Сегодня 04 февраля 2023
18+
MWC 2018 2018 Computex IFA 2018
Теги → пароль
Быстрый переход

У менеджера паролей Norton украли личные данные пользователей, в том числе сами пароли

NortonLifeLock объявила, что за последние несколько недель злоумышленникам удалось скомпрометировать учётные записи тысяч пользователей менеджера паролей Norton Password Manager. В настоящее время компания рассылает соответствующие уведомления клиентам, которых затрагивает данный инцидент.

Согласно имеющимся данным, инцидент произошёл не из-за какой-либо уязвимости в IT-системах компании или программном обеспечении. В уведомлении сказано, что злоумышленники провели массовую атаку с подстановкой учётных данных, т.е. пытались авторизоваться в менеджере паролей с данными, полученными из сторонних источников, возможно, в ходе других утечек информации. Проще говоря, злоумышленники проверяли возможность авторизации в Norton Password Manager с данными пользователей от других учётных записей.

Отмечается, что проведение такой атаки было невозможным в случае, если бы все пользователи менеджера паролей задействовали функцию двухфакторной аутентификации, которая не позволяет получить доступ к данным только по паролю. Касательно инцидента сказано, что 12 декабря специалисты Norton зафиксировали необычно большое количество неудачных попыток авторизации в системе. Внутреннее расследование, которое было проведено после выявления действий злоумышленников, показало, что первые атаки с подстановкой учётных данных начались 1 декабря.

По данным источника, компания Gen Digital, являющаяся дочерним предприятием NortonLifeLock, разослала 6450 уведомлений клиентам, чьи учётные записи затронуты в данном инциденте. Другой источник сообщает, что злоумышленники могли атаковать около 925 тыс. активных и неактивных учётных записей клиентов компании. Клиенты получили уведомление о том, что злоумышленники могли получить доступ к логинам и паролям, а также личной информации, такой как ФИО, номера телефонов и адреса электронной почты. Компания настоятельно рекомендует пользователям использовать двухфакторную аутентификацию, чтобы в дальнейшем избежать подобных инцидентов.

Инспекция по кибербезопасности взломала каждый пятый пароль в системе МВД США

Немногим более одной пятой от всех паролей, используемых в системе Министерства внутренних дел США, оказались достаточно слабыми, чтобы их можно было взломать стандартными методами, говорится в отчёте (PDF), составленном по итогам аудита безопасности в ведомстве.

 Источник изображения: Markus Spiske / unsplash.com

Источник изображения: Markus Spiske / unsplash.com

Проводившие инспекцию эксперты получили хеши паролей от 85 944 учётных записей сотрудников в Active Directory. Далее эти пароли попытались взломать при помощи базы из 1,5 млрд слов, включающей в себя: словари из нескольких языков, правительственную терминологию США, отсылки к поп-культуре, общедоступные пароли, ставшие известными в результате прежних утечек, а также комбинации клавиш вроде QWERTY. Это позволило взломать 18 174 или 21 % паролей. При этом 288 соответствующих учётных записей имели высокие привилегии в системе, а 362 принадлежали высокопоставленным сотрудникам ведомства. Только за первые 90 минут удалось взломать 16 % учётных записей. Проверка также выявила ещё одну уязвимость в защите — фактическую неспособность ведомства внедрить многофакторную авторизацию на 25 (или 89 %) особо ценных ресурсах из 28, взлом которых может серьёзно повлиять на работу ведомства.

Вот каким оказался список самых популярных паролей:

  • Password-1234 (его использовали 478 пользователей);
  • Br0nc0$2012 (389);
  • Password123$ (318);
  • Password1234 (274);
  • Summ3rSun2020! (191);
  • 0rlando_0000 (160);
  • Password1234! (150);
  • ChangeIt123 (140);
  • 1234password$ (138);
  • ChangeItN0w! (130).

