Tüm şifrelerimizi emanet ettiğimiz “LastPass” gibi şifre kasaları güvenliği nasıl sağlıyor?
Bilgisayarların her eve girmeye başladığı dönemde kullanıyorduk. 123456789 ileVe QWERTY’liŞifrelerimizden vazgeçip onlara göre oldukça karmaşık olan yeni şifrelere geçmemizin nedeni; siber güvenlik Endişeleri vardı. Her geçen gün daha da fazla web sitesi ve uygulamaMevcut olduğu için hatırlamamız gereken şifrelerin sayısı artıyor.
Bu yüzden çoğumuz ya her yerde aynı/benzer şifreyi kullanıyoruz ya da birçok farklı şifreyi aklımızda tutmak zorunda kalıyoruz. Ancak bazı uygulamalar bizden periyodik olarak şifre değiştirmemizi istediğinde her şey alt üst olabiliyor. Bu nedenle ve şifre sayısının artması nedeniyle birden fazla kişi şifre yöneticisiKullanıp kullanmama konusunda kararsız.
En temel soru: Bu şifre yöneticisi nedir?
Şifre yöneticileri ; Şifrelerinizin yanı sıra adres, telefon numarası, banka kartı gibi bilgileri de saklamanızı sağlayan dijital kasalardır. Şifrelerinizi barındıran bu kasa, bir yere giriş yapmak istediğinizde şifrenizi ve adres bilgilerinizi saklar. otomatik olarakDoldurmayı kolaylaştırır.
Bir satın alma işlemi yapmak istediğinizde cüzdanınızı kullanın. kartını çıkar Kart bilgilerinizi numara girmeye gerek kalmadan aktarabilirsiniz. Bütün bunlar kulağa hoş gelse de bilgilerimizi girdiğimiz bu uygulamalardan birine girmemiz gerekiyor. siber saldırganlar Ona ulaştığınızı hayal edin. Yalnızca tek bir uygulamaya erişen bu kişiler, tüm şifrelerimizi ele geçiremezler mi?
Kafanızı karıştırmadan bunun neden son derece zor olduğunu açıklayalım.
Bu şifre yöneticilerinden kaçının çünkü çok yaygınlar. Son Geçiş Bunu esas alalım. Şifrelerinizi burada saklamak istediğinizde öncelikle LastPass hesabı oluşturuyor ve bu hesap için şifre oluşturuyorsunuz. Ana parola Siz belirleyin. Elbette bu, örneğin Webtekno üyeliği için kullandığınız şifreden farklıdır.
Hesabınızı oluşturduğunuzda eklenti veya uygulama Hal böyle olunca şifre yöneticisi, ziyaret ettiğiniz sitelerdeki kullanıcı bilgilerinizi kaydetmek için izin ister. Bu sayede bilgileriniz özel kasanıza yerleşir. Daha sonra Google otomatik form doldurmaLastPass bu özelliği devralabilir.
LastPass’ın kendisi bulut tabanlı bir hizmet olduğundan, parolalarınızı içeren LastPass kasanız LastPass sunucularında saklanıyor. Peki burada güvenlik nasıl sağlanıyor?
Şifre kasanıza ulaşmak istediğinizde öncelikle bu kasayı açacak anahtarı oluşturursunuz. Bunu yapmak için önce ana şifrenizi girin. Doğrulama adımından sonra ana şifreniz ve e-posta adresiniz en son güncellemelerle birlikte tarafınıza gönderilecektir. 600.000 kombinasyondanbirinin yanından geçmek güvenli anahtarYaratır.
Bundan sonra tek yapmamız gereken sunucudaki kasamıza erişmek. Bunun için e-posta adresimiz ve şifremizin 600.000 kez birleştirilmesiyle oluşturulan şifre, ana şifremiz ile 600.000 kombinasyona girilerek sunucu üzerindeki kasaya iletilir. ana şifremizi görmedenKasaya erişmeye çalışanın biz olduğumuzu anlıyor.
Sonuç olarak, bir doğrulama ve bir güvenli anahtar elde ediyoruz. doğrulama anahtarı sunucudaki kasaya Güvenli anahtar bize erişim sağlarken aynı zamanda onu açmamızı da sağlar. Her iki anahtarın da güvenliğini sağlamak için ana şifrenizin güçlü olması gerekir.
Yani oluşturduğunuz bir anahtar kasaya giden anahtarı açarken, ona ek olarak oluşturduğunuz başka bir anahtar da o kasayı açmanıza yardımcı olur.
Ve ilk etapta bu anahtarı oluşturmak için gereken şifreyi girmeniz gerekiyor. Son Geçiş Şifre yöneticilerine iletmezsiniz. Bu nedenle, kasanızın bir kopyası ele geçirilse bile, birazdan tartışacağımız gibi onu açmak neredeyse imkansızdır. “ Neredeyse” kısmı bu noktada önemli.
