Wachtwoordmanagers: werk in uitvoering ondanks populariteit
Eind 2022 meldde LastPass opnieuw een beveiligingsincident, en terwijl we een dag markeren om wachtwoorden te wijzigen, vraagt Dan Raywood zich af of een ander stuk cyberbeveiligingssoftware zoveel beveiligingsincidenten had ondergaan: zouden gebruikers het inmiddels hebben opgegeven?
Eind 2022 bracht authenticatieleverancier LastPass gebruikers en de rest van de wereld op de hoogte van een beveiligingsincident waar “een ongeautoriseerde partij toegang kreeg tot een cloudgebaseerde opslagdienst van derden, die LastPass gebruikt om gearchiveerde back-ups op te slaan van .. productiegegevens.”
Het incident zorgde wereldwijd voor krantenkoppen, ook van Bedraad, dat zeer kritisch was over de acties van LastPass – of, om eerlijker te zijn – het gebrek aan antwoord op essentiële vragen, en beschuldigde het ervan geen ‘aanvullende informatie te verstrekken aan verwarde en bezorgde klanten’.
LastPass-inbreuk: wat, wanneer en hoe
Het incident vond plaats toen een bedreigingsacteur toegang kreeg tot een cloudgebaseerde opslagomgeving, waarbij gebruik werd gemaakt van informatie verkregen uit een incident dat het eerder in augustus 2022 had bekendgemaakt. “Hoewel er tijdens het incident van augustus 2022 geen klantgegevens werden benaderd, werd bepaalde broncode en technische informatie gestolen uit onze ontwikkelomgeving en gebruikt om een andere medewerker te targeten, waarbij inloggegevens en sleutels werden verkregen die werden gebruikt om toegang te krijgen tot en te decoderen tot bepaalde opslagvolumes binnen de cloudgebaseerde opslagdienst”, aldus LastPass in zijn verklaring.
Deze twee gerelateerde incidenten zijn niet de eerste keer dat LastPass te maken krijgt met negatieve beveiligingsnieuws. Terug in 2015, waarschuwde het bedrijf gebruikers voor “verdachte activiteiten op ons netwerk”, waarbij “e-mailadressen van LastPass-accounts, wachtwoordherinneringen, server-per-gebruiker-salts en authenticatie-hashes in gevaar waren gebracht.”
Dit is niet bedoeld om LastPass eruit te pikken, zoals andere aanbieders van wachtwoordbeheerders hebben geleden beveiligingsincidenten in het verleden, maar meer een vraag of wachtwoordmanagers geschikt zijn voor hun doel in 2023. Als een ander stuk cyberbeveiligingssoftware zoveel beveiligingsincidenten had ondergaan, zouden gebruikers het dan inmiddels hebben opgegeven?
Zijn wachtwoordmanagers te vertrouwen?
In een recente Twitter-peiling, vroegen we ons af of gebruikers, ondanks inbreuken zoals die van LastPass, nog steeds een wachtwoordbeheerder als de beste methode zouden beschouwen om wachtwoorden veilig op te slaan. In onze enquête waren er 96 respondenten en 85 procent was het ermee eens dat dit de beste optie was. Uit de reacties die we ontvingen blijkt dat “de theorie achter de werking nog steeds grotendeels klopt”, aangezien de kluizen nog steeds worden gecodeerd met het hoofdwachtwoord van de gebruiker. De opties rond wachtwoordmanagers variëren tussen lokaal en cloudgebaseerd, hoewel het “een waardevolle optie is die veel tijd [en] gedoe kan besparen, en beter is dan het hergebruiken van wachtwoorden of het kiezen van slechte wachtwoorden.”
Per Thorsheim, oprichter van PasswordsCon, verklaarde dat het “heel gemakkelijke antwoord ja is, aangezien wachtwoordmanagers goed zijn, en ik ze absoluut aanbeveel” toen we hem vroegen of hij van mening was dat wachtwoordmanagers nog steeds de beste optie zijn, ondanks het aantal inbreuken dat we hebben gepleegd. heb gezien.
Thorsheim waarschuwt echter voor het aantal wachtwoordmanagers, omdat hij van mening is dat “een flink aantal ‘siliciumslangolie’ zijn in termen van beveiliging, aan de dure kant kan zijn en dat de gebruikerservaring misschien niet zo eenvoudig is als je zou verwachten. .