Для взлома эксперты использовали систему из 16 видеокарт на 2 или 3 поколения старше актуальных продуктов. Примечательно, что 99,9 % взломанных паролей формально отвечали требованиям безопасности: имели длину не менее 12 символов и содержали 3 из 4 необходимых типов символов — строчные и прописные буквы, цифры и спецсимволы.

Менеджер паролей LastPass признал, что хакеры украли пользовательские данные и зашифрованные пароли, но на взлом уйдут «миллионы лет»

Представители менеджера паролей LastPass признали, что хакеры украли зашифрованные копии пользовательских паролей и прочие важные данные, включая платёжные адреса, телефонные номера и IP-адреса пользователей. Изначально взлом системы произошёл ещё в августе уходящего года, в конце ноября — начале декабря появилась информация о том, какие данные были украдены, а теперь в блоге компании опубликованы и более подробные сведения.

 Источник изображения: LastPass

Источник изображения: LastPass

В августе компания заявляла, что следов получения хакерами доступа к пользовательским данным или зашифрованным хранилищам паролей не выявлено. Тем не менее уже известно, что украденная часть исходного кода и техническая информация использовались для дальнейших противоправных действий в конце осени, в результате которых хакеры получили возможность получить учётные данные и ключи для доступа и дешифровки данных, хранившихся в родственном облачном сервисе компании.

Хакеры смогли скопировать базовую информацию об аккаунтах, включая адреса электронной почты и IP-адреса, с которых пользователи получали доступ к LastPass, а также «полностью зашифрованные значимые области вроде имён пользователей и паролей на веб-сайтах, защищённые заметки и данные заполненных форм».

Менеджеры паролей позволяют пользователям хранить их имена и пароли на разных сайтах в одном месте — доступ к ним можно получить, имея мастер-пароль, создаваемый самим пользователем. Last Pass не хранит мастер-пароль и не распоряжается им. Прочие зашифрованные данные можно получить только с помощью «уникального ключа шифрования, полученного с помощью мастер-пароля пользователя». Тем не менее компания предупредила клиентов, что они могут стать жертвами социальной инженерии, фишинга и других методов получения информации. Кроме того, хакеры могут использовать брутфорс-атаку для получения мастер-пароля и дешифровки прочих данных, находящихся в зашифрованном хранилище. Впрочем, в LastPass заявляют, что у злоумышленников уйдут «миллионы лет» на то, чтобы угадать пароль с помощью общедоступных технологий взлома.

В компании заявили, что занимающаяся обеспечением кибербезопасности компания Mandiant расследует инцидент, а в самой LastPass полностью перестраивают всю рабочую среду — косвенно это свидетельствует о том, что хакеры добрались до значимых фрагментов кода и других данных.

В LastPass сообщили, что расследование продолжается, и компания уведомила правоохранительные органы и профильных регуляторов о произошедшем. Пользователям рекомендуется сделать мастер-пароль не короче 12 символов, изменить настройки стандарта формирования ключа Password-Based Key Derivation Function (PBKDF2) и, конечно, не использовать мастер-пароль на других сайтах. Более подробные актуальные рекомендации приводятся в блоге сервиса.

Менеджер паролей LastPass взломали второй раз за год, но пароли пользователей в безопасности

Разработчик популярного менеджера паролей LastPass объявил об обнаруженном взломе облачного хранилища, которое он использовал вместе с «дочкой» GoTo, в результате чего злоумышленникам удалось получить доступ к данным клиентов.

 Источник изображения: BleepingComputer.com

Источник изображения: BleepingComputer.com

«Недавно мы обнаружили необычную активность в облачном сервисе хранения данных стороннего провайдера, которым в настоящее время пользуются как LastPass, так и дочерняя компания GoTo», — сообщил разработчик, уточнив, что хакеры смогли получить доступ к «некоторым элементам информации клиентов», воспользовавшись сведениями, полученными в ходе инцидента в августе 2022 года.