“Peki şu anda onlara güvenebilir miyiz?” Soru her ne kadar bireysel bir karara bağlı olsa da LastPass’ın son dönemde yaşadığı talihsiz olaylara da değinelim.
Geçen yıl farklı zamanlarda LastPass Siber saldırılara maruz kalıyoruz . Bunun sonucunda şifrelerin kayıtlı olduğu web sitelerinin adları, fatura adresleri, telefon numaraları ve IP adresleri gibi bilgiler saldırganların eline geçti. Ayrıca kullanıcıların güvenli yedeklerine de el konuldu. Bunlar hem şifrelenmemiş web sitesi adreslerini hem de kullanıcı adı ve şifrelerAşağıdakiler gibi şifrelenmiş bilgiler içeriyordu:
Ancak LastPass’ın ana şifremizi bilmediğini ve kasaların ancak bu şekilde açılabileceğini söyledik. Şirket açıklamasında buna da yer verdi. Ancak bu kasalar saldırganlar tarafından çalındı. kaba kuvvet ve kimlik avı yöntemleriyleAçmayı deneyebileceğini belirten şirket, özellikle ana şifresi zayıf olan kişilerin kayıtlı şifrelerini değiştirmelerini önerdi.
Geçen Ocak ayında LastPass’ın ana şirketi GitSöz konusu baskınlardan şirket çatısı altında Diğer hizmetler de etkilendi açıkladı. Ancak bu sefer bazı kullanıcı adlarının, şifreli şifrelerin ve 2 adımlı doğrulama ayarlarının da tamamen olmasa da sızdırıldığı açıklandı. Bu kendi başına hesapların tamamen sızdırıldığı anlamına gelmese de telefon numaraları, adresler ve e-postaların saldırganların eline geçtiği anlamına geliyor.
Bu da bilgileri ele geçirilen kişilere daha kolay ulaşabilecekleri anlamına geliyor.
Halen etkisi devam eden bu bahisle ilgili olarak en son farklı kişilerin kripto cüzdanlarının boşaltıldığını öğrenmiştik.
25 Ekim tarihli verilere göre LastPass veri sızıntısından etkilendi 25 kişikripto para cüzdanına sızıldı ve toplamda 4,4 milyon dolar Soygun sizin pahasına yapıldı. Metamask ve ZachXBT’ye göre saldırıdan toplam 80 kripto para cüzdanı etkilendi. Sonuç olarak az ya da çok 35 milyon dolarpara çalındı.
Peki bize bu kadar güvenlik sağlayan şirket nasıl oldu da böyle bir saldırıya maruz kaldı?
12 Ağustos’taki ilk saldırıda yazılım MühendisiBir çalışanın cihazında tutarsız davranış gözlemlendi. Geliştirici kaynakları Erişilen bilgisayarın güvenliğinin ihlal edildiği anlaşılınca kaynaklara erişim kesildi. VPN ile konumunu gizleyerek geliştirme ortamına erişim sağlayan saldırgan, bunun için o çalışanın domain bilgilerini ve iki adımlı doğrulamasını ele geçirdi. Bu saldırıda sadece kaynak kodları ele geçirildi.
Veri yedeklerinin bulut ortamından alındığı ikinci baskın ise ilkinin devamı niteliğindeydi. Elde ettiği bilgilere ulaşmak isteyen saldırgan, bunun için gerekli anahtara sahip olan 4 geliştiriciden birine ihtiyaç duyuyor. Evdeki kişisel bilgisayarına keylogger yükledi. . Bu sayede geliştirici şifreyi girdiğinde saldırgan da şifreyi öğrenmiş oldu. Böylece etkilerini halen gördüğümüz sızıntı durumu ortaya çıktı.
Şimdi onlara güvenmeli miyiz, güvenmemeli miyiz?
Bu bulut tabanlı uygulamalar nasıl çalışır? Son Geçiş Bunu size bir örnek üzerinden anlattık. Böyle bir olay yaşanmamış olsa bile en değerli şifrelerinizi farklı yerlere emanet etmemenizi tavsiye ederiz, yine de bunun daha mantıklı olduğunu söyleyebiliriz. Söz konusu güvenlik açıkları ortaya çıktığı anda geliştiriciler bu açığı kapatıyor. Ancak bu, şifre yöneticilerinin temelde hâlâ güvenli olduğu gerçeğini değiştirmiyor.
Sonuç olarak hesabınıza erişim sağlanmış olsa bile şifrelerin görülebilmesi için belirttiğiniz şifre kombinasyonunun bilinmesi gerekmektedir. Bu nedenle bu konuda bilgi verdikten sonra nihai kararı sizlere bırakmak bizim görevimizdir.
