Vairums paroļu pārvaldnieku un uzglabāšanas servisu uzskatāmi par drošiem, tomēr vēl arvien pastāv iespējas izvilināt paroļu datus no lietotājiem ar visai vienkāršiem paņēmieniem.
Šī ievainojamība ir pazīstama kā clickjacking – urķi var ievilināt lietotājus viltus vietnēs, kas atdarina īstas tīmekļa vietnes, bet tajās ir neredzami elementi, kas palīdz zagt paroles no paroļu pārvladnieka. Lietotājs ar vienu nepareizu klikšķi var aktivizēt paroļu pārvaldniekā esošās paroles, kas pēc tam tiek nosūtīta ļaundarim.
Šobrīd izskatās, ka 11 populārākie paroļu pārvaldnieki netiek galā ar šāda tipa uzbrukumiem. To skaitā ir:
- 1Password
- Bitwarden
- Dashlane
- Enpass
- iCloud Passwords
- Keeper
- LastPass
- LogMeOnce
- NordPass
- ProtonPass
- RoboForm
Es nezinu par visiem paroļu pārvaldniekiem – varu teikt tikai par to, kuru izmantoju – Bitwarden.
Iestatījumos ir – Domain match, tātad, ja domeins nesakrīt, tad paroļu pārvaldnieks nemaz nepiedāvā saglabātās aproles.
Raksts ir par lēnu. Bitwarden izlaidis labojumu, kur viss salabots, pārējie arī nosacīti neatpaliek. Tiek pa lēnam labotas kļūdas.
Hackeri sasparosies un atradīs citu caurumu jau nākamnedēļ, vai kāds Bitwarden darbonis pakāsīs naudu casino un dabūs datu bāzi pārdot.
Manām paroļu glabātuvēm neviens attālināti klāt tikt nevar – biežāk lietojamās ir galvā un visas pārējās papīra blociņā, blociņš burkā, burka lādē un kur lāde aprakta neteikšu😁
Sen ir plāns pāriet uz self hosted paroļu pārvaldnieku. Ir uzņēmumi, kur ir bezsaistes paroļu pārvaldnieks. Ir nokonfigurēts jumpbox, kuram var pieslēgties izpildot noteiktas darbības un tad var tikt klāt parolēm. Tad ir jāzin tikai paroļu pārvaldnieka master parole vai vēl labāk, fiziska atslēga. Pārējās paroles man nav ne jausmas kādas ir. Recovery paroles uzņēmuma seifā pie vadītāja.