Вместе с тем LastPass отметила, что пароли клиентов не были скомпрометированы и «остаются надёжно зашифрованными» благодаря архитектуре LastPass Zero Knowledge. Компания уведомила о случившемся правоохранительные органы и наняла фирму по кибербезопасности Mandiant для расследования инцидента.

В этом году это уже второй инцидент, связанный с хакерской атакой на ресурсы LastPass. Предыдущий произошёл в августе, когда злоумышленникам удалось получить доступ к среде разработчика через скомпрометированную учётную запись одного из сотрудников компании. В электронных письмах, разосланных клиентам, Lastpass тогда подтвердила, что злоумышленники похитили часть исходного кода продукта и проприетарную техническую информацию.

Спустя некоторое время компания призналась, что злоумышленники, стоящие за августовским взломом, в течение четырёх дней сохраняли доступ к её внутренним системам, пока их не обнаружили и не заблокировали.

Названы самые популярные пароли 2022 года — на взлом худших вариантов уходит меньше секунды

Сервис NordPass опубликовал ежегодный антирейтинг 200 наиболее распространённых в пользовательской среде вариантов паролей с указанием того, сколько времени уйдёт у хакера на взлом каждого из них. На сайте указывается, что время указано относительное и зависит от многих параметров.

 Источник изображения: NordPass

Источник изображения: NordPass

На сайте компании можно скачать антирейтинги прошлых лет — с 2019 по 2021 годы. Выяснилось, что если в 2019 году самым популярным был пароль 12345, который использовали 2 812 220 пользователей, то позже в Сети перешли на более «сильный» пароль 123456, который в 2021 году использовали уже 103 170 552 пользователя, а в 2022 году пальма первенства досталась варианту password, которым, по имеющимся данным, пользуются 4 929 113 человек из проанализированной базы.

Результаты не являются абсолютными: ежегодно популярность паролей NordPass оценивается по базам специалистов по кибербезопасности, и приведённые показатели могут свидетельствовать только о масштабе проблемы. Например, в текущем году партнёры сервиса проанализировали некую базу размером 3 Тбайт.

 Источник изображения: NordPass

Источник изображения: NordPass

Оценивались данные из 30 стран. Помимо password, в десятку антирейтинга вошли 123456, 123456789, guest, qwerty, 12345678, 111111, 12345, col123456 и 123123. На сайте компании можно сравнить популярность тех или иных паролей в зависимости от страны и/или пола, однако Россия и другие страны ближнего зарубежья в этом списке отсутствуют.

В середине октября появилась информация о том, что Google начала внедрять вход без пароля в Chrome и Android, а в обозримом будущем такая возможность, вероятно, будет реализована на крупнейших интернет-платформах.

GeForce RTX 4090 отлично справилась со взломом паролей — восемь карт подобрали 8-значный код за 48 минут

Специалист по информационной безопасности Сэм Кроули (Sam Croley) рассказал о возможностях видеокарты GeForce RTX 4090 во взломе паролей. Флагман нового поколения уверенно побил рекорды предыдущего лидера, GeForce RTX 3090. Указывается, что новая карта показала высокую эффективность даже против протоколов аутентификации Microsoft New Technology LAN Manager (NTLM) и Bcrypt.

 Источник изображения: NVIDIA

Источник изображения: NVIDIA

На основе выводов Кроули портал Tom’s Hardware сообщает, что даже одна GeForce RTX 4090 очень эффективна во взломе паролей и способна справиться с задачей за несколько дней. А наличие восьми таких видеокарт сокращает время подбора паролей до 48 минут. Именно столько потребовалось связке ускорителей для того чтобы перебрать около 200 млрд возможных комбинаций и в итоге взломать восьмизначный пароль.

 Источник изображения: Twitter / @Chick3nman512

Источник изображения: Twitter / @Chick3nman512

Согласно Statista и данным за 2017 год, 8-символьные пароли являются наиболее распространёнными среди утёкших паролей, их доля составляет 32 %. Результаты Кроули на фоне данных Statista не означают, что восьмизначные пароли наименее безопасны, но это самая распространённая длина символа пароля.

