מנהלי סיסמאות אינם מאובטחים כפי שהם טוענים

חיבורים מקוונים הפכו רבים יותר ויותר מאז שנות העשרים, במיוחד עם הופעתה של המדיה החברתית. שירותים מקוונים רבים מעודדים משתמשים לא להשתמש באותה סיסמה בכל מקום.

כאן נכנסים מנהלי סיסמאות כדי לעזור למשתמשים לשמור את כל הסיסמאות שיש להם באופן מרכזי עם שכבת אבטחה (הוסף מטא נתונים ורבים נוספים).

כיצד להשתמש במנהל סיסמאות?

מנהלי סיסמאות לאפשר אחסון ואחזור של מידע סודי ממסד נתונים מוצפן.

משתמשים סומכים עליהם שיציעו ערבויות אבטחה טובות יותר מפני דליפות לא משמעותי בהשוואה לאמצעים אחרים לאחסון סיסמאות, כגון קבצי טקסט לא מאובטחים.

במילים אחרות, מנהלי סיסמאות יכולים לשמור את כל הסיסמאות שלך המשמשות באינטרנט במקום אחד, ולכן הן שימושיות מאוד.

לא הכל כמו שהם מציירים את זה

עם זאת, קבוצה של בודקי אבטחה עצמאיים, ISE דיווחה השבוע כי לחלק ממנהלי הסיסמאות הפופולריים ביותר יש נקודות תורפה שניתן לנצל כדי לגנוב מידע זהות ממשתמשים, בהנחה שעדיין לא נוצלו על ידי צדדים שלישיים.

בדו"ח שהציגה הקבוצה, תיאר את הבטחות האבטחה שעל מנהלי הסיסמאות להציע ובחן את הפעולה הבסיסית של חמישה מנהלי סיסמאות פופולריים.

אפילו תוכנה חופשית אינה פטורה

אלה מנהלי הסיסמאות 1Password, Keepass, Dashlane ו- LastPass. כל מנהלי הסיסמאות המפורטים להלן פועלים באותה צורה, לדבריהם.

משתמשים מזינים או מייצרים סיסמאות בתוכנה ומוסיפים מטא נתונים רלוונטיים (למשל, תשובות לשאלות אבטחה והאתר אליו נועדה הסיסמה).

מידע זה מוצפן ואז מפוענח רק כאשר יש צורך במסך להעבירו לתוסף דפדפן הממלא את הסיסמה באתר או מעתיק אותו ללוח לשימוש.

עבור כל אחד מהמנהלים הללו, הקבוצה מגדירה שלושה מצבי קיום: לא פועל, נעול ונעול.

במצב הראשון, על מנהל הסיסמאות לוודא הצפנה כך שכל עוד המשתמש לא משתמש בסיסמה טריוויאלית, התוקף לא יכול לפתע לנחש את סיסמת האב בסיסמה.

במצב השני, לא אמור להיות אפשרות לחלץ את סיסמת האב מהזיכרון ישירות או בכל דרך אחרת לשחזר את סיסמת האב המקורית.

ובמצב השלישי, יש להחיל את כל ערבויות האבטחה של מנהל סיסמאות שאינו פעיל על מנהל סיסמאות במצב נעול.

בניתוחם טוענים הבודקים כי בדקו את האלגוריתם שמשמש כל מנהל סיסמאות להמרת סיסמת האב למפתח הצפנה וכי האלגוריתם חסר את המורכבות לעמוד בהתקפות הפיצוח של ימינו.

על ניתוח מנהלי האבטחה

במקרה של 1Password 4 (גרסה 4.6.2.628), הערכת האבטחה התפעולית שלה מצאה הגנות סבירות מפני חשיפה של סיסמאות בודדות במצב נעול.

למרבה הצער, זה עקף את הטיפול שלה בסיסמת המאסטר ופרטי יישום שבורים שונים במעבר ממצב נעול למצב נעול. סיסמת המאסטר נשארת בזיכרון.

לכן, 1 ניתן לאחזר את סיסמת המאסטר של הסיסמה מכיוון שהיא אינה נמחקת מהזיכרון לאחר הצבת מנהל הסיסמאות למצב נעול.

לוקח 1Password (גרסה 7.2.576), מה שהפתיע אותם זה שהם מצאו את זה הוא פחות מאובטח להפעלה מאשר 1Password בגרסתו הקודמת מ- 1Password 7 מכיוון שהיא פיצחה את כל הסיסמאות הבודדות במסד הנתונים, בדקו את הנתונים ברגע שהם נעולים ונשמרים במטמון, בניגוד ל- 1Password 4 שאחסנה רק רשומה אחת בכל פעם.

גם מצא כי 1Password 7 אינו מנקה סיסמאות בודדות, לא את סיסמת המאסטר, ולא את מפתח הזיכרון הסודי בעת מעבר ממצב נעול למצב נעול.

ואז, בהערכת דשליין, התהליכים הצביעו על כך שהדגש היה על הסתרת סודות בזיכרון כדי להפחית את הסיכונים למיצוי.

בנוסף, השימוש ב- GUI ובמסגרות זיכרון שמנעו העברת סודות לממשקי API שונים של מערכת ההפעלה היה ייחודי ל- Dashlane ויכול היה לחשוף אותם להאזנות באמצעות תוכנות זדוניות.

גם לינוקס אינו יוצא מן הכלל

בניגוד למנהלי סיסמאות אחרים, KeePass זהו פרויקט קוד פתוח. בדומה ל- 1Password 4, KeePass מפענח ערכים תוך כדי אינטראקציה.

עם זאת, כולם נשארים בזיכרון מכיוון שהם לא נמחקים בנפרד לאחר כל אינטראקציה. סיסמת המאסטר נמחקת מהזיכרון ולא ניתן לאחזר אותה.

עם זאת, בעוד ש- KeePass מנסה לאבטח סודות על ידי מחיקתם מהזיכרון, יש כמובן כמה באגים בתהליכי העבודה הללו, מכיוון שמצאנו, לדבריהם, שגם במצב נעול נוכל לחלץ את התשומות שאיתן התקשר.

ערכים יורטים נותרים בזיכרון גם לאחר ש- KeePass הוצב במצב נעול.

לבסוף, כמו ב- 1Password 4, LastPass מסתיר את סיסמת האב כאשר היא מוזנת בשדה הנעילה.

לאחר שמפתח הפענוח נגזר מסיסמת המאסטר, סיסמת המאסטר מוחלפת בביטוי "מעבר אחרון".

מקור: מעריכים ביטחוניים