Ajándékozz éves hvg360 előfizetést!
Az Independent Security Evaluators nevű kiberbiztonsági cég fedezte fel azt a hibát, ami miatt a hackerek hozzáférhetnek a jelszómenedzselő alkalmazásokban tárolt adatokhoz. Azaz a jelszavakhoz.
Nem véletlen, hogy a felhasználók körében rendkívül népszerűek a különböző jelszókezelő programok. A segítségükkel ugyanis nem kell megjegyezni a különböző felhasználói fiókokhoz tartozó belépési kódot, azokat ugyanis maga a program "tárolja" nekünk. Emiatt nincs más dolgunk, mint létrehozni egy mesterjelszót, és csak arra emlékeznünk, így amikor be akarunk lépni a Facebookra, Twitterre, Gmailbe vagy bárhová máshová, elég azt megadnunk, a program pedig automatikusan tudni fogja, hogy melyik jelszóhoz kell nyúlnia a bejelentkezéshez.
Ezek a szolgáltatások alapvetően biztonságosak, a fejlesztők titkosított adatbázisokban tárolják a kényes információkat. Most viszont úgy tűnik, több ilyen jelszómenedzselő szolgáltatásban is van egy eléggé komoly hiba, ami adatszivárgáshoz vezethet.
Az Independent Security Evaluators nevű kiberbiztonsági cég nemrég a jelszómenedzselő programok biztonságát vizsgálta, és meglehetősen nyugtalanító eredményre jutottak a frissen publikált tanulmányukban: olyan hibát találtak az öt legnépszerűbb ilyen programban, ami kockázatossá teheti a használatukat.
A The Washington Post beszámolója szerint a felhasználók adatai veszélyben lehetnek a hackerek által indított célzott malware-támadások miatt. A vizsgálat során kiderült, a 1Password, a Dashlane, a KeePass, a LastPass és a RoboForm Windows 10-re elérhető alkalmazásai esetében a jelszavak egy részét akkor is ki lehet nyerni a számítógép memóriájából, ha a program egyébként "zárolt" módban fut.
Mindez azt jelenti, hogy a hackerek nagyjából olyan könnyen férhetnek hozzá az értékes információhoz, mintha az asztalon lévő szövegfájlba akarnának beleolvasni. A vizsgálat során csak a Windows 10-es programokat vették górcső alá, de könnyen lehet, hogy a probléma az Apple számítógépei, valamint az okostelefonok esetében is létezik. A 1Password, a LastPass és a Roboform esetében ráadásul még a mesterjelszó is ellopható, így gyakorlatilag az azokban tárolt összes jelszó és belépési kód elérhetővé válik.
Az érintett jelszómenedzselő programok fejlesztői a hírre különböző módokon reagáltak. A LastPass és a RoboForm úgy nyilatkozott a The Washington Postnak, hogy már dolgoznak a hiba kijavításán, a Dashlane tud a problémáról, de egyelőre más, magasabb kockázatú veszélyt kell elhárítaniuk, míg a KeePass és a 1Password szerint a probléma a Windows tökéletlensége miatt áll fenn, és azt egy "elfogadható" kockázatnak titulálják.
Komoly veszély ugyanakkor (egyelőre) nincs, annak a jelét ugyanis még nem látták, hogy a hackerek kifejezetten a jelszómenedzsereket támadták volna meg. A The Washington Post ráadásul megjegyzi: nincs tökéletes(en biztonságos) megoldás a kiberbiztonság terén, csupán "kevésbé rossz", és "jobb, mintha" opciók léteznek. Vagy ahogy a klasszikus mondás tartja: nincs feltörhetetlen védelem, csak kevés próbálkozás.
Ahhoz, hogy a hackerek a fent említett hibát ki tudják használni, az kell, hogy fizikailag is hozzáférjenek a számítógéphez, vagy egy olyan malware-t telepítsenek rá, ami miatt távolról vezérelhetővé válik az eszköz. Márpedig arra kicsi az esély, hogy ez bekövetkezzen, a hackerek ugyanis a legritkább esetben támadnak egyéneket, inkább egy masszív tömeget, ahonnan egyszeri alkalommal rengeteg adat ellopható.
Ráadásul a hackerek dolga még meg is nehezíthető, ha folyamatosan telepítjük az operációs rendszer legújabb biztonsági frissítéseit, időnként lefuttatunk egy víruskeresést, illetve nem telepítünk gondolkodás és kritka nélkül mindenféle programot a számítógépre.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
Van két tévhit a jelszavakkal kapcsolatban, amit szinte mindenki elhisz