Взломанные в рамках эксперимента пароли соответствовали актуальным методам безопасности и состояли из букв в случайном регистре, символов и цифр. Тесты проводились с помощью HashCat V.6.2.6. Этот инструмент известен системным администраторам и специалистам по кибербезопасности. Стоит отметить, что сам Кроули был одним из разработчиков данного программного обеспечения. HashCat позволяет исследователям проверять или подбирать пароли пользователей в тех случаях, когда это требуется.

GeForce RTX 4090 показала свою эффективность в нескольких типах атак, предусмотренных в программном обеспечении HashCat: атаки по словарю, комбинаторные атаки, атаки по маске, атаки на основе правил и брутфорс-атаки. Практически при всех алгоритмах взлома новая видеокарта оказалась почти вдвое эффективнее модели GeForce RTX 3090.

Хотя результаты тестов могут показаться пугающими, важно отметить, что подход может иметь только ограниченный набор реальных вариантов использования. Не каждый владелец GeForce RTX 4090 будет использовать её для взлома паролей. Кроме того, взлом паролей с инструментами типа HashCat обычно пригоден для офлайн-активов, а не для онлайн-ресурсов. Шансы на то, что компьютер станет целью злоумышленника с GeForce RTX 4090, взламывающего пароли, невелики.

Windows 11 предупредит о неуместном вводе пароля

Microsoft представила новый инструмент, который поможет Windows 11 защитить пользователей от кражи их паролей. Компонент получил название Enhanced Phishing Protection, и он направлен на предотвращение фишинговых атак.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

Поставляемый в комплекте обновления Windows 11 22H2 компонент Enhanced Phishing Protection выводит предупреждение, если пользователь пытается вводить свои регистрационные данные в приложениях или на веб-сайтах, которые система считает потенциально опасными. Защита от ввода пароля сработает и против собственных приложений Microsoft, включая «Блокнот» и Word.

Разработчик уточнил, что инструмент призван защитить пользователей от сохранения паролей в неподходящих для этого приложениях и оградить их от хакеров или мошенников. Обнаружение подозрительных программ и веб-ресурсов производится при помощи платформы SmartScreen. Средства защиты от фишинга в Windows 11 по умолчанию активны, однако инструмент защиты пароля отключён, и активировать его придётся самостоятельно.

Важным нововведением, направленным на повышение уровня безопасности, в обновлении Windows 11 (22H2) стала также функция «Интеллектуальное управление приложениями» (Smart App Control), которая контролирует запуск ПО при помощи обновляемой ежедневно модели искусственного интеллекта.

LastPass призналась, что хакеры в течение четырёх дней сохраняли доступ к её ресурсам

Компания LastPass сообщила, что неизвестный злоумышленник, стоявший за произошедшим в августе взломом её систем, сохранял доступ к ресурсам в течение четырёх дней, прежде чем его обнаружили и отключили.

 Источник изображения: lastpass.com

Источник изображения: lastpass.com

В обновлённой версии официального сообщения о происшествии, которое первоначально было опубликовано ещё в августе, генеральный директор Lastpass Карим Тубба (Karim Toubba) также заявил, что по результатам проведённого расследования при содействии экспертов Mandiant не было обнаружено доказательств того, что злоумышленник получил доступ к зашифрованным хранилищам паролей или данным клиентов.

Удалось установить, что для проведения операции хакер взломал систему на рабочем месте одного из действующих разработчиков, за которого себя и выдал: он «успешно осуществил вход с использованием многофакторной аутентификации». Проанализировав код и сборки, компания также не обнаружила подтверждений того, что предпринимались попытки внедрить какие-либо вредоносы. Это может быть связано с тем, что передача кода из разработки в Production производится только командой Build Release, а процедура включает в себя дополнительную проверку кода, тестирование и валидацию. Глава компании также добавил, что среда разработки «физически отделена от Production-окружения Lastpass и не имеет к ней прямого выхода».