Thorsheim verklaarde ook dat “een wachtwoordbeheerder geen afzonderlijke app of meerdere apparaten hoeft te zijn of directe multi-cloudsynchronisatie tussen apparaten hoeft te bieden. Een wachtwoordbeheerder kan ook zo simpel zijn als een notitieboekje in je keukenla, waarbij je het goede oude potlood gebruikt om daar belangrijke notities te maken.”
Natuurlijk hebben we het hier over het app-formaat van een wachtwoordbeheerder. Er is een argument dat een notitieboekje met geschreven wachtwoorden op een veilige locatie bij u thuis veiliger is dan welke digitale versie dan ook. Om te bepalen of wachtwoordmanagers veiliger zijn, vroeg ik Wendy Nather, hoofd van de adviserende CISO's bij Cisco, wat zij vond van hun beveiligingsstatus.
Ze noemt ze “een vroege poging om een programmatische interface tussen de gebruiker en het systeem te plaatsen”, die onvolmaakt is, maar de gebruiker kan beschermen tegen het wachtwoordprobleem en verbeterd kan worden. Nather geeft toe dat we ons momenteel nog in de begindagen bevinden van het afschermen en beschermen van de gebruiker in het authenticatieproces. Wachtwoordloze technologieën en standaarden zoals FIDO2 worden aangenomen, en we “zien meer verbeteringen, betrouwbaarheid en consistentie, en het enige wat de gebruiker mist is consistentie.”
We zien nu vaak dat veel browsers aanbieden om een wachtwoord op te slaan. Hoewel dat een andere mogelijke methode is om een inbreuk mogelijk te maken, wordt er ook functionaliteit toegevoegd om ervoor te zorgen dat de gebruiker wordt gewaarschuwd waar zijn wachtwoord mogelijk in een computer terecht is gekomen. datalek.
Wachtwoordmanagers zijn een stap vooruit als u ze niet opschrijft en op een toegankelijke plaats of zelfs in een andere app achterlaat, of als u voor elke dienst hetzelfde wachtwoord gebruikt. Toch is het duidelijk dat ze een werk in uitvoering zijn als het gaat om hun algehele beveiliging. Thorsheim zegt dat het een kwestie is van correct gebruik ervan, en “dat houdt ook in dat ze een willekeurig wachtwoord mogen genereren voor elke website die we hebben.”
Maar omdat wachtwoordmanagers verschillende opties beschikbaar hebben om je gegevens en je account te beveiligen, zegt Thorsheim dat het vaak aan de gebruiker is “om veel van die opties te begrijpen, configureren en gebruiken, en de meeste mensen lezen de handleiding niet, en dat zullen ze zeker doen.” wijzig geen standaardinstellingen!”
Dit zorgde ervoor dat hij opmerkte dat te veel gebruikers niet begrijpen hoe ze een wachtwoordbeheerder in de browser gebruiken, en dat het grootste probleem van “hoe je ze gebruikt, naar mijn mening belangrijker is dan welke je kiest.”
Het kan zijn dat wachtwoordmanagers een opkomende technologie zijn, gezien de mate waarin ze goed ontwikkeld zijn voor openbaar gebruik. Hoe gebruiksvriendelijk zijn ze zonder instructie, terwijl de bedrijven die ze ontwikkelen onderworpen zijn aan dezelfde aanvallen als elk ander eindpunt ter wereld. Uiteindelijk vormen ze een schat aan toegang voor een bedreigingsactoren, en het is volkomen logisch waarom ze het doelwit zouden zijn.
Hoewel de inbreuken al vele jaren aan de gang zijn, zijn sommige platforms getroffen en implementeren andere voortdurend beveiligingsmaatregelen om ervoor te zorgen dat ze een datalek of een gerichte aanval kunnen overleven. We moeten realistisch zijn over hoeveel extra beveiliging ze bieden voor wachtwoordgebruik. Te lang hebben mensen wachtwoorden hergebruikt en kregen ze te horen dat ze hun wachtwoord moesten wijzigen na een beveiligingsincident; op de Nationale Verander Je Wachtwoord Dag is het misschien tijd om je manier van denken over wachtwoordmanagers te veranderen: gebruik ze, begrijp hoe ze werken en hoe je beter af bent met ze dan zonder.
Versterk vandaag nog uw informatiebeveiliging
Als u uw reis naar betere informatiebeveiliging wilt beginnen, kunnen wij u helpen.
Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame aanpak van informatiebeveiliging en gegevensbeheer mogelijk ISO 27001 en meer dan vijftig andere raamwerken. Realiseer vandaag nog uw concurrentievoordeel.
