Poważny błąd odnaleziony w kilku znanych menedżerach haseł dla Windows 10
Z uwagi na wzrost zagrożenia utratą bazy danych i mnogość usług online, menedżery haseł stają się coraz popularniejsze. Niestety nie zawsze gwarantują wymagane bezpieczeństwo.
Eksperci z grupy Independent Security Evaluators (ISE) przeprowadzili audyt czterech popularnych menedżerów haseł dla systemu Windows 10: 1Password, Dashlane, KeePass oraz LastPass. Wyniki badania nie napawają optymizmem.
Wszystkie audytowane narzędzia przechowują hasło nadrzędne jako czysty tekst w pamięci komputera, co oznacza, że cracker z dostępem do atakowanej maszyny może z łatwością odczytać wszystkie dane przechowywane w menedżerze.
Hasło nadrzędne jest oczywiście tym hasłem, które menedżer wykorzystuje do zabezpieczenia magazynowanych zasobów (innych haseł).
Wadliwe, ale wciąż lepsze niż kiepskie hasło
Badacze odkryli, że to właśnie hasło nadrzędne pozostaje w pamięci urządzenia jako czysty tekst tak długo, jak menedżer haseł pozostaje w stanie zablokowanym. Czyli wtedy, gdy zostanie uruchomiony, odblokowany, a następnie zablokowany z przyczyn bezpieczeństwa.
– Standardowe techniki analizy zawartości pamięci mogą dostać wykorzystane do uzyskania hasła nadrzędnego – tłumaczą naukowcy z ISE. Przy czym dodają, że niezbędny jest jednak dostęp do atakowanej maszyny, czy to bezpośredni czy zdalny.
Co ciekawe, pomimo wykrytej luki, spece wciąż zachęcają do korzystania z menedżerów. Ich zdaniem jest to w dalszym ciągu lepsze rozwiązanie niż dziesiątki słabych i powtarzalnych haseł.
Prezentują przy tym sposób na tymczasowe obejście problemu, a brzmi on: wyłączać całkowicie narzędzie, zamiast tylko blokować, kiedy nie jest używane.