После инцидента в компании «развернули расширенные средства контроля безопасности, включая дополнительные средства контроля и мониторинга рабочих мест», а также дополнительные инструменты обнаружения, анализа и предотвращения угроз в окружениях разработки и Production.

Хакеры взломали самый популярный в мире менеджер паролей LastPass — до пользовательских данных они не добрались

Менеджер паролей LastPass стал жертвой хакерской атаки. Об этом рассказал генеральный директор компании Карим Тубба (Karim Toubba). По его словам, злоумышленникам удалось похитить только закрытую техническую информацию, которая не имеет отношения к пользователям.

 Источник: Pixabay

Источник: Pixabay

Взлом произошёл около двух недель назад. Неизвестные смогли получить доступ к среде разработчика через одну из скомпрометированных учётных записей сотрудника. В итоге хакеры похитили часть исходного кода продукта и используемых в нём проприетарных модулей.

В компании заверили, что злоумышленники не смогли добраться до пользовательских паролей, поэтому нет необходимости их менять. Г-н Тубба уточнил, что хакеры не могли получить мастер-пароли пользователей, потому что они не хранятся в системе. Разработчики также внедрили дополнительные меры безопасности с целью предотвращения подобных инцидентов в будущем и привлекли следователей-криминалистов для дальнейшего расследования.

LastPass — самый популярный менеджер паролей в мире. По данным Bloomberg, сервисом пользуются более 33 млн человек и свыше 100 тысяч компаний.

VK начала предупреждать об утечках паролей на других платформах

Компания VK сообщила о запуске новой функции защиты паролей: система в автоматическим режиме ищет совпадения паролей по базам утечек с других сервисов и при обнаружении совпадения уведомляет об этом пользователя, предлагая меры дополнительной защиты, говорится в пресс-релизе.

 Источник изображения: vk.com

Источник изображения: vk.com

На начальном этапе сравнительный анализ будет проводиться только в рамках соцсети «ВКонтакте», но впоследствии распространится на другие службы экосистемы VK. В компании подчеркнули, что сравнение данных производится в полностью автоматическом режиме в зашифрованном виде на серверах самой компании, то есть без привлечения сторонних игроков.

Служба безопасности VK постоянно осуществляет мониторинг инцидентов, связанных с утечками данных, причём это касается как российских, так и международных сервисов. С появлением информации об очередной утечке данные проверяются на достоверность и при необходимости учитываются при уведомлении пользователей. Кроме того, компания ужесточила свои требования к паролям: при его смене через личный кабинет VK ID теперь не получится использовать простой вариант — требуется сложное сочетание различных символов.

Новая функция реализована в рамках инициативы VK Protect, направленной на повышение безопасности пользователей при работе с сервисами VK.

Yahoo! Japan обеспечит пользователям вход без пароля

Yahoo! Japan сообщила о намерении закрыть вход по паролям в своих сервисах: уже сейчас 30 из 50 млн пользователей портала отказались от паролей в пользу стандарта FIDO и двухфакторной авторизации с текстовыми сообщениями.

 Источник изображения: Gerd Altmann / pixabay.com

Источник изображения: Gerd Altmann / pixabay.com

В посвящённом этой теме исследовании, проведённом Yahoo! Japan и Google, говорится, что компания начала работу над технологиями входа без пароля ещё в 2015 году, однако теперь было решено форсировать события: более половины пользователей компании используют один пароль на шести и более сайтах. Полный отказ от паролей, отмечается в документе, усложнит злоумышленникам задачу по их краже, а также избавит пользователей от необходимости что-то запоминать, чтобы сохранять доступ к системе.

