En ny undersøgelse af den sande sikkerhedssituation af password storage service har afdækket en svøbe af sårbarheder, som kan føre til tyveri af værdifuld brugerlegitimationsoplysninger — men dette betyder ikke at du skal opgive din favorit password manager enhver tid snart.
Uafhængig Sikkerhed Evaluatorer (ISE) offentliggjort en vurdering på tirsdag, som dokumenteret resultaterne af forsøg med 1adgangskode, Dashlane, KeePass og LastPass, som alle er populære adgangskode ledere til rådighed i dag.
1Password4 for Windows-version 4.6.2.626, 1Password7 for Windows 7.2.576, Dashlane for Windows v. 6.1843.0, KeePass Password Safe v. 2.40, og LastPass for Applikationer version 4.1.59 blev testet.
De Bedste Password Ledere af 2019 CNET
Holdet sagde, at hver password management løsning “kunne ikke give sikkerhed for at sikre en brugers adgangskoder, som er annonceret” og “grundlæggende mangler” blev fundet, at der “udsættes for de data, som de er designet til at beskytte.”
De sårbarheder, der findes i softwaren, der opererer på Windows-10 systemer. I et eksempel, master-password, som brugerne skal bruge til at få adgang til deres cache af legitimationsoplysninger, der er gemt i PC-RAM i en almindelig tekst, er læsbart format.
“Brugere ledes til at tro, de oplysninger, der er sikkert, når det password manager er låst,” ISE siger. “Skønt, når master password er til rådighed for angriberen, de kan dekryptere password manager-database — de gemte hemmeligheder, brugernavne og adgangskoder”.
ISE var i stand til at udtrække disse passwords og andre loginoplysninger fra hukommelsen, mens password manager i spørgsmål var låst. Det kan være muligt, at skadelige programmer, der er downloadet til den samme maskine ved trussel aktører kunne gøre det samme.
De vigtigste resultater baseret på hver enkelt password management-løsning er nedenfor:
1Password4: ISE siger “rimelig” beskyttelse er på plads i låst op stater, men når der er en overgang fra en låst op til en låst tilstand, master password efter sigende forbliver i hukommelsen, når ulåst — trods en vis uklarhed — og-software ikke krat denne master password tilstrækkeligt før overgangen er afsluttet.
Men, når en bruger får adgang til forskellige angivelser i softwaren, ukrypterede adgangskoder ryddes fra hukommelsen, før en anden er indlæst.
“Vi har også fundet en fejl, hvor, under visse brugerens handlinger, master-adgangskode kan blive siddende i hukommelsen i klartekst selv, mens låst,” ISE siger.
1Password7: Den aktuelle version af softwaren, i den sikkerhed, forsker ‘ s mening, er et “mindre sikker” end den ældre version. I stedet for kun at holde et indlæg på et tidspunkt i hukommelsen, denne version af 1adgangskode dekrypteret alle individuelle adgangskoder i en database ved at teste, og heller ikke krat individuelle adgangskoder, master-password, eller hemmelig nøgle, der bruges til at udlede den krypteringsnøgle, når man bevæger sig fra låst tilstand til låst.
“Det gør det “lock” – knappen ineffektiv; fra et sikkerhedsmæssigt synspunkt, efter oplåsning og hjælp 1Password7, brugeren skal afslutte den software helt i orden at slette følsomme oplysninger fra hukommelsen, som at låse bør,” forskerne tilføjet.
Jeffrey Goldberg, 1adgangskode ‘ s “Chief Forsvarer Mod mørkets kræfter,” sagde:
“Dette er et velkendt problem, der er blevet offentligt diskuteret mange gange før, men nogen plausible kuren kan være værre end sygdommen. Fastsættelse af denne bestemt problem introducerer nye, større sikkerhed risici, og så har vi valgt at holde med den sikkerhed, som ydes af høj-niveau styring af hukommelse, selv hvis det betyder, at vi ikke kan klare hukommelse med det samme.
På lang sigt, kan vi ikke behøver at foretage en sådan afvejning. Men i betragtning af de værktøjer og teknologier til rådighed, vi har haft til at træffe en beslutning om, hvordan man bedst til at holde vores brugere sikkert. Jeg står ved vores beslutning.
Den realistiske trussel fra dette spørgsmål er begrænset. En angriber, som er i en position til at udnytte denne information i hukommelsen er allerede i en meget magtfuld position. Ingen password manager (eller noget andet) kan love til at køre sikkert på en kompromitteret computer.”
Dashlane: I Dashlane sag, siger forskerne, at hukommelse/string, GUI ledelse, og arbejdsgange, der blev gennemført for at reducere risikoen for legitimationsoplysninger udvinding. Kun én aktiv indlæg nogensinde blev udsat i RAM, men ISE tilføjede, at når poster er opdateret, Dashlane udsætter “den hele databasen af almindelig tekst i hukommelsen, og det er stadig der, selv efter Dashlane er logget af eller låst.”
