Менеджеры паролей не так безопасны, как утверждают

менеджер паролей-relaunch_2018

Интернет-соединения становятся все более многочисленными с 2010-х годов, особенно с появлением социальных сетей. Многие онлайн-сервисы поощряют пользователей не использовать везде один и тот же пароль.

Вот тут-то и пригодятся менеджеры паролей чтобы помочь пользователям централизованно хранить все пароли, которые у них есть, с помощью уровня безопасности (добавить метаданные и многое другое).

Как пользоваться менеджером паролей?

Менеджеры паролей позволяют хранить и извлекать конфиденциальную информацию из зашифрованной базы данных.

Пользователи доверяют им предложение лучших гарантий безопасности от утечек. незначительно по сравнению с другими средствами хранения паролей, такими как небезопасные текстовые файлы.

Другими словами, менеджеры паролей могут хранить все ваши пароли, используемые в Интернете, в одном месте, поэтому они очень полезны.

Не все так, как их рисуют

При этом группа независимых тестеров безопасности, На этой неделе ISE сообщила, что некоторые из самых популярных менеджеров паролей имеют уязвимости. которые могут быть использованы для кражи идентификационной информации у пользователей, если они еще не использовались третьими сторонами.

В отчете, представленном группой, описал гарантии безопасности, которые должны предлагать менеджеры паролей, и изучил основную работу пяти популярных менеджеров паролей.

Даже бесплатное программное обеспечение не освобождено

Это менеджеры паролей 1Password, Keepass, Dashlane и LastPass. По их словам, все перечисленные ниже менеджеры паролей работают одинаково.

Пользователи вводят или генерируют пароли в программном обеспечении и добавляют соответствующие метаданные (например, ответы на вопросы безопасности и сайт, для которого предназначен пароль).

Эта информация зашифровывается и затем дешифруется только тогда, когда экрану необходимо передать ее плагину браузера, который вводит пароль на веб-сайте или копирует его в буфер обмена для использования.

Для каждого из этих администраторов группа определяет три состояния существования: не работает, разблокировано и заблокировано.

В первом состоянии менеджер паролей должен обеспечить шифрование. так что до тех пор, пока пользователь не использует тривиальный пароль, злоумышленник не может внезапно угадать мастер-пароль в пароле.

Во втором состоянии не должно быть возможности извлечь мастер-пароль из памяти. напрямую или любым другим способом, чтобы восстановить исходный мастер-пароль.

И в третьем состоянии все гарантии безопасности неактивного диспетчера паролей должны применяться к диспетчеру паролей в заблокированном состоянии.

В своем анализе тестировщики утверждают, что исследовали алгоритм, используемый каждым менеджером паролей для преобразования главного пароля в ключ шифрования, и что этот алгоритм не обладает такой сложностью, чтобы противостоять сегодняшним атакам взлома.

Об анализе администраторов безопасности

В случае с 1Password 4 (версия 4.6.2.628), оценка операционной безопасности выявила разумную защиту от раскрытия индивидуальных паролей в разблокированном состоянии.

К сожалению, это было обойдено обработкой мастер-пароля и различными деталями неработающей реализации при переходе из разблокированного состояния в заблокированное состояние. Мастер-пароль остается в памяти.

Таким образом, Мастер-пароль 1Password можно восстановить, так как он не стирается из памяти после перевода диспетчера паролей в заблокированное состояние.

Взяв 1Password (версия 7.2.576), Что их удивило, так это то, что они обнаружили, что его менее безопасно запускать, чем 1Password в его предыдущей версии чем 1Password 7, поскольку он взломал все индивидуальные пароли в базе данных, тестируйте данные, как только они будут разблокированы и кэшированы, в отличие от 1Password 4, который хранит только одну запись за раз.

Кроме того, также обнаружил, что 1Password 7 не очищает индивидуальные пароли, ни мастер-пароль, ни секретный ключ памяти при переходе из разблокированного состояния в заблокированное состояние.

Затем, в оценке Dashlane, процессы показали, что основное внимание уделяется сокрытию секретов в памяти, чтобы снизить риски извлечения.

Кроме того, использование графического интерфейса пользователя и фреймов памяти, которые предотвращали передачу секретов различным API-интерфейсам операционной системы, было уникальным для Dashlane и могло подвергнуть их перехвату вредоносными программами.

Linux тоже не исключение

В отличие от других менеджеров паролей, KeePass это проект с открытым исходным кодом. Как и 1Password 4, KeePass расшифровывает записи по мере их взаимодействия.

Однако все они остаются в памяти, потому что не стираются индивидуально после каждого взаимодействия. Мастер-пароль стирается из памяти и не может быть восстановлен.

Однако, хотя KeePass пытается защитить секреты, стирая их из памяти, очевидно, что в этих рабочих процессах есть некоторые ошибки, потому что мы обнаружили, говорят они, что даже в заблокированном состоянии мы могли извлекать входные данные, с которыми он взаимодействовал.

Перехваченные записи остаются в памяти даже после перевода KeePass в заблокированное состояние.

Наконец, как и в 1Password 4, LastPass скрывает мастер-пароль, когда он вводится в поле разблокировки.

После того, как ключ дешифрования получен из мастер-пароля, мастер-пароль заменяется фразой «lastpass».

источник: оценщики безопасности


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

5 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   анонимный сказал

    Пароли нельзя хранить где-нибудь, кроме записной книжки, написанной шариковой ручкой ... остальное как история дяди.

  2.   Paco сказал

    полностью согласен, как ноут не при чем, т.к. для хакеров немного сложновато
    войдите в ваш дом, чтобы украсть ваш блокнот

  3.   Люкс сказал

    Какой администратор будет самым безопасным?

  4.   сорняк шляпа сказал

    Полное преувеличение, очевидно, что менеджер паролей не на 100% безопасен, потому что ничто не защищено на 100%, господа… Даже в этом случае всегда, всегда будет безопаснее использовать менеджер паролей, чем не использовать его. Карандаш и бумага? Абсурд, если у вас только 3 или 4 пароля, но для людей вроде меня, у которых есть 50, 100 или более разных учетных записей в разных местах, это не имеет ни малейшего смысла, к этому мы должны добавить, что если вы потеряете бумагу или pendrive, попрощайтесь с вашей цифровой жизнью. В 2019 году нет смысла ни в малейшей степени сохранять свои пароли где-либо еще, кроме как в облаке, и все они будут должным образом зашифрованы. Lastpass - самая безопасная вещь для использования сегодня, кто бы ни утверждал иное, не знает, о чем они говорят, они просто средний пользователь. Привет.

  5.   Мартин сказал

    я использую https://bitwarden.com/ Что говорит отчет этого менеджера паролей?

bool (истина)