par Martin Brinkmann, le 20 février 2019 en matière de Sécurité – 3 commentaires
Quel serait le résultat si vous analysez comment les gestionnaires de mots de passe protéger les informations sensibles comme le maître-mot de passe ou des mots de passe stockés; c’est ce que Indépendants de Sécurité les Évaluateurs ont cherché à savoir dans leur analyse de cinq populaires gestionnaires de mots de passe s’exécutant sur Microsoft Windows 10 plate-forme.
Le papier Gestionnaires de mots de Passe: Sous le Capot de Secrets Gestion examiné la façon dont les gestionnaires de mots de passe 1Password, Dashlane, KeePass et LastPass poignée de secrets, et si il est possible de récupérer des informations sensibles.
Les chercheurs ont analysé des trois états “ne fonctionne pas”, “état déverrouillé”, et “verrouillé”. Les principales conclusions étaient que tous les gestionnaires de mots de passe protégés de données très bien dans pas en cours d’exécution de l’état.
Pas en cours d’exécution renvoie expressément à une séance dans laquelle il est installé, gestionnaire de mot de passe n’a pas été lancé ou résilié par l’utilisateur après le lancement.
État verrouillé décrit un état dans lequel le maître-mot de passe n’a pas encore été saisie, ou dans laquelle le gestionnaire de mot de passe a été verrouillé par l’utilisateur ou automatiquement.
Les chercheurs ont découvert que tous les gestionnaires de mots de passe fuites de données dans de déverrouillage et de verrouillage dans certaines circonstances. Les gestionnaires de mots de passe 1Password et LastPass fui le Maître-Mot de passe de déverrouillage et de verrouillage, Dashlane tous les documents stockés, et KeePass les mots de passe et autres informations sensibles de l’utilisateur interagit avec elle.
Les chercheurs ont constaté que tous les gestionnaires de mots de passe ont été sensibles à la capture ou le presse-papiers en reniflant les attaques.
Comment sévères sont les problèmes?
Les problèmes découverts dans les gestionnaires de mots de passe du son très sévère au premier abord. Les fuites de données sensibles est certainement un problème et certaines entreprises pourraient certainement faire mieux quand il s’agit de cela.
La bonne nouvelle, c’est que les attaques nécessitent un accès local ou l’accès à un système compromis à exploiter la question. Il est en outre nécessaire de cibler spécifiquement cette question qui n’a de sens que pour des attaques ciblées ou si le mot de passe d’utilisation augmente à un point où il est assez lucratif pour exploiter la question.
Dans le cas de KeePass, l’utilisateur devra avoir interagi avec les entrées de mot de passe pour être exposés dans la mémoire du système.
L’auteur de KeePass noté il y a quelques temps que le système d’exploitation Windows peut créer des copies en mémoire que KeePass a aucun contrôle.
Windows et .NET peut faire des copies des données (dans les processus de mémoire) qui ne peuvent pas être effacées par KeePass.
La Protection de l’
KeePass les utilisateurs peuvent en outre de protéger leurs données contre les attaques en modifiant les préférences de l’application.
- Allez dans Outils > Options > Options de Sécurité.
- Cochez la case “Verrouiller l’espace de travail après KeePass inactivité” et réglez la période souhaitée, par exemple de 300 secondes.
- Cochez la case “Verrouiller l’espace de travail après le mondial de l’inactivité de l’utilisateur (en secondes)”, et de définir une période souhaitée, par exemple de 300 secondes.
- Assurez-vous de “presse-papiers auto-clair du temps (secondes, l’entrée principale de la liste)” est cochée.
- Cochez la case “Toujours quitter la place de verrouillage de l’espace de travail”. L’option se termine KeePass au lieu de la fermeture.
Ces paramètres près KeePass automatiquement de l’inactivité et de protéger toutes les données non autorisé à la mémoire de l’espionnage. L’inconvénient de cette est que vous devez redémarrer le programme lorsque vous avez besoin de nouveau.
Découvrez mon guide sur l’amélioration de KeePass sécurité ici.
KeePass les utilisateurs pourraient aussi envisager d’organiser des KeePass dans un bac à sable, par exemple à l’aide de Sandboxie, ou un environnement virtuel.
Je n’utilise pas les autres gestionnaires de mots de passe et ne peut pas dire si elles offrent des fonctionnalités similaires.
Maintenant, Vous: mot de passe manager utilisez-vous?