As conexões online se tornaram cada vez mais numerosas desde a década de 2010, principalmente com o advento das mídias sociais. Muitos serviços online incentivam os usuários a não usar a mesma senha em todos os lugares.
É aqui que entram os gerenciadores de senhas para ajudar os usuários a manter todas as senhas que possuem centralmente com uma camada de segurança (adicione metadados e muito mais).
Como usar um gerenciador de senhas?
Gerenciadores de senha permitem o armazenamento e recuperação de informações confidenciais de um banco de dados criptografado.
Os usuários confiam neles para oferecer melhores garantias de segurança contra vazamentos insignificante em comparação com outros meios de armazenamento de senhas, como arquivos de texto inseguros.
Em outras palavras, os gerenciadores de senhas podem manter todas as senhas usadas na Internet em um só lugar, portanto, são muito úteis.
Nem tudo é como eles pintam
Dito isso, um grupo de testadores de segurança independentes, O ISE relatou esta semana que alguns dos gerenciadores de senhas mais populares têm algumas vulnerabilidades que podem ser explorados para roubar informações de identidade dos usuários, supondo que eles ainda não tenham sido explorados por terceiros.
No relatório apresentado pelo grupo, descreveu as garantias de segurança que os gerenciadores de senhas devem oferecer e examinou a operação subjacente de cinco gerenciadores de senhas populares.
Nem mesmo o software livre está isento
Estes são os gerenciadores de senha 1Password, Keepass, Dashlane e LastPass. Todos esses gerenciadores de senhas listados abaixo funcionam da mesma maneira, dizem eles.
Os usuários inserem ou geram senhas no software e adicionam metadados relevantes (por exemplo, respostas a perguntas de segurança e o site para o qual a senha foi criada).
Essas informações são criptografadas e descriptografadas apenas quando é necessário que a tela as transmita a um plug-in de navegador que preenche a senha em um site ou a copia para a área de transferência para uso.
Para cada um desses administradores, o grupo define três estados de existência: sem execução, desbloqueado e bloqueado.
No primeiro estado, o gerenciador de senhas deve garantir a criptografia de modo que, enquanto o usuário não usar uma senha comum, um invasor não pode adivinhar repentinamente a senha mestra em uma senha.
No segundo estado, não deve ser possível extrair a senha mestra da memória diretamente ou de qualquer outra forma para recuperar a senha mestra original.
E no terceiro estado, todas as garantias de segurança de um gerenciador de senhas não ativo devem ser aplicadas a um gerenciador de senhas em um estado bloqueado.
Em sua análise, os testadores afirmam ter examinado o algoritmo usado por cada gerenciador de senhas para converter a senha mestra em uma chave de criptografia e que o algoritmo não tem a complexidade para resistir aos ataques de cracking de hoje.
Na análise de administradores de segurança
No caso de 1Password 4 (versão 4.6.2.628), sua avaliação de segurança operacional encontrou proteções razoáveis contra a exposição de senhas individuais no estado desbloqueado.
Infelizmente, isso foi contornado pelo manuseio da senha mestra e por vários detalhes de implementação corrompidos ao passar do estado desbloqueado para o estado bloqueado. A senha mestra permanece na memória.
Portanto, 1 A senha mestra da senha pode ser recuperada, pois não é apagada da memória depois de colocar o gerenciador de senhas em um estado bloqueado.
Tomando 1Password (versão 7.2.576), O que os surpreendeu é que descobriram que é menos seguro de executar do que 1Password em sua versão anterior do que 1Password 7, uma vez que quebrou todas as senhas individuais no banco de dados, teste os dados assim que forem desbloqueados e armazenados em cache, ao contrário do 1Password 4, que armazenou apenas uma entrada por vez.
Além disso também descobriram que 1Password 7 não limpa senhas individuais, nem a senha mestra, nem a chave de memória secreta ao passar do estado desbloqueado para o estado bloqueado.
Então, na avaliação do Dashlane, os processos indicaram que o foco estava em esconder segredos na memória para reduzir os riscos de extração.
Além disso, o uso de GUI e quadros de memória que impediam a transmissão de segredos para várias APIs do sistema operacional era exclusivo do Dashlane e poderia expô-los à escuta de malware.
Linux também não é exceção
Ao contrário de outros gerenciadores de senha, KeePass é um projeto de código aberto. Semelhante ao 1Password 4, o KeePass descriptografa as entradas conforme elas interagem.
No entanto, todos eles permanecem na memória porque não são apagados individualmente após cada interação. A senha mestre é apagada da memória e não pode ser recuperada.
No entanto, enquanto o KeePass tenta proteger os segredos apagando-os da memória, obviamente existem alguns bugs nesses fluxos de trabalho, porque descobrimos, dizem eles, que mesmo em um estado bloqueado, poderíamos extrair as entradas com as quais ele interagiu.
As entradas interceptadas permanecem na memória mesmo depois que KeePass foi colocado em um estado bloqueado.
Finalmente, como em 1Password 4, LastPass oculta a senha mestra quando é inserida no campo de desbloqueio.
Depois que a chave de descriptografia é derivada da senha mestra, a senha mestra é substituída pela frase "última passagem".
fonte: avaliadores de segurança
As senhas não devem ser guardadas em nenhum lugar que não seja um bloco de notas escrito com uma caneta esferográfica ... o resto é como a história do tio.
concordo totalmente, como o notebook não há nada, pois é um pouco difícil para os hackers
entre em sua casa para roubar seu notebook
Qual seria o administrador mais seguro?
Exagero total, é óbvio que um gerenciador de senhas não é 100% seguro, pois nada é 100% seguro senhores… Mesmo assim, será sempre mais seguro usar um gerenciador de senhas do que não usá-lo. Lápis e papel? Absurdo a menos que você tenha apenas 3 ou 4 senhas, mas para pessoas como eu que tem 50, 100 ou mais contas diferentes em lugares diferentes, não faz o menor sentido, a isso devemos acrescentar que se você perder o papel ou o pendrive , diga adeus à sua vida digital. Em 2019 não faz o menor sentido salvar suas senhas em qualquer lugar que não seja na nuvem, todas devidamente criptografadas. Lastpass é a coisa mais segura de se usar hoje, quem afirma o contrário não sabe do que está falando, é simplesmente um usuário comum. Saudações.
eu uso https://bitwarden.com/ O que diz o relatório deste gerenciador de senhas?