Lösenordshanterare: ett pågående arbete trots popularitet
I slutet av 2022 rapporterade LastPass ytterligare en säkerhetsincident, och när vi markerar en dag för att byta lösenord frågar Dan Raywood om en annan del av cybersäkerhetsprogram hade drabbats av så många säkerhetsincidenter, skulle användarna ha gett upp det nu?
I slutet av 2022 meddelade autentiseringsleverantören LastPass användare och den bredare världen av en säkerhetshändelse där "en obehörig part fick tillgång till en tredjeparts molnbaserad lagringstjänst, som LastPass använder för att lagra arkiverade säkerhetskopior av ... produktionsdata."
Incidenten skapade rubriker över hela världen, inklusive från Trådbunden, som var starkt kritisk till LastPass agerande – eller, för att vara mer ärlig – dess brist på svar på viktiga frågor, och anklagade det för att inte tillhandahålla "ytterligare information till förvirrade och oroliga kunder."
LastPass-brott: vad, när och hur
Incidenten inträffade när en hotaktör fick åtkomst till en molnbaserad lagringsmiljö och utnyttjade information som erhållits från en incident som den tidigare hade avslöjat i augusti 2022. "Även om ingen kunddata nåddes under incidenten i augusti 2022, var viss källkod och teknisk information stulen från vår utvecklingsmiljö och används för att rikta in sig på en annan anställd, erhålla referenser och nycklar som användes för att komma åt och dekryptera vissa lagringsvolymer inom den molnbaserade lagringstjänsten, säger LastPass i sitt uttalande.
Dessa två relaterade incidenter är inte första gången LastPass har mött negativa säkerhetsrubriker. Tillbaka in 2015, uppmärksammade företaget användarna på "misstänkt aktivitet på vårt nätverk", där "LastPass-kontots e-postadresser, lösenordspåminnelser, server-per-användarsalter och autentiseringshashar äventyrades."
Detta är inte avsett att peka ut LastPass, eftersom andra lösenordshanterare har drabbats säkerhetsincidenter tidigare, men mer en fråga om huruvida lösenordshanterare är lämpliga för ändamålet 2023. När allt kommer omkring, om en annan del av cybersäkerhetsprogram hade drabbats av så många säkerhetsincidenter, skulle användarna ha gett upp det vid det här laget?
Är lösenordshanterare att lita på?
I en nyligen Twitter-enkät, frågade vi om användare, trots överträdelser som den som LastPass upplevde, fortfarande skulle anse att en lösenordshanterare är den bästa metoden att lagra lösenord på ett säkert sätt. I vår undersökning svarade 96 och 85 procent höll med om att det var det bästa alternativet. Kommentarer vi fick sa, "teorin bakom dess funktion är fortfarande mestadels sund", eftersom valven fortfarande är krypterade med användarens huvudlösenord. Alternativen kring lösenordshanterare varierar mellan lokala och molnbaserade, även om det är "ett värdefullt alternativ som kan spara mycket tid [och] krångel, och är bättre än att återanvända lösenord eller bara välja dåliga."
Per Thorsheim, grundare av PasswordsCon, sa att det "mycket enkla svaret är ja, eftersom lösenordshanterare är bra, och jag rekommenderar dem absolut" när vi frågade honom om han ansåg att lösenordshanterare fortfarande är det bästa alternativet trots antalet överträdelser vi har sett.
Thorsheim varnar dock för antalet lösenordshanterare, eftersom han tror att "ganska många är 'kiselormolja' när det gäller säkerhet, kan vara på den dyra sidan, och användarupplevelsen kanske inte är så lätt som du kan förvänta dig .
Thorsheim sa också att "en lösenordshanterare behöver inte vara en separat app, multi-enhet eller ge omedelbar multi-moln-synkronisering mellan enheter. En lösenordshanterare kan också vara så enkel som en anteckningsbok i din kökslåda, med den gamla goda pennan för att göra de där viktiga inläggen."
Naturligtvis pratar vi här om appformatet för en lösenordshanterare. Det finns ett argument att framföra att en anteckningsbok med skrivna lösenord på en säker plats i ditt hem är säkrare än någon digital version. Ändå, för att avgöra om lösenordshanterare är säkrare, frågade jag Wendy Nather, chef för rådgivande CISO på Cisco, vad hon tyckte om deras säkerhetstillstånd.
Hon kallar dem "ett tidigt försök att placera ett programmatiskt gränssnitt mellan användaren och systemet", vilket är ofullkomligt men kan skydda användaren från lösenordsproblemet och kan förbättras. Nather medger att vi för närvarande är i början av att skydda och skydda användaren i autentiseringsprocessen. Lösenordslösa teknologier och standarder som FIDO2 håller på att antas, och vi "ser fler förbättringar, tillförlitlighet och konsekvens, och allt som användaren saknar är konsekvens."
Vi ser nu ofta många webbläsare erbjuder att spara ett lösenord. Även om det är en annan möjlig metod för att ett intrång ska aktiveras, läggs även funktionalitet till för att säkerställa att användaren varnas för var deras lösenord kan ha fångats i en dataintrång.
Lösenordshanterare är ett steg framåt från att skriva ner dem och lämna dem på en tillgänglig plats eller till och med i en annan app eller använda samma lösenord för varje tjänst. Ändå är det tydligt att de är ett pågående arbete när det kommer till deras övergripande säkerhet. Thorsheim säger att det handlar om att använda dem på rätt sätt, och "det inkluderar att låta dem skapa ett slumpmässigt lösenord för varje webbplats vi har."
Men eftersom lösenordshanterare har olika alternativ tillgängliga för att säkra din data och ditt konto, sa Thorsheim att det ofta är upp till användaren "att förstå, konfigurera och använda många av dessa alternativ, och de flesta människor läser inte manualen, och de är säkert ändra inga standardinställningar!"
Detta fick honom att kommentera att alltför många användare inte förstår hur de använder en lösenordshanterare i webbläsaren, och huvudproblemet med "hur du använder dem är viktigare än vilken du väljer att använda, enligt min mening."
Det kan vara så att lösenordshanterare är en framväxande teknik i hur välutvecklade de är för allmänt bruk. Hur användarvänliga de är utan instruktioner, medan företagen som utvecklar dem utsätts för samma attacker som alla andra slutpunkter i världen. I slutändan är de en skattkammare av tillgång för en hotaktör, och det är helt logiskt varför de skulle bli måltavla.
Även om intrång har pågått i många år har vissa plattformar påverkats, och andra implementerar ständigt skydd för att säkerställa att de kan överleva ett dataintrång eller riktade attacker. Vi måste vara realistiska om hur mycket extra säkerhet de erbjuder för lösenordsanvändning. För länge har människor återanvänt lösenord och blivit tillsagda att ändra sina lösenord efter en säkerhetsincident; på National Change Your Password Day kanske det är dags att ändra ditt sätt att tänka på lösenordshanterare: Använd dem, förstå hur de fungerar och hur du har det bättre med dem än utan dem.
Stärk din informationssäkerhet idag
Om du vill starta din resa mot bättre informationssäkerhet kan vi hjälpa dig.
Vår ISMS-lösning möjliggör ett enkelt, säkert och hållbart förhållningssätt till informationssäkerhet och datahantering med ISO 27001 och över femtio andra ramverk. Förverkliga din konkurrensfördel idag.
