Менеджеры паролей не так безопасны, как утверждают

Интернет-соединения становятся все более многочисленными с 2010-х годов, особенно с появлением социальных сетей. Многие онлайн-сервисы поощряют пользователей не использовать везде один и тот же пароль.

Вот тут-то и пригодятся менеджеры паролей чтобы помочь пользователям централизованно хранить все пароли, которые у них есть, с помощью уровня безопасности (добавить метаданные и многое другое).

Как пользоваться менеджером паролей?

Менеджеры паролей позволяют хранить и извлекать конфиденциальную информацию из зашифрованной базы данных.

Пользователи доверяют им предложение лучших гарантий безопасности от утечек. незначительно по сравнению с другими средствами хранения паролей, такими как небезопасные текстовые файлы.

Другими словами, менеджеры паролей могут хранить все ваши пароли, используемые в Интернете, в одном месте, поэтому они очень полезны.

Не все так, как их рисуют

При этом группа независимых тестеров безопасности, На этой неделе ISE сообщила, что некоторые из самых популярных менеджеров паролей имеют уязвимости. которые могут быть использованы для кражи идентификационной информации у пользователей, если они еще не использовались третьими сторонами.

В отчете, представленном группой, описал гарантии безопасности, которые должны предлагать менеджеры паролей, и изучил основную работу пяти популярных менеджеров паролей.

Даже бесплатное программное обеспечение не освобождено

Это менеджеры паролей 1Password, Keepass, Dashlane и LastPass. По их словам, все перечисленные ниже менеджеры паролей работают одинаково.

Пользователи вводят или генерируют пароли в программном обеспечении и добавляют соответствующие метаданные (например, ответы на вопросы безопасности и сайт, для которого предназначен пароль).

Эта информация зашифровывается и затем дешифруется только тогда, когда экрану необходимо передать ее плагину браузера, который вводит пароль на веб-сайте или копирует его в буфер обмена для использования.

Для каждого из этих администраторов группа определяет три состояния существования: не работает, разблокировано и заблокировано.

В первом состоянии менеджер паролей должен обеспечить шифрование. так что до тех пор, пока пользователь не использует тривиальный пароль, злоумышленник не может внезапно угадать мастер-пароль в пароле.

Во втором состоянии не должно быть возможности извлечь мастер-пароль из памяти. напрямую или любым другим способом, чтобы восстановить исходный мастер-пароль.

И в третьем состоянии все гарантии безопасности неактивного диспетчера паролей должны применяться к диспетчеру паролей в заблокированном состоянии.

В своем анализе тестировщики утверждают, что исследовали алгоритм, используемый каждым менеджером паролей для преобразования главного пароля в ключ шифрования, и что этот алгоритм не обладает такой сложностью, чтобы противостоять сегодняшним атакам взлома.

Об анализе администраторов безопасности

В случае с 1Password 4 (версия 4.6.2.628), оценка операционной безопасности выявила разумную защиту от раскрытия индивидуальных паролей в разблокированном состоянии.

К сожалению, это было обойдено обработкой мастер-пароля и различными деталями неработающей реализации при переходе из разблокированного состояния в заблокированное состояние. Мастер-пароль остается в памяти.

Таким образом, Мастер-пароль 1Password можно восстановить, так как он не стирается из памяти после перевода диспетчера паролей в заблокированное состояние.

Взяв 1Password (версия 7.2.576), Что их удивило, так это то, что они обнаружили, что его менее безопасно запускать, чем 1Password в его предыдущей версии чем 1Password 7, поскольку он взломал все индивидуальные пароли в базе данных, тестируйте данные, как только они будут разблокированы и кэшированы, в отличие от 1Password 4, который хранит только одну запись за раз.

Кроме того, также обнаружил, что 1Password 7 не очищает индивидуальные пароли, ни мастер-пароль, ни секретный ключ памяти при переходе из разблокированного состояния в заблокированное состояние.

Затем, в оценке Dashlane, процессы показали, что основное внимание уделяется сокрытию секретов в памяти, чтобы снизить риски извлечения.

Кроме того, использование графического интерфейса пользователя и фреймов памяти, которые предотвращали передачу секретов различным API-интерфейсам операционной системы, было уникальным для Dashlane и могло подвергнуть их перехвату вредоносными программами.

Linux тоже не исключение

В отличие от других менеджеров паролей, KeePass это проект с открытым исходным кодом. Как и 1Password 4, KeePass расшифровывает записи по мере их взаимодействия.

Однако все они остаются в памяти, потому что не стираются индивидуально после каждого взаимодействия. Мастер-пароль стирается из памяти и не может быть восстановлен.

Однако, хотя KeePass пытается защитить секреты, стирая их из памяти, очевидно, что в этих рабочих процессах есть некоторые ошибки, потому что мы обнаружили, говорят они, что даже в заблокированном состоянии мы могли извлекать входные данные, с которыми он взаимодействовал.

Перехваченные записи остаются в памяти даже после перевода KeePass в заблокированное состояние.

Наконец, как и в 1Password 4, LastPass скрывает мастер-пароль, когда он вводится в поле разблокировки.

После того, как ключ дешифрования получен из мастер-пароля, мастер-пароль заменяется фразой «lastpass».

источник: оценщики безопасности