Skip to content

볼트를 볼 수 없다는 비밀번호 관리자의 약속이 항상 사실인 것은 아닙니다.

Posted in tech

지난 15년 동안 비밀번호 관리자는 기술에 정통한 사람들이 사용하는 틈새 보안 도구에서 대중을 위한 필수 보안 도구로 성장했으며, 약 9,400만 명의 미국 성인(그 중 약 36%)이 이를 채택했습니다. 연금, 금융 및 이메일 계정의 비밀번호뿐만 아니라 암호화폐 자격 증명, 결제 카드 번호 및 기타 민감한 데이터도 저장합니다.

상위 8개 비밀번호 관리자 모두 사용자가 서버에 저장하는 데이터 저장소를 보호하기 위해 사용하는 복잡한 암호화 시스템을 설명하기 위해 “영지식”이라는 용어를 채택했습니다. 정의는 공급업체마다 조금씩 다르지만 일반적으로 한 가지 확실한 확신으로 요약됩니다. 즉, 클라우드 인프라를 손상시켜 저장된 저장소나 데이터를 훔치는 악의적인 내부자나 해커가 있을 수 없다는 것입니다. 이전에 LastPass를 위반한 사례가 있었고 국가 수준의 해커가 가치가 높은 대상에 속하는 비밀번호 저장소를 확보할 동기와 능력을 모두 가지고 있다는 합리적인 기대를 고려할 때 이러한 약속은 타당합니다.

대담한 확신이 거짓임을 폭로하다

이러한 주장의 전형적인 예로는 Bitwarden, Dashlane 및 LastPass가 제기한 주장이 있으며, 이들 모두를 합쳐 약 6천만 명이 사용하고 있습니다. 예를 들어 Bitwarden은 “Bitwarden 팀조차도 (우리가 원하더라도) 귀하의 데이터를 읽을 수 없습니다”라고 말합니다. 한편 Dashlane은 사용자의 마스터 비밀번호가 없으면 “Dashlane의 서버가 손상되더라도 악의적인 행위자가 정보를 훔칠 수 없습니다”라고 말합니다. LastPass는 귀하(LastPass도 포함)를 제외하고는 누구도 “LastPass 저장소에 저장된 데이터”에 액세스할 수 없다고 말합니다.

새로운 연구에 따르면 이러한 주장은 모든 경우에 사실이 아닌 것으로 나타났습니다. 특히 계정 복구가 실행 중이거나 비밀번호 관리자가 볼트를 공유하거나 사용자를 그룹으로 구성하도록 설정된 경우에는 더욱 그렇습니다. 연구원들은 Bitwarden, Dashlane 및 LastPass를 리버스 엔지니어링하거나 면밀히 분석하여 관리 또는 손상의 결과로 서버를 제어하는 ​​누군가가 실제로 데이터를 훔칠 수 있고 경우에 따라 전체 저장소를 훔칠 수 있는 방법을 식별했습니다. 또한 연구원들은 암호문을 일반 텍스트로 변환할 수 있을 정도로 암호화를 약화시킬 수 있는 다른 공격도 고안했습니다.

관련 기사

Be First to Comment

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다