Adgangskodeadministratorer: Et arbejde i gang på trods af popularitet
I slutningen af 2022 rapporterede LastPass endnu en sikkerhedshændelse, og da vi markerer en dag for at skifte adgangskoder, spørger Dan Raywood, om et andet stykke cybersikkerhedssoftware havde været udsat for så mange sikkerhedshændelser, ville brugerne have opgivet det nu?
I slutningen af 2022 underrettede autentificeringsleverandøren LastPass brugere og den bredere verden af en sikkerhedshændelse hvor "en uautoriseret part fik adgang til en tredjeparts cloud-baseret lagertjeneste, som LastPass bruger til at gemme arkiverede sikkerhedskopier af ... produktionsdata."
Hændelsen skabte overskrifter verden over, herunder fra Wired, som var stærkt kritisk over for LastPass's handlinger - eller for at være mere ærlig - dets manglende svar på væsentlige spørgsmål, og beskyldte det for ikke at give "yderligere information til forvirrede og bekymrede kunder."
LastPass-brud: Hvad, hvornår og hvordan
Hændelsen opstod, da en trusselsaktør fik adgang til et cloud-baseret lagringsmiljø og udnyttede oplysninger opnået fra en hændelse, som den tidligere havde afsløret i august 2022. "Selvom der ikke blev tilgået kundedata under hændelsen i august 2022, var der nogle kildekoder og tekniske oplysninger. stjålet fra vores udviklingsmiljø og brugt til at målrette mod en anden medarbejder, opnå legitimationsoplysninger og nøgler, som blev brugt til at få adgang til og dekryptere nogle lagervolumener inden for den skybaserede lagertjeneste,” sagde LastPass i sin erklæring.
Disse to relaterede hændelser er ikke første gang, LastPass står over for negative sikkerhedsoverskrifter. Tilbage i 2015, advarede virksomheden brugere om "mistænkelig aktivitet på vores netværk", hvor "LastPass-konto-e-mailadresser, adgangskodepåmindelser, server-per-bruger-salter og autentificeringshashes blev kompromitteret."
Dette er ikke beregnet til at fremhæve LastPass, som andre udbydere af password manager har lidt sikkerhedshændelser tidligere, men mere et spørgsmål om, hvorvidt adgangskodeadministratorer er egnede til formålet i 2023. Når alt kommer til alt, hvis et andet stykke cybersikkerhedssoftware havde været udsat for så mange sikkerhedshændelser, ville brugerne så have opgivet det nu?
Er adgangskodeadministratorer til at stole på?
I en nyere Twitter-afstemning, spurgte vi, om brugere, på trods af brud som det, LastPass oplevede, stadig ville betragte en adgangskodeadministrator som den bedste metode til at gemme adgangskoder sikkert. I vores meningsmåling var der 96 respondenter, og 85 procent var enige i, at det var den bedste mulighed. Kommentarer vi modtog sagde, "teorien bag dens drift er stadig for det meste fornuftig", da hvælvinger stadig er krypteret med brugerens hovedadgangskode. Indstillingerne omkring adgangskodeadministratorer varierer mellem lokalt og skybaseret, selvom det er "en værdifuld mulighed, der kan spare masser af tid [og] besvær, og er bedre end at genbruge adgangskoder eller bare vælge dårlige."
Per Thorsheim, stifter af PasswordsCon, udtalte, at "det meget nemme svar er ja, da password managers er gode, og jeg anbefaler dem absolut", da vi spurgte ham, om han mente, at password managers stadig er den bedste løsning på trods af antallet af brud vi har set.
Thorsheim advarer dog om antallet af password-managere, da han mener, at "en hel del er 'silicium slangeolie' med hensyn til sikkerhed, kan være til den dyre side, og brugeroplevelsen er måske ikke så let, som du ville forvente. .
