LastPass kullanıcısı değilim ama Sean Wright’ın bu tweet’i dikkatimi çekti.
Sean daha sonra şunu paylaştı:
LastPass ya da sorunu kapatan hata ödül programı olsun, bunun düzeltilmesi gerektiğini düşünüyorum.
Bunu bilgilendirme meselesi olarak görüyorlar ama gerçekten bu kadar masum mu?
Kullanıcı hesabı numaralandırma riski nedir?
Basitçe söylemek gerekirse, bir web sitesi veya uygulamanın belirli bir kullanıcının hesabı olup olmadığını sızdırması durumunda kullanıcı (hesap) numaralandırma riskinden bahsediyoruz.
Sorunu anlamak için şimdilik bu kadar yeterli ancak kullanıcı hesabı numaralandırma hakkında biraz daha bilgi edinmek istiyorsanız önce bu kısa yazıyı okumanızı öneririm.
Test amacıyla e-posta adresiyle ücretsiz bir LastPass hesabı oluşturdum [email protected].
Buraya kasıtlı olarak yanlış şifre girdim ve aşağıdaki mesajı alıyorum:
“Ana şifrenizi kontrol edin ve tekrar deneyin.”
Var olmayan bir e-posta adresini girmeyi deneyelim.
Ve farklı bir mesaj alıyorum:
“E-posta adresinizi yanlış yazmış olabilirsiniz. Tekrar deneyin.”
Bu, belirli bir e-posta adresinin ilişkili bir hesaba sahip olup olmadığını kolayca çıkarabileceğiniz anlamına gelir.
Bu sorun yalnızca LastPass ile sınırlı değildir; örneğin Dashlane, bir e-posta adresinin “geçersiz” olup olmadığını veya zaten kullanımda olup olmadığını da gösterir.
(Neden) bu bir sorun mu?
Birisinin hangi şifre yöneticisini kullandığınızı bilmesi o kadar önemli bir şey mi?
Duruma göre değişir…
1Password kullandığım bir sır değil. Daha önce kendi araştırmamı nasıl yaptığımı ve bunun benim için uygun olduğuna karar verdiğimi blog’da yazmıştım. Bu konuda açık olmak beni oldukça rahatlatıyor çünkü bir düşman 1Password hesabım olduğunu bilse bile bu onlara pek yardımcı olmuyor.
Benim tehdit modelim ulus devlet saldırganlarından korkmak zorunda olan insanlardan da çok farklı.
1Password’ün güvenlik konusunda gerçekten iyi bir iş çıkardığını düşünüyorum. Giriş sırasında numaralandırmayı nasıl engellediklerine bir göz atalım. Birisi kullandığım e-posta adresini girse bile gizli anahtarı sağlayamayacaktır. 1Şifre görünecek “Geçersiz Gizli Anahtar”, dolayısıyla bir hesabın bu e-posta adresiyle ilişkili olup olmadığı sızdırmaz.
Bu, numaralandırmayı önlemenin zarif bir yoludur ve gizli anahtarın yanı sıra, ana parolanın üstünde ekstra bir şifreleme anahtarı da bulunur.
LastPass, kullanıcı hesaplarını korumak için varsayılan olarak yalnızca e-posta adresine ve ana şifreye güvenir. Bu iki bilgiden biri, giriş sayfalarının numaralandırılmasıyla alınabilir. Bu, ana parolanın, birinin hesabı ile saldırgan arasında duran tek savunma olduğu anlamına gelir.
Hem 1Password hem de LastPass, iki faktörlü kimlik doğrulamayı etkinleştirme seçeneğine sahiptir ancak bu zorunlu değildir.
İnsanların hesap oluştururken güçlü bir şifre seçmesini ve iki faktörlü kimlik doğrulamayı etkinleştirmesini umabiliriz, ancak gerçek genellikle farklıdır. LastPass’ın P@ssword1234 gibi zayıf şifrelere izin vermesi de pek umut verici değil.
Numaralandırma, kötü hesap güvenliği uygulamalarına sahip kişiler için gerçek bir risk haline gelir. Hesaplarının güvenliğini sağlamanın son kullanıcının sorumluluğunda olduğu söylenebilir, ancak ürününüzün tüm amacı insanların sırlarını güvence altına almak olduğunda LastPass’in uygulanması kesinlikle yeterli değildir.
1Password’ün bir kullanıcı hesabına atadığı gizli anahtar, kötü şifreler kullanan kişileri bile korur, kimlik bilgisi doldurma ve diğer şifre saldırılarını savuşturur ve insanların sırlarının şifrelenmesini güçlendirir.
LastPass numaralandırma riski giriş sayfasıyla sınırlı değildir. Hesap oluştururken bir e-posta adresinin kayıtlı olup olmadığını kontrol etmek de çok kolaydır.
Bitwarden da aynı davranışı sergiliyor; belirli bir e-posta adresi için bir hesap zaten mevcut olduğunda bir hata mesajı gösteriyor.
Bunu düzeltmek de oldukça basittir. 1Password bunu, belirtilen e-posta adresine bir doğrulama kodu göndererek yapar.
Bu şekilde, e-posta adresinin önceden kayıtlı olup olmadığını sızdırmazlar ve yalnızca istekte bulunan kişinin e-posta hesabına erişimi varsa kodu alır ve kayda devam edebilir veya hesap zaten mevcutsa oturum açabilir.
Çözüm
Hesap numaralandırma riski kendi başına düşük bir risk olabilir ancak kullanıcı hesabıyla ilişkili gizli anahtar gibi başka hiçbir kontrol uygulanmadığında risk artar.
Elbette bu risk, güçlü bir ana şifre ve 2FA kullanılarak sınırlandırılabilir, ancak bence bir şifre yöneticisi satıcısının daha iyisini yapması gerekir.
Tüm amacı insanların sırlarını güvence altına almak olan bir hizmet için bu hiç de iyi bir görünüm değil. Düzeltmenin de çok kolay olduğu göz önüne alındığında, hiç akıllıca olmamalıdır.
Şu anda LastPass’ın hesap kaydını ve girişini 1Password ile karşılaştırdım çünkü bu benim kullandığım şifre yöneticisi ve hesap güvenliği konusunda iyi bir iş çıkardıklarını biliyorum. Dashlane, Keeper, Nordpass ve Bitwarden gibi diğer bazı şifre yöneticileri üzerinde hızlı kontroller yaptım, ancak farklı şifre yöneticilerine daha ayrıntılı bakmayı ve hesap yönetimi uygulamalarını karşılaştırmayı planlıyorum.