Passwort-Manager: trotz ihrer Beliebtheit in Arbeit
Ende 2022 meldete LastPass einen weiteren Sicherheitsvorfall, und da wir einen Tag zum Ändern von Passwörtern begehen, fragt Dan Raywood, wenn eine andere Cybersicherheitssoftware so viele Sicherheitsvorfälle erlitten hätte, hätten Benutzer sie inzwischen aufgegeben?
Ende 2022 informierte der Authentifizierungsanbieter LastPass Benutzer und die ganze Welt über a Sicherheitsvorfall wo „eine unbefugte Partei Zugang zu einem cloudbasierten Speicherdienst eines Drittanbieters erlangte, den LastPass zum Speichern archivierter Backups von … Produktionsdaten nutzt.“
Der Vorfall sorgte weltweit für Schlagzeilen, unter anderem von Kabelgebunden, das das Vorgehen von LastPass – oder, um ehrlich zu sein – die mangelnde Antwort auf wesentliche Fragen heftig kritisierte und LastPass vorwarf, „den verwirrten und besorgten Kunden keine zusätzlichen Informationen bereitzustellen“.
LastPass-Verstoß: Was, wann und wie
Der Vorfall ereignete sich, als ein Bedrohungsakteur auf eine Cloud-basierte Speicherumgebung zugriff und dabei Informationen aus einem Vorfall nutzte, den er zuvor im August 2022 offengelegt hatte. „Während des Vorfalls im August 2022 wurde auf keine Kundendaten zugegriffen, wohl aber auf einige Quellcodes und technische Informationen.“ aus unserer Entwicklungsumgebung gestohlen und dazu verwendet, einen anderen Mitarbeiter anzugreifen und Anmeldeinformationen und Schlüssel zu erhalten, die für den Zugriff und die Entschlüsselung einiger Speichervolumes innerhalb des Cloud-basierten Speicherdienstes verwendet wurden“, sagte LastPass in seiner Erklärung.
Diese beiden zusammenhängenden Vorfälle sind nicht das erste Mal, dass LastPass mit negativen Sicherheitsschlagzeilen konfrontiert wird. Zurück in 2015, warnte das Unternehmen Benutzer vor „verdächtigen Aktivitäten in unserem Netzwerk“, bei denen „E-Mail-Adressen von LastPass-Konten, Passworterinnerungen, Server-pro-Benutzer-Salts und Authentifizierungs-Hashes kompromittiert wurden“.
Dies soll LastPass nicht hervorheben, da andere Anbieter von Passwort-Managern darunter gelitten haben Sicherheitsvorfälle in der Vergangenheit, aber es geht eher um die Frage, ob Passwort-Manager im Jahr 2023 ihren Zweck erfüllen. Denn wenn eine andere Cybersicherheitssoftware so viele Sicherheitsvorfälle erlitten hätte, hätten Benutzer sie dann inzwischen aufgegeben?
Sind Passwort-Manager vertrauenswürdig?
In einer kürzlich herausgebrachten Twitter-Umfragehaben wir gefragt, ob Benutzer trotz Verstößen wie bei LastPass einen Passwort-Manager immer noch als die beste Methode zum sicheren Speichern von Passwörtern betrachten würden. In unserer Umfrage gab es 96 Befragte und 85 Prozent stimmten zu, dass dies die beste Option sei. In den Kommentaren, die wir erhielten, hieß es: „Die Theorie hinter seiner Funktionsweise ist immer noch größtenteils fundiert“, da Tresore immer noch mit dem Master-Passwort des Benutzers verschlüsselt werden. Die Optionen rund um Passwort-Manager variieren zwischen lokal und cloudbasiert, obwohl es „eine lohnende Option ist, die viel Zeit [und] Ärger sparen kann und besser ist, als Passwörter wiederzuverwenden oder einfach nur schlechte zu wählen.“
Per Thorsheim, Gründer von PasswordsCon, erklärte, dass die „sehr einfache Antwort ja ist, denn Passwort-Manager sind gut, und ich kann sie auf jeden Fall empfehlen“, als wir ihn fragten, ob er der Meinung sei, dass Passwort-Manager trotz der Anzahl der Verstöße, die wir festgestellt haben, immer noch die beste Option seien habe gesehen.
Allerdings warnt Thorsheim vor der Vielzahl an Passwort-Managern, da er der Meinung ist, dass „nicht wenige in puncto Sicherheit ‚Silicon Snake Oil‘ sind, teuer sein können und die Benutzererfahrung möglicherweise nicht so einfach ist, wie man es erwarten würde.“ .
