Poważny błąd odnaleziony w kilku znanych menedżerach haseł dla Windows 10

Strona główna Aktualności

O autorze

Z uwagi na wzrost zagrożenia utratą bazy danych i mnogość usług online, menedżery haseł stają się coraz popularniejsze. Niestety nie zawsze gwarantują wymagane bezpieczeństwo.

Eksperci z grupy Independent Security Evaluators (ISE) przeprowadzili audyt czterech popularnych menedżerów haseł dla systemu Windows 10: 1Password, Dashlane, KeePass oraz LastPass. Wyniki badania nie napawają optymizmem.

Wszystkie audytowane narzędzia przechowują hasło nadrzędne jako czysty tekst w pamięci komputera, co oznacza, że cracker z dostępem do atakowanej maszyny może z łatwością odczytać wszystkie dane przechowywane w menedżerze.

Hasło nadrzędne jest oczywiście tym hasłem, które menedżer wykorzystuje do zabezpieczenia magazynowanych zasobów (innych haseł).

Wadliwe, ale wciąż lepsze niż kiepskie hasło

Badacze odkryli, że to właśnie hasło nadrzędne pozostaje w pamięci urządzenia jako czysty tekst tak długo, jak menedżer haseł pozostaje w stanie zablokowanym. Czyli wtedy, gdy zostanie uruchomiony, odblokowany, a następnie zablokowany z przyczyn bezpieczeństwa.

– Standardowe techniki analizy zawartości pamięci mogą dostać wykorzystane do uzyskania hasła nadrzędnego – tłumaczą naukowcy z ISE. Przy czym dodają, że niezbędny jest jednak dostęp do atakowanej maszyny, czy to bezpośredni czy zdalny.

Co ciekawe, pomimo wykrytej luki, spece wciąż zachęcają do korzystania z menedżerów. Ich zdaniem jest to w dalszym ciągu lepsze rozwiązanie niż dziesiątki słabych i powtarzalnych haseł.

Prezentują przy tym sposób na tymczasowe obejście problemu, a brzmi on: wyłączać całkowicie narzędzie, zamiast tylko blokować, kiedy nie jest używane.

© dobreprogramy