Probleme de securitate majore au fost descoperite în aplicații de administrare a parolelor
Un nou raport sugerează că programele și aplicațiile de tipul password manager nu sunt la fel de sigure pe cât s-ar crede, dar asta nu ar trebui să ne împiedice să le folosim.
Un nou raport sugerează faptul că programele și aplicațiile de administrare a parolelor nu sunt chiar atât de sigure cum s-ar crede și conțin defecte îngrijorătoare din punct de vedere al securității, inclusiv – în unele cazuri – stocarea de parole în aplicația pentru PC exact așa cum sunt ele, scrie techradar.com.
Totuși, înainte de a se panica și a dezinstala aceste aplicații, utilizatorii trebuie să știe că cercetătorii în securitate încă recomandă folosirea unui password manager.
Independent Security Evaluators (ISE) precizează că un password manager este cu siguranță ceva bun și ajută la evitarea unor practici care slăbesc securitatea (ca parolele slabe, refolosirea parolelor și altele). ISE a evaluat 1Password, Dashlane, KeePass și LastPass pentru Windows 10 și a descoperit că în unele cazuri, parola principală a aplicației era păstrată în memoria sistemului fără a fi criptată, fiind ușor de citit. Această practică ar putea permite unui hacker priceput să acceseze managerul de parole după ce află parola stocată în memoria computerului.
Echipa de experți în securitate a spus că fiecare soluție de administrare a parolei expunea informațiile pe care trebuia să le protejeze. Au fost testate versiunea 4.6.2.626 a 1Password4 pentru Windows, versiunea 7.2.576 a 1Password7 pentru Windows, v.6.1843.0 Dashlane pentru Windows, v.2.40 KeePass Password Safe și versiunea 4.1.59 a LastPass pentru aplicații, relatează zdnet.com.
ISE a putut extrage parolele principale și alte date de autentificare din memorie în timp ce managerul de parole era blocat. Ar putea f posibil ca programe malițioase descărcate în sistem ar putea face același lucru.
În cazul 1Password4, ISE spune că parola principală folosită pentru a activa aplicația este stocată simplu în memorie și nu este ștearsă, dar celelalte parole sunt șterse după ce sunt încărcate. În cazul 1Password7 experții au concluzionat că aplicația este mai nesigură față de 1Password4 deoarece decriptează toate parolele individuale. Utilizatorul trebuie să închidă aplicația cu totul pentru a șterge din memorie informațiile sensibile. În cazul Dashlane cercetătorii au spus că este mai sigură, reducând din riscul de a sustrage informațiile sensibile. Numai când informațiile sunt actualizate acestea rămân în memorie chiar și după blocarea sau delogarea utilizatorului.
KeePass șterge parola principală din memorie și nu poate fi recuperată. Cu toate acestea, unele erori au permis cercetătorilor să extragă informații legate de parolele cu care s-a interacționat.
Cercetătorii ISE au precizat că raportul nu este menit să critice implementarea de manageri de parole ci să stabilească cerințele minime pe care acestea ar trebui să le îndeplinească.
în ciuda problemelor descoperite, este demn de luat în seamă faptul că în cazul unor atacuri care folosesc forța brută de procesare, un manager de parole este o alternativă mai bună la folosirea unei parole simple și ușor de spart.
