å skrive dem ned og legge dem på et tilgjengelig sted eller til og med på en annen app eller bruke samme passord for hver tjeneste. Likevel er det tydelig at de er et arbeid som pågår når det kommer til deres generelle sikkerhet. Thorsheim sier det er et tilfelle av å bruke dem riktig, og "det inkluderer å la dem generere et tilfeldig passord for hver nettside vi har."
Men ettersom passordbehandlere har forskjellige alternativer tilgjengelig for å sikre dataene dine og kontoen din, sa Thorsheim at det ofte er opp til brukeren «å forstå, konfigurere og bruke mange av disse alternativene, og de fleste leser ikke manualen, og de er garantert ikke endre noen standardinnstillinger!"
Dette fikk ham til å kommentere at for mange brukere ikke forstår hvordan de bruker en passordbehandling i nettleseren, og hovedproblemet med "hvordan du bruker dem er viktigere enn hvilken du velger å bruke, etter min mening."
Det kan være slik at passordbehandlere er en ny teknologi når det gjelder hvor godt utviklet de er for offentlig bruk. Hvor brukervennlige de er uten instruksjon, mens selskapene som utvikler dem er utsatt for de samme angrepene som alle andre endepunkter i verden. Til syvende og sist er de en skattekiste av tilgang for en trusselaktør, og det gir fullstendig mening hvorfor de ville bli målrettet.
Mens brudd har pågått i mange år, har noen plattformer blitt påvirket, og andre implementerer stadig beskyttelse for å sikre at de kan overleve et datainnbrudd eller målrettet angrep. Vi må være realistiske med hensyn til hvor mye ekstra sikkerhet de tilbyr for passordbruk. For lenge har folk gjenbrukt passord og fått beskjed om å endre passord etter en sikkerhetshendelse; på National Change Your Password Day er det kanskje på tide å endre tankegangen din om passordbehandlere: Bruk dem, forstå hvordan de fungerer og hvordan du har det bedre med dem enn uten dem.
Styrk informasjonssikkerheten din i dag
Hvis du ønsker å starte reisen mot bedre informasjonssikkerhet, kan vi hjelpe.
Vår ISMS-løsning muliggjør en enkel, sikker og bærekraftig tilnærming til informasjonssikkerhet og datahåndtering med ISO 27001 og over femti andre rammer. Realiser ditt konkurransefortrinn i dag.
