:

Szerző: Asztalos Olivér

2017. március 14. 15:48

Már 100 000 dollárt érhet egy rés a 1Password pajzsán

Elejébe menne a hackerek fenyegetésének a 1Password, aki ehhez alaposan felemelte bugvadászatának fődíját.

Megnégyszerezte, ezzel 25 000-ről 100 000 dollárra emelte bug bounty programjának "főnyereményét" a népszerű 1Password jelszókezelő fejlesztője, az AgileBits. A közel harminc millió forintos összegért cserébe fel kell törni egy erre a célra felállított virtuális széfet, a módszert pedig demonstrálni kell a fejlesztőcég szakembereinek. Az emeléssel nyilvánvalóan extra motivációt szeretne nyújtani az AgileBits, a 100 000 dolláros "vérdíj" ugyanis már versenyképesnek számít, a Google, a Microsoft, és az Apple ajánlata is ebben a sávban mozog, utóbbi cég például pont ennyit fizet az ujjlenyomat-adatokat tartalmazó Secure Enclave-be való bejutásért.

Ahogy utaltunk is rá, a cég nem a felhasználók jelszavait tartalmazó secure vaultra akasztott céltáblát, a kísérletezni vágyóknak egy speciális, az élesben alkalmazott rendszer kvázi másolatának tekinthető tárolót kell feltörniük, amelyben véletlenszerűen generált tartalmat helyeztek el a készítők. A kemény menetnek ígérkező hibavadászathoz minden elérhető segítséget megad az AgileBits, a korábbi problémák leírása mellett támpontot is ad a cég, a potenciális gyenge pontok kiemelésével könnyítve a vállalkozó kedvűek dolgát.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A hozzáállás logikus, az alkalmazásnak ugyanis sokkal nagyobb (anyagi) csapás lenne, ha az élesben futó rendszert törné fel egy rosszindulatú támadó, a jelszavak kiszivárogtatása akár az AgileBits csődjéhez is vezetne, hisz a szolgáltatás lényege épp a biztonság növelése. A 1Password (és a többi jelszókezelő) ezen úgy segít, hogy minden online szolgáltatáshoz egyedi, véletlenszerű, hosszú, erős jelszót generál, majd ezt egy közös adatbázisban tárolja. Az adatbázishoz kizárólag a felhasználó fér hozzá, a mesterjelszó segítségével.

Hogy a megoldás transzparens legyen, a jelszókezelő képes beépülni a böngészőbe (és mobilos appokon keresztül a telefonokba, tabletekbe is), és a fiókba való bejelentkezéskor automatikusan kitölti a jelszómezőt, persze csak a mesterjelszó beírása után. Az ígéret tehát, hogy felhasználóbarát módon kapunk erős jelszót, amelyet ráadásul hiába lopnak el támadók, más fiókjainkhoz nem tudnak hozzáférni. Erre a legnagyobb konkurens LastPass esetében már volt példa, az alkalmazás szerverét ugyanis bő másfél éve támadók törték fel és megszerezték az online bejelentkezéshez szükséges felhasználói adatokat (azonosító, jelszóhash, jelszóemlékeztetők), a jelszóadatbázisok azonban sérthetetlennek bizonyultak.

a címlapról