В качестве альтернативы паролям в Yahoo! Japan предлагают либо их одноразовые версии, которые присылаются по SMS при каждом входе, либо инструменты на основе стандарта FIDO, который уже выбрали для своей новой инициативы в Apple, Google и Microsoft. В японской компании отметили, что пользователи не видят особых проблем в использовании средств входа без пароля, но при этом настоящей задачей является популяризация этих средств — людям необходимо объяснять, что ничего страшного в них нет. Поэтому когда пользователи регистрируются на сервисах, связанных с высоким риском мошенничества, система предлагает им перейти на более простые и безопасные инструменты входа без пароля.

Пользователям рекомендуют использовать один и тот же способ входа на всех устройствах для каждого пользователя, однако в администрации Yahoo! Japan понимают, что для некоторых это будет затруднительно, поэтому в ближайшее время будут использоваться «смешанные» методы. Однако результаты исследования говорят, что число инцидентов со взломом аккаунтов по мере перехода на авторизацию без паролей снижается.

Apple, Google и Microsoft предложат вход без паролей на всех основных платформах

Компании Apple, Google и Microsoft совместно объявили о намерении обеспечить в следующем году аутентификацию без паролей в наиболее популярных настольных и мобильных платформах, а также браузерах. Иными словами, она будет поддерживаться в Android и iOS, Windows и macOS, а также Chrome, Edge и Safari.

 Источник изображения: blog.google

Источник изображения: blog.google

Как уточнили в Google, основным средством аутентификации станет мобильный телефон: с его помощью можно будет входить в свои учётные записи в приложениях, на сайтах и любых других цифровых сервисах. Достаточно разблокировать телефон любым удобным способом: введя PIN-код, изобразив графический ключ или воспользовавшись биометрией — всё остальное сделает уникальный криптографический токен или ключ доступа, используемый и телефоном, и сервисом, в который производится вход.

Авторы инициативы говорят, что вход в систему при помощи физического устройства не только упрощает задачу пользователя, но и обеспечивает дополнительную защиту его данным. Не нужно будет запоминать пароли от разных сервисов или использовать везде один, подвергая свою безопасность риску. Потребность в физическом устройстве также усложнит задачу производящим удалённые взломы или фишинговые атаки хакерам.

Как подчеркнул Васу Джаккал (Vasu Jakkal), вице-президент Microsoft по безопасности, соблюдению законности и конфиденциальности, важнейшим достоинством новой инициативы является кроссплатформенность: «Например, пользователи смогут войти в браузер Google Chrome, работающий под Windows, используя ключ доступа на устройстве Apple». Это стало возможным благодаря стандарту FIDO, который предлагает аутентификацию без пароля, используя открытые криптографические ключи. Уникальный ключ доступа будет храниться на телефоне и при его разблокировке передаваться на веб-сайт для входа. На случай утери телефона резервная копия ключа будет дублироваться в облачном хранилище.

Наконец, стоит отметить, что многие сервисы до настоящего момента уже предлагали аутентификацию на основе стандарта FIDO, однако первый вход в систему всё равно производился по паролю, делая ресурсы пользователей по-прежнему уязвимыми для фишинга. Однако новая инициатива предполагает полный отказ паролей даже при первом входе, пообещал Сампат Сринивас (Sampath Srinivas), директор по продуктам для безопасной аутентификации в Google и президент FIDO Alliance.

Переходим на российское: менеджер паролей для бизнеса «Пассворк»

Информационная безопасность любой компании определяется не только грамотно выстроенной защитой от кибератак, но и надёжным хранением такой чувствительной информации как пароли, утечка которых может серьёзно пошатнуть бизнес любого размера. Минимизировать подобного рода ситуации и свести их к нулю позволяет российский программный комплекс «Пассворк», обеспечивающий безопасную и удобную работу с паролями в корпоративной среде.

