パスワードマネージャーは、彼らが主張するほど安全ではありません

オンライン接続はますます多くなっています 2010年代以降、特にソーシャルメディアの登場により。 多くのオンラインサービスでは、ユーザーがどこでも同じパスワードを使用しないように推奨しています。

これがパスワードマネージャーの出番です ユーザーが持っているすべてのパスワードをセキュリティレイヤーで一元的に保持できるようにします（メタデータなどを追加します）。

パスワードマネージャーの使い方は？

パスワードマネージャー 暗号化されたデータベースからの機密情報の保存と取得を許可します。

ユーザーは、リークに対するより優れたセキュリティ保証を提供することを信頼しています 安全でないテキストファイルなど、パスワードを保存する他の手段と比較して重要ではありません。

つまり、パスワードマネージャーは、インターネットで使用されるすべてのパスワードをXNUMXか所にまとめることができるため、非常に便利です。

彼らがそれを描くようにすべてがそうであるわけではありません

そうは言っても、独立したセキュリティテスターのグループは、 ISEは今週、最も人気のあるパスワードマネージャーのいくつかにいくつかの脆弱性があると報告しました サードパーティによってまだ悪用されていないと仮定すると、ユーザーからID情報を盗むために悪用される可能性があります。

グループによって提示されたレポートでは、 パスワードマネージャーが提供するセキュリティ保証について説明し、XNUMXつの人気のあるパスワードマネージャーの基本的な操作を調べました。

自由ソフトウェアでさえ免除されない

これらは、パスワードマネージャー1Password、Keepass、Dashlane、およびLastPassです。 以下にリストされているこれらのパスワードマネージャーはすべて同じように機能すると彼らは言います。

ユーザーはソフトウェアでパスワードを入力または生成し、関連するメタデータを追加します（たとえば、セキュリティの質問への回答やパスワードが設計されているサイト）。

この情報は暗号化され、画面がWebサイトのパスワードを入力するブラウザプラグインに送信するか、クリップボードにコピーして使用する必要がある場合にのみ復号化されます。

これらの管理者のそれぞれについて、 このグループは、実行されていない、ロック解除されている、ロックされているというXNUMXつの存在状態を定義します。

最初の状態では、パスワードマネージャーは暗号化を確実にする必要があります そのため、ユーザーが簡単なパスワードを使用しない限り、攻撃者はパスワード内のマスターパスワードを突然推測することはできません。

XNUMX番目の状態では、メモリからマスターパスワードを抽出できないはずです。 直接または他の方法で元のマスターパスワードを回復します。

また、XNUMX番目の状態では、非アクティブなパスワードマネージャーのすべてのセキュリティ保証を、ロックされた状態のパスワードマネージャーに適用する必要があります。

彼らの分析では、テスターは、マスターパスワードを暗号化キーに変換するために各パスワードマネージャーが使用するアルゴリズムを調べたと主張しており、アルゴリズムには今日のクラッキング攻撃に耐える複雑さが欠けています。

セキュリティ管理者の分析について

1Password 4（バージョン4.6.2.628）の場合）、その運用上のセキュリティ評価により、ロック解除された状態での個々のパスワードの公開に対する合理的な保護が見つかりました。

残念ながら、これは、ロックされていない状態からロックされた状態に移行するときに、マスターパスワードの処理とさまざまな壊れた実装の詳細によってバイパスされました。 マスターパスワードはメモリに残ります。

そのため、 1Passwordマスターパスワードはメモリから消去されないため、取得できます パスワードマネージャーをロック状態にした後。

1Password（バージョン7.2.576）を使って、 彼らを驚かせたのは、彼らがそれを見つけたことです 以前のバージョンの1Passwordよりも実行の安全性が低い 一度に1つのエントリしか保存していない7Password1とは異なり、データベース内のすべての個別のパスワードを解読した4Password XNUMXは、ロックが解除されてキャッシュされるとすぐにデータをテストします。

また 1Password7が個々のパスワードをクリアしないことがわかった、ロック解除状態からロック状態に移行するときのマスターパスワードもシークレットメモリキーもありません。

次に、Dashlaneの評価では、プロセスは、抽出のリスクを減らすために、メモリ内に秘密を隠すことに焦点が当てられていることを示しました。

さらに、さまざまなオペレーティングシステムAPIへのシークレットの送信を防止するGUIとメモリフレームの使用は、Dashlaneに固有のものであり、マルウェアによる盗聴にさらされる可能性がありました。

Linuxも例外ではありません

他のパスワードマネージャーとは異なり、 持ち歩きます それはオープンソースプロジェクトです。 1Password 4と同様に、KeePassはエントリが相互作用するときにエントリを復号化します。

ただし、相互作用のたびに個別に消去されるわけではないため、これらはすべてメモリに残ります。 マスターパスワードはメモリから消去され、取得できません。

ただし、KeePassはシークレットをメモリから消去して保護しようとしますが、これらのワークフローには明らかにいくつかのバグがあります。ロックされた状態でも、相互作用した入力を抽出できることがわかったためです。

傍受されたエントリは、KeePassがロック状態になった後もメモリに残ります。

最後に、1Password4のように。 LastPassは、ロック解除フィールドにマスターパスワードを入力すると、マスターパスワードを非表示にします。

復号化キーがマスターパスワードから取得されると、マスターパスワードは「lastpass」というフレーズに置き換えられます。

出典 セキュリティ評価者