Z uwagi na wzrost zagrożenia utratą bazy danych i mnogość usług online, menedżery haseł stają się coraz popularniejsze. Niestety nie zawsze gwarantują wymagane bezpieczeństwo.

bEUyAKPp

Eksperci z grupy Independent Security Evaluators (ISE) przeprowadzili audyt czterech popularnych menedżerów haseł dla systemu Windows 10: 1Password, Dashlane, KeePass oraz LastPass. Wyniki badania nie napawają optymizmem.

Wszystkie audytowane narzędzia przechowują hasło nadrzędne jako czysty tekst w pamięci komputera, co oznacza, że cracker z dostępem do atakowanej maszyny może z łatwością odczytać wszystkie dane przechowywane w menedżerze.

Hasło nadrzędne jest oczywiście tym hasłem, które menedżer wykorzystuje do zabezpieczenia magazynowanych zasobów (innych haseł).

bEUyAKPr

Wadliwe, ale wciąż lepsze niż kiepskie hasło

Badacze odkryli, że to właśnie hasło nadrzędne pozostaje w pamięci urządzenia jako czysty tekst tak długo, jak menedżer haseł pozostaje w stanie zablokowanym. Czyli wtedy, gdy zostanie uruchomiony, odblokowany, a następnie zablokowany z przyczyn bezpieczeństwa.

– Standardowe techniki analizy zawartości pamięci mogą dostać wykorzystane do uzyskania hasła nadrzędnego – tłumaczą naukowcy z ISE. Przy czym dodają, że niezbędny jest jednak dostęp do atakowanej maszyny, czy to bezpośredni czy zdalny.

Co ciekawe, pomimo wykrytej luki, spece wciąż zachęcają do korzystania z menedżerów. Ich zdaniem jest to w dalszym ciągu lepsze rozwiązanie niż dziesiątki słabych i powtarzalnych haseł.

Prezentują przy tym sposób na tymczasowe obejście problemu, a brzmi on: wyłączać całkowicie narzędzie, zamiast tylko blokować, kiedy nie jest używane.

Programy

Aktualizacje
Aktualizacje
Nowości
Komentarze (94)
bEUyAKQn