Federal Bilgi Güvenliği Dairesi (BSI) bazı şifre yöneticilerini inceledi ve en azından iyileştirmelere ihtiyaç duyulduğunu tespit etti. Teorik olarak, test edilen programlardan bazıları üreticilerin saklanan şifrelere erişmesine izin verebilir. Ancak ülkenin siber güvenlik konusundaki en yüksek otoritesi, bunun şifre yöneticilerinin kullanımından vazgeçmek için bir neden olmadığını vurguluyor.
Duyurudan sonra devamını okuyun
Araştırma için BSI, belirli kriterleri karşılayan on şifre yöneticisi seçti: Bunların Windows, macOS, Android ve iOS gibi en popüler işletim sistemlerinde mevcut olması gerekiyor. Ayrıca başvuruların güvenli satış kanalları üzerinden de yapılması gerekiyor: Yetkililer, tüketicilerin bu başvuruları yalnızca bu yolla edinmesi gerektiğini de ekledi. Bu filtreyle önceden seçilen 24 şifre yöneticisinden popüler web tarayıcılarında yerleşik olanlardan ikisi, Chrome Şifre Yöneticisi ve Mozilla Firefox Şifre Yöneticisi test alanına girdi. BSI, diğerleri arasında rastgele bir seçim yaptı: 1Password, Avira Password Manager, mSecure – Parola Yöneticisi, PassSecurium, S-Trust Parola Yöneticisi ve SecureSafe Parola Yöneticisi. Ayrıca KeePass türevleri KeePassXC ve KeePass2Android, uygulama sınıfını temsil etmek üzere test serisine dahil edildi.
BSI derecelendirmesi
Belgede şifre yöneticilerinin derecelendirmeleri özellikle sayfa 23'ten itibaren bulunabilir. 1Şifre BSI herhangi bir tasarım hatası bulamadı. THE Avira şifre yöneticisiTüketicilerin güvenini gerektiren, doğrulanamayan kriptografik algoritmalar kullanan; Kullanıcılar biyometrik kimlik doğrulamayı kapatmalı ve ayrıca ana şifrelerini güvenli bir yerde tutmalıdır. Al Chrome Şifre Yöneticisi BSI, kullanıcılar tarafından herhangi bir parola belirlenmemişse üreticinin verilere olası erişimini eleştirir; Cihazdaki şifreleme, aktif olarak kullanıldığında teorik olarak erişime izin veriyor. Tüm alanlar şifrelenmez; Örneğin kullanıcı adları düz metin halindedir.
İLE Keepass2Android BSI herhangi bir endişesini dile getirmedi; kullanıcılar yalnızca kendi başlarına bir yedekleme oluşturmalıdır. sınıflandırması KeePassXC Neredeyse aynı görünüyor ancak BSI, uygulamanın sizin ona erişmenizi engelleyeceği bir süre belirlemenizi önerir. THE Mozilla Firefox Şifre Yöneticisi BSI'a göre “Ana şifre belirle” ayarı aktif olduğu sürece tereddütsüz kullanılabilir. İlgilenen herkesin Mozilla hesabıyla senkronizasyonu etkinleştirmesi veya alternatif olarak kendisi bir yedekleme sağlamalıdır. Al mSecure şifre yöneticisi Teorik olarak üretici verilere erişebiliyordu ancak BSI üreticinin tepkisinden de pek etkilenmedi: “Genel olarak konsept, şifre yöneticilerinin olağan beklentilerini karşılamıyor. Diğer özellikler bu güvenlik sorunlarını destekliyor”; Yazılımı kullanmayı düşünen herkesin “objektif bir temel olmadan üreticiye gerekli güvenin sağlanıp sağlanamayacağını” kontrol etmesi gerekir. Basitçe söylemek gerekirse: uzak durun.
BSI daha net PassSecurium: Yetkili, “Üreticinin, kullanıcıların kayıtlı şifrelerine herhangi bir zamanda erişebilmesi, şifre yöneticileri için temel güvenlik gereksinimleriyle uyumlu değildir” diye açıklıyor. Yetkililer, 3.x sürümüne yönelik büyük güncelleme kullanıma sunulana kadar 1.1.63 (Android) ve 2.1.2 (iOS) ücretsiz/standart uygulamalarının kullanılmamasını özellikle tavsiye ediyor. Al SecureSafe Şifre Yöneticisi Teorik olarak, sunucu tarafında yalnızca şifreleme ve şifre çözme gerçekleştiği için üretici verilere erişebilir. BSI'ya göre bu nedenle üreticinin, “telafi edici önlemlerin” bu tür erişimi gerçekten engellediğine güvenilmesi gerekiyor. Arka S-Trust Şifre Yöneticisi SecureSafe uygulaması gizli olduğundan söylenenler Tasarruf Bankası'nın soyundan gelenler için de geçerlidir. Tasarruf bankaları 31 Mart 2026'da faaliyetlerini durduracak.
Bu nedenle BSI son dört ürünün kullanılmamasını tavsiye eder. Diğer şifre yöneticilerinin, BSI'nin bunların kullanılmamasını önerdiği ciddi güvenlik açıkları yoktur. Çalışmada BSI ayrıca tüketicilerin mümkün olan yerlerde, ideal olarak donanım belirteçleri ve tek kullanımlık şifreler (TOTP) ile iki faktörlü kimlik doğrulama (2FA) kullanması gerektiğini belirtiyor. Ancak kullanıcılar, SIM değişimine duyarlı olduğundan SMS OTP'den kaçınmalıdır.
Duyurudan sonra devamını okuyun
2024'ün sonuna gelindiğinde BSI, şifre yöneticilerini zaten incelemişti. O zamanlar açık kaynak uygulamaların kod analizi yapılıyordu. Yetkililerin risklerini şu şekilde tanımladığı güvenlik açıklarını keşfettiler:yüksek“sınıflandırmıştı.
Ayrıca bakınız:
(Bilmiyorum)
Bir yanıt yazın