Můžeme říci, že použití správců hesel je dobrou volbou pro ochranu přístupových kódů. Slouží k jejich uložení, správnému vygenerování a nemusí se je pamatovat. To nám dává svobodu mít opravdu silné klíče. Problém je, že někdy zranitelností mohou vzniknout a způsobit odhalení těchto hesel. To je to, co se stalo s Bitwarden , což je jeden z nejoblíbenějších klíčových manažerů.
Chyba umožňuje odcizení hesel Bitwarden
Pokud jste použili Bitwarden k uložení klíčů, buďte opatrní, protože mohly být odcizeny. Konkrétně to hackeři dokázali používat prvky iframe ke krádeži hesel . Podařilo se jim využít automatické doplňování a umožnit škodlivým prvkům iframe na důvěryhodných webech ukrást uživatelská pověření.
Nejedná se o aktuální novinku, ale jde o skutečnost, že skupina o Bod vzplanutí bezpečnostní výzkumníci naznačili, že legitimní webové stránky, které používají prvky iframe, stále existují a mohou být zneužity hackery.
Ale co přesně je tato funkce? Když vstoupíte na webovou stránku, například na stránku pro nákup produktu, zadáte svá data a hesla. The Rozšíření Bitwarden uloží je, abyste je příště nemuseli vracet. V podstatě to, co dělá, je zapamatovat si je a ušetřit nám čas, když musíme znovu vstoupit. Je to něco, co má například i správce klíčů Google.
Problém je v tom, že z Flashpointu při analýze Bitwardenu zjistili, že rozšíření také formuláře automatického doplňování definované ve vložených prvcích iframe, což se může stát i v externích doménách. Co může udělat, je počkat, až oběť vloží svá data a předá je vzdálenému serveru ovládanému útočníky.
Ale objevili druhý problém. Během vyšetřování zjistili, že Bitwarden také automaticky vyplní přihlašovací údaje na subdoménách základní domény, které odpovídají přihlášení. To umožňuje útočníkovi hostujícímu phishingový web pod subdoménou, která odpovídá uloženému přihlášení, získat přihlašovací údaje, když oběť navštíví daný web.
Jak se vyhnout problémům
Z Bitwardenu uvedli, že funkce automatického doplňování je potenciálním rizikem a že na to varují. Napadené webové stránky mohou tuto funkci zneužít. Naše rada je, že pokud jste použili tohoto správce hesel a použili tuto funkci automatického doplňování, dobře si zkontrolujte svá hesla a změňte je, abyste předešli problémům.
Vždy můžete zkontrolovat, zda heslo nebylo odcizeno a podnikněte kroky co nejdříve . Naší radou však je vždy pravidelně aktualizovat přístupové kódy. To je nejlepší, abyste se vyhnuli zranitelnostem, které se mohou objevit nejen u klíčových manažerů, ale na jakékoli platformě, kterou v síti používáte.
Navíc je to dobrý nápad pro umožnění dvoufaktorové autentizace na všech platformách, kde je k dispozici. Je to další bezpečnostní bariéra, kterou můžete použít, abyste jim zabránili v proniknutí do vašich účtů, i když se jim podaří ukrást heslo. Vždy budou potřebovat druhý krok. Použití offline správců hesel je také dobrý nápad, abyste se vyhnuli externím problémům.
Stručně řečeno, jak vidíte, došlo k novému problému, který se týká důležitého správce hesel, jako je Bitwarden. Přijímání preventivních opatření a správné jednání v případě problémů je klíčem k řádné ochraně účtů.