Менеджеры паролей не так безопасны, как кажется

Исследователи в области безопасности из ISE провели проверку менеджеров паролей. В исследовании принимали участие приложения 1Password 7 и 4, KeePass, LastPass и Dashline. Оказалось, что все они имеют уязвимости при работе с памятью, которые позволяют атакующим иметь доступ к секретным данным.

Исследователи отметили, что пользователи полагаются на менеджеры паролей в поисках безопасности и в попытках уйти от хранения паролей в открытом виде. Проводя анализ, они ожидали увидеть от менеджеров паролей хотя бы базовые функции безопасности, такие как очистку секретов из памяти, когда они не используются, и удаление из памяти при выходе из базы и блокировке приложения.

Компьютерная безопасность
Компьютерная безопасность

Однако аналитики установили, что все проверенные менеджеры паролей допускают возможность простого доступа к данным, включая доступ к супер паролю. Таким образом, подвергаются опасности 60 миллионов пользователей.

Отмечено, что в некоторых случаях суперпароль для доступа к базе хранится в ОЗУ в открытом виде. Имея соответствующее шпионское ПО можно просканировать память, и с лёгкостью заполучить доступ ко всей базе данных.

Сводная таблица уязвимостей менеджеров паролей
Сводная таблица уязвимостей менеджеров паролей

Другие же менеджеры, такие как LastPass и 1Password4, скрывают мастер-пароль. Однако как только менеджер входит в разблокированное состояние, записи базы данных расшифровываются в память, но только при взаимодействии с пользователем. К сожалению, записи остаются в памяти даже после того, как LastPass переведен обратно в заблокированное состояние.

В общем, аналитики отметили, что все менеджеры паролей уязвимы перед кейлогерами и перехватчиками буфера обмена. Все они далеки от идеала безопасности, но всё же лучше простого файла.