 Менеджер паролей для бизнеса «Пассворк»

Менеджер паролей для бизнеса «Пассворк»

«Пассворк» — единственный менеджер паролей, зарегистрированный в реестре отечественного программного обеспечения и рекомендованный для приобретения государственными и коммерческими структурами. И это действительно важно, особенно в ситуации, когда зарубежные вендоры заявили о прекращении обслуживания своих российских партнёров и запретили использовать свои продукты и решения. Переход на софт отечественной разработки позволяет компаниям сохранить устойчивость своего бизнеса, защитить себя в данный момент и в долгосрочной перспективе от каких-либо санкционных рисков.

Главный плюс «Пассворка» — он устанавливается на сервер компании, и пароли хранятся в зашифрованном хранилище. Доступ к ним имеют только сотрудники организации. Отключение облачных сервисов, уход иностранных разработчиков и проблемы с оплатой в валюте не влияют на работоспособность программного комплекса. И в этом плане «Пассворк» является ярким примером того, что зарубежный софт можно безболезненно заменить на отечественный.

 С «Пассворком» администратор может создать необходимую структуру для хранения паролей и назначать права сотрудникам

С «Пассворком» администратор может создать необходимую структуру для хранения паролей и назначать права сотрудникам

Особенностью «Пассворка» является гибкая система разграничения прав доступа, позволяющая предоставлять персоналу компании доступ лишь к определенным паролям. Для этого в программе есть возможность настройки ролей и уровней доступа пользователей. Таким образом можно, например, сделать так, чтобы сотрудники взаимодействовали только со строго определённым набором паролей — в зависимости от занимаемых должностей и выполняемых обязанностей.

«Пассворк» ведёт историю всех действий пользователей в системе, фиксирует любые изменения паролей и помогает IT-администраторам быстро находить все пароли, к которым имели доступ ушедшие из компании сотрудники. Благодаря этому программный комплекс можно использовать для расследования инцидентов информационной безопасности и пресечения утечек данных. Также «Пассворк» умеет проводить аудит безопасности паролей и оповещать о старых, слабых и скомпрометированных паролях.

 Система позволяет выявить небезопасные пароли

Система позволяет выявить небезопасные пароли

Важной составляющей «Пассворка» является простота интеграции менеджера паролей в IT-инфраструктуру организации. Программа имеет собственный API для настройки обмена данными с используемыми в организации системами, поддерживает работу с Active Directory/LDAP и авторизацию с помощью SAML SSO, а также гибкий импорт и экспорт данных в форматах JSON и CSV.

Для удобства работы с менеджером паролей предусмотрено специальное браузерное расширение (для Chrome, Firefox, Edge, Safari), которое позволяет вставлять, генерировать и управлять паролями компании. Также с его помощью можно автоматически сохранять данные, заполнять формы авторизации и выполнять поиск по базе паролей. Кроме того, в активе «Пассворка» имеется приложение для Android и iOS, позволяющее получать доступ к корпоративным паролям с мобильного устройства.

 Браузерное расширение позволяет вставлять, генерировать и управлять паролями компании всего за пару кликов мышью

Браузерное расширение позволяет вставлять, генерировать и управлять паролями компании всего за пару кликов мышью

Менеджер паролей распространяется в различных редакциях, разнящихся количеством поддерживаемых пользователей и набором функциональных возможностей. Продукт приобретается бессрочно с возможностью продления подписки на техническую поддержку и обновления. Несмотря на текущую ситуацию на рынке, «Пассворк» сохраняет стоимость продукта на прежнем уровне и не планирует её увеличения.

Заказчики могут установить «Пассворк» сразу в нескольких филиалах и пользоваться оперативной русскоязычной техподдержкой. Технические специалисты компании-разработчика помогут с установкой и ответят на любые вопросы.

«Пассворк» — один из инструментов, который позволяет компаниям справляться с ограничениями на использование зарубежного ПО, подходит для внедрения в госструктуры и хорошо вписывается в политику импортозамещения, актуальность которой, похоже, будет только увеличиваться.

