Как обеспечить ИБ при использовании менеджеров паролей?

Популярность перехода на удаленную работу поднимает сопутствующие вопросы обеспечения информационной безопасности. Один из них – это хранение паролей пользователей. Многие ресурсы требуют пароль достаточного уровня сложности и длины с частотой сменяемости до раза в одну-две недели. Что делает практически нереальным для обычного человека держать их в уме, а хранение на бумаге, как известно, не лучший вариант во многих случаях. Отсюда возникает проблема, рекомендуемое решение которой заключается в использовании специализированного ПО – менеджера паролей.

На днях эксперты безопасности Йоркского Университета поделились исследованием популярных менеджеров паролей и показали, что все они уязвимы к определенным атакам:

? Протестированные менеджеры использовали слабые критерии для идентификации приложения, запрашивающего пароль. В итоге вредоносное приложение, выдававшее себя за законное путем переименования в то же имя, получало у менеджера текущие логин-пароль.

? Некоторые менеджеры паролей не имеют ограничения на количество попыток ввода основного PIN-кода доступа к паролям. И таким образом могут быть взломаны методом простого перебора (Brute Force). Так, четырехсимвольный код взламывается за 2,5 часа.

Также было обнаружено несколько некритичных уязвимостей, которые поставщики уже исправили.

Тем не менее эксперты Йоркского Университета советуют продолжать использовать программы управления паролями, а эксперты группы компаний Angara для нивелирования указанных рисков дополнительно рекомендуют:

? по возможности использовать более сложные коды доступа в сами менеджеры (если такая опция доступна),

? для проведения атаки злоумышленнику потребуется заменить ваше легитимное приложение на свое, а это не так незаметно в системе. То есть соблюдение стандартной цифровой гигиены (не устанавливать неизвестное ПО, не посещать подозрительные сайты, не открывать и не запускать подозрительные вложения и т.д.) и внимательное отношение к устройствам, системным сообщениям, антивирусной защите – достаточно действенные в данном случае механизмы защиты от кражи паролей.

Кроме того, эксперты ФСБ рекомендуют использовать длинные парольные фразы вместо коротких и сложных. Длина пароля делает более длительным его подбор, но при этом фраза сделает его более легким для запоминания, если это все-таки необходимо.

Эксперты группы компаний Angara имеют обширный практический опыт работы в области обеспечения безопасного хранения паролей пользователей и готовы проконсультировать по всем возникающим вопросам по e-mail info@angaratech.ru или телефону 8-495-269-26-06.



Другие публикации

Как не стать жертвой мошенников: рекомендации по настройке аккаунта в Telegram

Каждое юрлицо – это оператор персональных данных, который собирает большое количество личной информации: ФИО, номера телефонов, адреса, банковские данные.

актуально

26.07.2024

Повышение информационной безопасности АСУ ТП: практический кейс

Михаил Сухов, руководитель отдела анализа защищенности Angara Security, подготовил для Anti-malware статью о пентесте на одном из предприятий промышленного сектора.

06.06.2024

Angara Security: в России выявлены мошеннические площадки для сбора персональных данных в преддверии ЕГЭ и ОГЭ

Аналитики Angara Security выявили, что в апреле 2024 года были зарегистрированы домены, которые используют тематику подготовки к единому государственному экзамену.

31.05.2024

Лада Антипова, Angara Security: Неквалифицированное реагирование на инцидент только усугубит последствия для компании

При возникновении инцидента сотрудники компании без отдела ИБ рискуют совершить ошибки, которые затруднят расследование киберпреступления и могут привести к потере ценных данных. Лада Антипова, руководитель отдела реагирования и цифровой криминалистики Angara SOC, рассказала порталу Cyber Media.

актуально

29.05.2024

Перспективы российских облачных сервисов в условиях санкций

Денис Бандалетов, руководитель отдела сетевых технологий Angara Security, принял участие в подготовке материала об облачных сервисах и выборе решений с учетом задач инфраструктуры заказчиков для Коммерсантъ.

актуально

23.05.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах