Fatalny stan zabezpieczeń menedżerów haseł
Eksperci z niemieckiego Instytutu Fraunhofera przeanalizowali 9 najpopularniejszych menedżerów haseł dla Androida i odkryli luki bezpieczeństwa w każdym z nich. Niektóre z analizowanych programów przechowywały hasła w formie otwartego tekstu lub też zawierały w kodzie źródłowym klucze, pozwalające na odszyfrowanie haseł.
Badane programy to My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords oraz 1Password.
W każdym z nich znaleziono co najmniej jeden błąd. Najbardziej chyba zaskakującym odkryciem, jest wspomniany już fakt przechowywania haseł w postaci otwartego tekstu czy obecność kluczy deszyfrujących w kodzie oprogramowania. Inne popularne błędy to umożliwienie dostępu do haseł za pomocą narzędzi informatyki śledczej. Okazało się też, że większość menedżerów haseł nie chroni przed atakiem na schowek. A to oznacza, że hasła nie są usuwane ze schowka po ich skopiowaniu przez użytkownika.
Badacze uznali swoje odkrycie za alarmujące i zauważają, że niektóre z tych menedżerów reklamowane są jako zapewniające bezpieczeństwo na poziomach wymaganych w bankowości czy wojskowości. To, jak się okazuje, nieprawdziwe stwierdzenia.
Eksperci z Fraunhofera poinformowali twórców programów o swoim odkryciu. Obecnie wszystkie znalezione podczas badań błędy zostały poprawione.
Komentarze (5)
darekp, 4 marca 2017, 10:04
To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie. Jeśli ma pamiętać jakąś poufną informację i na dodatek nie pytać użytkownika o hasło przy każdym odczycie. Oczywiście klucz powinien być jakoś yntelygentnie zakodowany, ale cudów nie ma, jak ktoś ma dostęp do kodu takiego programu, to drogą inżynierii wstecznej zawsze odkoduje.
radar, 4 marca 2017, 12:00
Klucz powinien być oddzielnym plikiem, trzymanym np. na pendrivie (np. keepass) i generowanym dla każdego użytkownika oddzielnie (na żądanie), a nie "zahardkodowany" w programie. Nie rozwiązuje to oczywiście wszystkich problemów, ale to jest raczej poprawna forma implementacji.
Nie mniej jednak nigdy nie byłem przekonany do menadżerów haseł właśnie z tego powodu. Jedna słabość i wszystkie hasła "poszły w Polskę".
wilk, 4 marca 2017, 16:24
Zerować pamięć, w której przechowywano klucze/hasła przed jej zwolnieniem, nadpisywać tymczasowe pliki (flash-friendly
). Używać systemowych operacji kryptograficznych, dzięki czemu tylko dany proces ma dostęp do tych danych. Używać TPM (tak wiem o inwigilacji służb, ale bez przesady — „Kowalskim” aż tak się nikt nie interesuje, trzeba skalkulować to sobie). Problemem jest to, że większość Androidowych telefonów jest od razu rootowana przez użytkowników, więc sami robią raj dla wykradaczy haseł.
Tutaj jest to fajnie opisane: http://keepass.info/help/base/security.html
Jajcenty, 4 marca 2017, 20:33
w świecie Windows używam DPAPI - polecam. Pod linuksem jeszcze nie musiałem się w to bawić, ale sądzę że są dostępne odpowiedniki - zapewne nawet lepsze
Co do zasady działania:
https://msdn.microsoft.com/en-us/library/ms995355.aspx
c# ma fajną klasę: SecureString https://msdn.microsoft.com/en-us/library/system.security.securestring(v=vs.110).aspx
wieliczkoaneta, 29 marca 2017, 15:30
z windowsem zawsze były, są i będą problemy, luka goni lukę - a chłopaki z Microsoft widać są w tym dużo w tyle za Apple. System bezpieczeństwa informacji dla firm informatycznych, wdrożenie wszelakich zabezpieczeń nigdy nie było jakimś "konikiem" twórców windows, również by się przydało im porządne szkolenie z bezpieczeństwa informacji.
Zastanawiam się kiedy znowu coś wykryją