Thorsheim erklärte außerdem: „Ein Passwort-Manager muss keine separate App oder geräteübergreifend sein oder eine sofortige Multi-Cloud-Synchronisierung zwischen Geräten ermöglichen.“ Ein Passwort-Manager kann auch so einfach sein wie ein Notizbuch in Ihrer Küchenschublade, in dem Sie mit dem guten alten Bleistift wichtige Einträge machen.“
Natürlich sprechen wir hier vom App-Format eines Passwort-Managers. Es lässt sich argumentieren, dass ein Notizbuch mit schriftlichen Passwörtern an einem sicheren Ort in Ihrem Zuhause sicherer ist als jede digitale Version. Um dennoch herauszufinden, ob Passwort-Manager sicherer sind, habe ich Wendy Nather, Leiterin der beratenden CISOs bei Cisco, gefragt, was sie von ihrem Sicherheitszustand hält.
Sie nennt sie „einen frühen Versuch, eine programmatische Schnittstelle zwischen dem Benutzer und dem System zu schaffen“, was unvollkommen ist, den Benutzer jedoch vor dem Passwortproblem schützen kann und verbessert werden kann. Nather gibt zu, dass wir uns derzeit in den Anfängen der Abschirmung und des Schutzes des Benutzers im Authentifizierungsprozess befinden. Passwortlose Technologien und Standards wie FIDO2 werden übernommen, und wir „sehen mehr Verbesserungen, Zuverlässigkeit und Konsistenz, und alles, was dem Benutzer fehlt, ist Konsistenz.“
Mittlerweile sehen wir oft, dass viele Browser anbieten, ein Passwort zu speichern. Dies ist zwar eine weitere mögliche Methode zur Aktivierung eines Sicherheitsverstoßes, es werden jedoch auch Funktionen hinzugefügt, um sicherzustellen, dass der Benutzer darüber gewarnt wird, wo seine Passwörter möglicherweise abgefangen wurden Datenmissbrauch.
Passwort-Manager sind ein Fortschritt im Vergleich dazu, sie aufzuschreiben und an einem zugänglichen Ort oder sogar in einer anderen App zu hinterlassen oder für jeden Dienst dasselbe Passwort zu verwenden. Dennoch ist klar, dass sie in Bezug auf ihre allgemeine Sicherheit noch in der Entwicklung sind. Thorsheim sagt, dass es darauf ankommt, sie richtig einzusetzen, und „dazu gehört auch, ihnen zu erlauben, für jede Website, die wir haben, ein zufälliges Passwort zu generieren.“
Da Passwort-Manager jedoch verschiedene Optionen zum Schutz Ihrer Daten und Ihres Kontos zur Verfügung haben, liegt es laut Thorsheim oft beim Benutzer, „viele dieser Optionen zu verstehen, zu konfigurieren und zu verwenden, und die meisten Leute lesen das Handbuch nicht, und das ganz sicher.“ Ändern Sie keine Standardeinstellungen!“
Dies veranlasste ihn zu der Bemerkung, dass zu viele Benutzer nicht verstehen, wie sie einen Passwort-Manager im Browser verwenden, und dass das Hauptproblem darin besteht, „meiner Meinung nach ist es wichtiger, wie man sie verwendet, als welches man wählt.“
Möglicherweise handelt es sich bei Passwort-Managern um eine aufstrebende Technologie, da sie für den öffentlichen Gebrauch bereits ausgereift sind. Wie benutzerfreundlich sie ohne Anleitung sind, während die Unternehmen, die sie entwickeln, denselben Angriffen ausgesetzt sind wie jeder andere Endpunkt auf der Welt. Letztendlich sind sie für einen Bedrohungsakteur eine Fundgrube für den Zugang, und es macht absolut Sinn, warum sie ins Visier genommen werden.
Während Verstöße schon seit vielen Jahren andauern, sind einige Plattformen betroffen, und andere implementieren ständig Schutzmaßnahmen, um sicherzustellen, dass sie einen Datenschutzverstoß oder einen gezielten Angriff überstehen können. Wir müssen realistisch sein, wie viel zusätzliche Sicherheit sie für die Verwendung von Passwörtern bieten. Zu lange haben Menschen Passwörter wiederverwendet und wurden aufgefordert, ihre Passwörter nach einem Sicherheitsvorfall zu ändern; Am Nationalen Tag der Passwortänderung ist es vielleicht an der Zeit, Ihre Einstellung zu Passwort-Managern zu ändern: Nutzen Sie sie, verstehen Sie, wie sie funktionieren und warum Sie mit ihnen besser dran sind als ohne.
Stärken Sie noch heute Ihre Informationssicherheit
Wenn Sie Ihre Reise zu besserer Informationssicherheit beginnen möchten, können wir Ihnen helfen.
Unsere ISMS-Lösung ermöglicht einen einfachen, sicheren und nachhaltigen Ansatz zur Informationssicherheit und Datenverwaltung mit ISO 27001 und über fünfzig andere Frameworks. Erkennen Sie noch heute Ihren Wettbewerbsvorteil.