В Google Chrome появилась возможность комментировать сохранённые пароли

Google Chrome, как и множество других браузеров, позволяет пользователям сохранять пароли, а с выходом очередной его предварительной версии появилась новая возможность — теперь к ним можно добавлять комментарии, что ранее было доступно лишь в специализированных менеджерах.

 Источник изображения: google.com

Источник изображения: google.com

В очередной сборке Chrome на экспериментальном канале Canary встроенный менеджер паролей браузера дополнился функцией сохранения заметок. Эта возможность появляется при первом добавлении данных учётной записи на ресурсе либо при изменении существующего пароля. На достигнутом Google останавливаться не собирается — компания, вероятно, работает над возможностью безопасной отправки паролей другим пользователям.

Возможность добавлять заметки может оказаться полезной в ряде случаев — контекстная информация учётных записей позволит пользователям легче разграничивать рабочие и личные аккаунты. Кроме того, в заметках можно будет сохранять ответы на секретные вопросы, которые используются на некоторых сервисах.

Пользователи сборок с экспериментального канала Chrome Canary уже могут протестировать новую функцию, произведя поиск по настройке #passwords-notes. По предварительным данным, комментирование паролей доберётся до стабильной ветки к релизу Chrome 101, который ожидается в апреле или мае, однако планы разработчика ещё могут поменяться.

В чипе безопасности Apple T2 нашли уязвимость, которая позволяет взламывать пароли на Mac простым перебором

Компания Passware, легально продающая программные и аппаратные инструменты для взлома паролей, сообщила о создании инструмента для взлома компьютером Mac, оснащённых чипом безопасности Apple T2. Прежде считалось, что данные компьютеры имеют весьма надёжную защиту, но разработчики смогли найти уязвимость в данном чипе и создали инструмент для её использования.

 Источник изображения: Apple

Источник изображения: Apple

Apple представила микросхему безопасности T2 для Mac в 2018 году и с того времени использовала её для обеспечения безопасной загрузки компьютеров Mac на процессорах Intel. Особенность T2 заключается в том, что он содержит контроллер SSD и механизм шифрования, что позволяет ему мгновенно зашифровывать и расшифровывать данные в режиме реального времени.

Passware ранее уже имела в ассортименте инструменты, позволяющие подбирать пароли и расшифровывать диски, защищённые более старым средством шифрования FileVault на компьютерах Mac без чипа T2. При этом использовался графический ускоритель, что позволяло проверять десятки тысяч паролей в секунду. Однако до недавнего времени метод подбора паролей путём перебора всех возможных комбинаций было непрактично использовать на компьютерах Mac с чипом Т2. Это связано с тем, что пароль не хранится на SSD, а чип ограничивает количество возможных попыток его ввода. Потому необходимо подбирать не пароль, а ключ дешифрования, что, в теории, может занять миллионы лет.

 Чип Apple T2 выделен красным Источник изображения: iFixit

Чип Apple T2 выделен красным Источник изображения: iFixit

Однако теперь Passware предлагает инструмент, который позволяет обойти защиту от перебора и позволяет неограниченное количество раз вводить пароль на Mac с чипом Т2. Хакер может применить словарь паролей. Сама Passware предоставляет словари из 550 тысяч самых используемых паролей, собранных в результате различных утечек данный, а также более крупный, на 10 миллиардов паролей. Однако процесс их подбора по-прежнему медленнее чем обычно. Скорость достигает 15 паролей в секунду. Теоретически подбор требуемой комбинации может занять тысячи лет, однако большинство людей использует относительно короткие и простые пароли. Комбинацию из шести символов можно взломать примерно за 10 часов.

Passware сообщает, что модуль для взлома компьютеров Mac с чипом Т2 предоставляется только государственным заказчикам, а также частным компаниям, которые могут предоставить веские основания для его использования. Важно отметить, что для взлома хакер должен иметь физический доступ к целевому компьютеру. А если пароль представляет собой набор случайных символов, то подобрать его будет крайне проблематично даже с автоперебором.

window-new
Soft
Hard
Тренды 🔥