Le connessioni online sono diventate sempre più numerose dagli anni 2010, soprattutto con l'avvento dei social media. Molti servizi online incoraggiano gli utenti a non utilizzare la stessa password ovunque.
È qui che entrano in gioco i gestori di password per aiutare gli utenti a mantenere tutte le password che hanno a livello centrale con un livello di sicurezza (aggiungi metadati e molti altri).
Come utilizzare un gestore di password?
Gestori di password consentire l'archiviazione e il recupero di informazioni riservate da un database crittografato.
Gli utenti si fidano di loro per offrire migliori garanzie di sicurezza contro le perdite insignificante rispetto ad altri mezzi di memorizzazione delle password, come file di testo non sicuri.
In altre parole, i gestori di password possono conservare tutte le password utilizzate su Internet in un unico posto, quindi sono molto utili.
Non tutto è come lo dipingono
Detto questo, un gruppo di tester di sicurezza indipendenti, ISE ha riferito questa settimana che alcuni dei gestori di password più popolari hanno alcune vulnerabilità che potrebbero essere sfruttati per sottrarre informazioni sull'identità degli utenti, ammesso che non siano state ancora sfruttate da terzi.
Nella relazione presentata dal gruppo, ha descritto le garanzie di sicurezza che i gestori di password dovrebbero offrire ed ha esaminato il funzionamento sottostante di cinque noti gestori di password.
Nemmeno il software libero è esente
Questi sono i gestori di password 1Password, Keepass, Dashlane e LastPass. Tutti questi gestori di password elencati di seguito funzionano allo stesso modo, dicono.
Gli utenti inseriscono o generano password nel software e aggiungono metadati pertinenti (ad esempio, risposte a domande di sicurezza e il sito per il quale la password è progettata).
Queste informazioni vengono crittografate e quindi decrittografate solo quando è necessario che lo schermo le trasmetta a un plug-in del browser che inserisce la password su un sito Web o la copia negli appunti per l'uso.
Per ciascuno di questi amministratori, il gruppo definisce tre stati di esistenza: non in esecuzione, sbloccato e bloccato.
Nel primo stato, il gestore delle password deve garantire la crittografia in modo che fino a quando l'utente non utilizza una password banale, un utente malintenzionato non può indovinare improvvisamente la password principale in una password.
Nel secondo stato, non dovrebbe essere possibile estrarre la password principale dalla memoria direttamente o in qualsiasi altro modo per recuperare la password principale originale.
E nel terzo stato, tutte le garanzie di sicurezza di un gestore di password non attivo devono essere applicate a un gestore di password in uno stato bloccato.
Nella loro analisi, i tester affermano di aver esaminato l'algoritmo utilizzato da ciascun gestore di password per convertire la password principale in una chiave di crittografia e che l'algoritmo non ha la complessità per resistere agli attacchi di cracking odierni.
Sull'analisi degli amministratori della sicurezza
Nel caso di 1Password 4 (versione 4.6.2.628), la sua valutazione della sicurezza operativa ha riscontrato protezioni ragionevoli contro l'esposizione di singole password nello stato sbloccato.
Sfortunatamente questo è stato aggirato dalla sua gestione della password principale e da vari dettagli di implementazione non funzionanti quando si passa dallo stato sbloccato allo stato bloccato. La password principale rimane in memoria.
Pertanto, 1La password principale della password può essere recuperata poiché non viene cancellata dalla memoria dopo aver messo il gestore delle password in uno stato bloccato.
Prendendo 1Password (versione 7.2.576), Ciò che li ha sorpresi è che l'hanno scoperto è meno sicuro da eseguire rispetto a 1Password nella sua versione precedente di 1Password 7 poiché ha violato tutte le singole password nel database, testare i dati non appena vengono sbloccati e memorizzati nella cache, a differenza di 1Password 4 che ha memorizzato solo una voce alla volta.
Inoltre, anche ha rilevato che 1Password 7 non cancella le singole password, né la password principale, né la chiave della memoria segreta quando si passa dallo stato sbloccato allo stato bloccato.
Quindi, nella valutazione Dashlane, i processi hanno indicato che l'attenzione era concentrata sul nascondere i segreti nella memoria per ridurre i rischi di estrazione.
Inoltre, l'uso di GUI e frame di memoria che impedivano la trasmissione di segreti a varie API del sistema operativo era esclusivo di Dashlane e poteva esporli a intercettazioni da parte di malware.
Anche Linux non è l'eccezione
A differenza di altri gestori di password, KeePass è un progetto open source. Simile a 1Password 4, KeePass decrittografa le voci mentre interagiscono.
Tuttavia, rimangono tutti in memoria perché non vengono cancellati individualmente dopo ogni interazione. La password principale viene cancellata dalla memoria e non può essere recuperata.
Tuttavia, mentre KeePass cerca di proteggere i segreti cancellandoli dalla memoria, ci sono ovviamente alcuni bug in questi flussi di lavoro, perché abbiamo scoperto, dicono, che anche in uno stato bloccato, potremmo estrarre gli input con cui aveva interagito.
Le voci intercettate rimangono in memoria anche dopo che KeePass è stato posto in uno stato bloccato.
Infine, come in 1Password 4, LastPass nasconde la password principale quando viene inserita nel campo di sblocco.
Una volta che la chiave di decrittazione è derivata dalla password principale, la password principale viene sostituita dalla frase "lastpass".
fonte: valutatori della sicurezza
Le password non dovrebbero essere memorizzate altrove che un taccuino scritto con una penna a sfera ... il resto è come la storia dello zio.
totalmente d'accordo, come il notebook non c'è nulla dato che è un po 'difficile per gli hacker
entra in casa per rubare il tuo quaderno
Quale sarebbe l'amministratore più sicuro?
Esagerazione totale, è ovvio che un gestore di password non è sicuro al 100%, perché niente è sicuro al 100% signori ... Anche così, sarà sempre più sicuro usare un gestore di password che non usarlo. Carta e matita? Assurdo a meno che tu non abbia solo 3 o 4 password, ma per chi come me ha 50, 100 o più account diversi in posti diversi non ha il minimo senso, a questo bisogna aggiungere che se perdi la carta o la pendrive , dì loro addio alla tua vita digitale. Nel 2019 non ha alcun senso salvare le proprie password altrove che nel cloud, tutte opportunamente crittografate. Lastpass è la cosa più sicura da usare oggi, chi sostiene il contrario non sa di cosa sta parlando, è semplicemente un utente medio. Saluti.
Io uso https://bitwarden.com/ Cosa dice il rapporto di questo gestore di password?