Thorsheim udtalte også, at "en adgangskodeadministrator ikke behøver at være en separat app, multi-enhed eller give øjeblikkelig multi-cloud-synkronisering mellem enheder. En adgangskodeadministrator kan også være så simpel som en notesbog i din køkkenskuffe, ved at bruge den gode gamle blyant til at lave de vigtige indtastninger der."
Selvfølgelig taler vi her om app-formatet for en adgangskodemanager. Der er et argument at fremføre, at en notesbog med skrevne adgangskoder på et sikkert sted i dit hjem er mere sikkert end nogen digital version. Alligevel, for at afgøre, om adgangskodeadministratorer er mere sikre, spurgte jeg Wendy Nather, leder af rådgivende CISO'er hos Cisco, hvad hun syntes om deres sikkerhedstilstand.
Hun kalder dem "en tidlig indsats for at placere en programmatisk grænseflade mellem brugeren og systemet", som er ufuldkommen, men som kan beskytte brugeren mod adgangskodeproblemet og kan forbedres. Nather indrømmer, at vi i øjeblikket er i de tidlige dage med at afskærme og beskytte brugeren i godkendelsesprocessen. Adgangskodeløse teknologier og standarder som FIDO2 bliver vedtaget, og vi "ser flere forbedringer, pålidelighed og konsekvens, og alt hvad brugeren mangler er konsistens."
Vi ser nu ofte, at mange browsere tilbyder at gemme en adgangskode. Selvom det er en anden potentiel metode til at aktivere et brud, tilføjes funktionalitet også for at sikre, at brugeren advares om, hvor deres adgangskoder kan være blevet fanget i en bruddet.
Adgangskodeadministratorer er et skridt fremad fra at skrive dem ned og efterlades på et tilgængeligt sted eller endda på en anden app eller bruge den samme adgangskode til hver tjeneste. Alligevel er det klart, at de er et igangværende arbejde, når det kommer til deres overordnede sikkerhed. Thorsheim siger, at det handler om at bruge dem ordentligt, og "det inkluderer at give dem mulighed for at generere en tilfældig adgangskode for hver hjemmeside, vi har."
Men da adgangskodeadministratorer har forskellige muligheder for at sikre dine data og din konto, sagde Thorsheim, at det ofte er op til brugeren "at forstå, konfigurere og bruge mange af disse muligheder, og de fleste mennesker læser ikke manualen, og de er helt sikkert ændr ikke nogen standardindstillinger!"
Dette fik ham til at kommentere, at alt for mange brugere ikke forstår, hvordan de bruger en adgangskodeadministrator i browseren, og hovedproblemet med "hvordan du bruger dem er vigtigere end hvilken du vælger at bruge, efter min mening."
Det kan være tilfældet, at password managers er en ny teknologi i, hvor veludviklet de er til offentlig brug. Hvor brugervenlige de er uden instruktion, mens de virksomheder, der udvikler dem, udsættes for de samme angreb, som alle andre endepunkter i verden. I sidste ende er de en skatkammer af adgang for en trusselsaktør, og det giver fuldstændig mening, hvorfor de ville blive målrettet.
Mens brud har stået på i mange år, er nogle platforme blevet påvirket, og andre implementerer konstant beskyttelse for at sikre, at de kan overleve et databrud eller målrettet angreb. Vi skal være realistiske med hensyn til, hvor meget ekstra sikkerhed de tilbyder for adgangskodebrug. For længe har folk genbrugt adgangskoder og fået besked på at ændre deres adgangskoder efter en sikkerhedshændelse; på National Change Your Password Day, er det måske tid til at ændre din måde at tænke på adgangskodeadministratorer: Brug dem, forstå, hvordan de fungerer, og hvordan du har det bedre med dem end uden dem.
Styrk din informationssikkerhed i dag
Hvis du ønsker at starte din rejse mod bedre informationssikkerhed, kan vi hjælpe.
Vores ISMS-løsning muliggør en enkel, sikker og bæredygtig tilgang til informationssikkerhed og datahåndtering med ISO 27001 og over halvtreds andre rammer. Indse din konkurrencefordel i dag.