En Dashlane talsmand fortalte ZDNet:
“Det er også korrekt, at hvis en hacker har fuld kontrol over en enhed på den laveste operativsystemer niveau, de kan læse enhver og alle oplysninger på enheden. Dette er ikke tilfældet, bare med Dashlane eller med adgangskode ledere, men af software eller faktisk enhver enhed, der gemmer digitale oplysninger.
Af den årsag er det generelt er godt kendt i verden af cybersecurity, at ovenstående scenarie er en ekstrem, i den forstand, at ingen mekanisme, der kan beskytte digitale oplysninger om en enhed, hvis enheden er allerede helt kompromitteret.”
Se også: Key takeaways fra fældende BRITISKE rapport om Facebook ‘ s world of “digital gangstere”
KeePass: KeePass scrubs master password fra hukommelsen og ikke kan refunderes. Imidlertid fejl i de arbejdsgange tilladt forskere fra udvinding credential poster, som har været sammen med. I tilfælde af Windows-Api ‘ er, til tider, forskellige hukommelse buffere, som indeholder dekrypteret poster kan ikke blive fjernet korrekt.
KeePass fortalte ZDNet, at det, forskerne fandt ud af “er en velkendt og dokumenteret begrænsning af processen hukommelse beskyttelse.”
Virksomhedens sikkerhed retningslinjer sige:
“For nogle operationer, KeePass skal gøre følsomme data til rådighed unencryptedly i processen hukommelse. For eksempel, for at vise en adgangskode i feltet standard listevisning kontrol, der leveres af Windows, KeePass skal levere cellens indhold (password) som ukrypteret string (medmindre skjule hjælp stjerner er aktiveret).
Operationer, der resulterer i ikke-krypteret data i hukommelsen omfatter, men er ikke begrænset til: at vise data (ikke stjerner) i standard kontroller, at søge data, udskiftning af pladsholdere (under auto-type, drag&drop, kopiere til udklipsholder, …), import/eksport (undtagen KDBX).
Windows og .NET kan lave kopier af data (i den proces, memory), som ikke kan slettes ved at KeePass.”
LastPass: LastPass slører master password, mens brugere, der skriver i det indlæg, og når password manager ind i en ulåst tilstand, database poster er kun dekrypteres i hukommelsen, når der er interaktion fra brugeren. Men ISE rapporteret, at disse poster fortsætter i hukommelsen, efter at softwaren går ind i en låst tilstand. Det var også muligt for forskere at udtrække master password og interagerede med password poster på grund af en hukommelsesfejl.
LastPass CTO Sandor Palfy sagde:
“Denne særlige sårbarhed, i LastPass for Applikationer, vores arv, lokale Windows-Program (som tegner sig for mindre end .2 procent af alle LastPass brug) blev bragt til vores opmærksomhed ved at forskere gennem vores Bug Bounty Program.
For at læse mindet om en ansøgning, en angriber nødt til at have lokal adgang og administratorrettigheder til kompromitteret computer. Vi har allerede implementeret ændringer til LastPass for Applikationer, der er designet til at afhjælpe og minimere risikoen for potentielle angreb er beskrevet i denne rapport.
For at mindske risikoen for, at kompromis mens LastPass for Programmer er i en låst tilstand, LastPass for Ansøgninger vil nu lukke programmet, når brugeren logger ud, rydde hukommelsen og ikke efterlader noget bag.”
En patch til at løse problemet har også været udgivet.
TechRepublic: år 2018 var den anden mest aktive år på record for brud på datasikkerheden, siger rapporten
“Dette dokument, er ikke beregnet til at kritisere specifikke password manager implementeringer, men det er for at etablere et rimeligt minimum, baseline, som alle password ledere bør overholde,” ISE siger. “Det er klart, at der bliver gjort forsøg på at skrubbe og følsom hukommelse i alle password ledere. Men hver password manager fejler i at implementere korrekt hemmeligheder desinficering af forskellige årsager.”
På trods af disse problemer, er det værd at bemærke, at i en verden, hvor brute-force-angreb kan være automatiserede og er hverdagskost, en password-manager, er stadig et bedre alternativ end at bruge den samme enkle, nemme at knække passwords på tværs af bestyrelsen.
I form af risikofaktorer, du er i større risiko for ved hjælp af simple passwords end et ondsindet program at gå på kompromis en hjemme-PC-med det ene formål at vaskning RAM til dokumentation af en password manager er i spil.
CNET: Facebook står over spørgsmål fra lovgiverne om beskyttelse af personlige oplysninger for sundhed grupper
Mens password manager software-udviklere bør være opmærksom på disse potentielle sikkerhedsrisici, ikke alle har gennemgået rapporten med et venligt øje. Ifølge Cyberscoop, ISE forsker Adrian Bednarek blev fjernet fra bug bounty hunter platform Bugcrowd på grundlag af “uautoriseret videregivelse” efter at have afsløret den LastPass fejl til en journalist forud for rapporten bliver offentliggjort.
Tidligere og relaterede dækning
Google Earth ved et uheld afslører hemmelige militære anlæg
Denne malware bliver ATM kapring i en slot maskine spil
Tusindvis af Android-apps løbende registrering af din online aktivitet for annoncemålretning
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre