Kredit:CC0 Public Domain
Sårbarheter har identifierats i lösenordshanterare som körs på Windows 10. Maryland-baserade Independent Security Evaluators publicerade en rapport tidigare i veckan med undersökningsresultat för ett antal populära lösenordshanterare.
"I det här dokumentet föreslår vi säkerhetsgarantier som lösenordshanterare bör erbjuda och undersöka de underliggande funktionerna hos fem populära lösenordshanterare som är inriktade på Windows 10-plattformen, " sa de.
Skrubbar du hemligheter från minnet när de inte används? Det är vad myndigheterna från början hade räknat med skulle vara fallet i lösenordshanterare. En "sanering av minnet när en lösenordshanterare loggats ut och placerats i ett låst tillstånd"? Det var vad de förväntade sig, för.
Så vad hände när de fortsatte? De sa att "utvinning av triviala hemligheter var möjlig från en låst lösenordshanterare, inklusive huvudlösenordet i vissa fall."
Charlie Osborne in ZDNet sammanfattade resultaten, skriver att "ISE kunde extrahera dessa lösenord och andra inloggningsuppgifter från minnet medan lösenordshanteraren i fråga var låst."
PCWorld 2017 definierade en lösenordshanterare som "en app som kommer ihåg dina lösenord åt dig och lagrar dem i ett krypterat valv. Ett huvudlösenord låser upp valvet när du behöver hämta ett lösenord eller skapa ett nytt, och gör det utan att någon kan läsa vad du skriver över axeln eller spåra inloggningen med en keylogger."
Osborne sa i ett exempel, "huvudlösenordet som användare behöver använda för att komma åt sin cache med autentiseringsuppgifter lagrades i PC RAM i klartext, läsbart format."
Det här skulle inte vara första gången som det har väckts oro över att lägga alla dina ägg i en korg. Det kommer inte heller att vara sista gången du hör alla motargument som risk åt sidan, det är fortfarande värt det att använda en lösenordshanterare som är noggrant vald.
PCWorld 2017 är bara en av många sajter som uttrycker åsikten att "trots problem med buggar och en marknad översvämmad med bra och dåliga val, säkerhetsexperter är överens – en sällsynthet – att lösenordshanterare är det säkraste sättet för människor att hantera sina konton. Säkerhetsfördelarna överväger vida riskerna."
Registret 2019 skulle gå med på det, även med resultaten i den här senaste rapporten. "Lösenordshanterare kan lämna dina kronjuveler online "exponerade i RAM" för skadlig programvara – men hallå, de är fortfarande bättre än alternativet." Det var dess rubrik tidigare i veckan.
Vad är mer, de säkerhetsbrister som avslöjades av ISE beskrevs av Registret som "lätt irriterande" och "icke-världsslutande".
Den uppfattningen resonerar med vad 1Passwords säkerhetsutvecklare Jeffrey Goldberg berättade PCMag i ett mejl. "Det realistiska hotet från denna fråga är begränsat, ", sade han. "Ingen lösenordshanterare (eller något annat) kan lova att köra säkert på en komprometterad dator."
"Rapporten föreslår inte på något sätt att du inte ska använda en lösenordshanterare, sa Nichols.
För att vara säker, författarna var ganska tydliga med att deras resultat inte stödde några slutsatser om att lösenordshanterare inte bara var värdelösa utan också riskabla. "Först och främst, " sa ISE-författarna, "lösenordshanterare är en bra sak. Alla lösenordshanterare vi har undersökt tillför värde till säkerhetsställningen för hemlighetshantering, och som Troy Hunt, en aktiv säkerhetsforskare skrev en gång, "Lösenordshanterare behöver inte vara perfekta, de måste bara vara bättre än att inte ha en."
Deras avsikt i tidningen var inte "att kritisera specifika implementeringar av lösenordshanteraren, " utan snarare "att fastställa en rimlig minimibas som alla lösenordshanterare bör följa."
Allt som allt, man tittar på ett problem med lösenordshanteraren, främst "säker minneshantering".
Shaun Nichols in Registret såg en röd tråd bland fyra lösenordshanterare som lämnade lösenord – "antingen huvudlösenordet eller individuella referenser - tillgängliga i minnet. Detta skulle potentiellt tillåta skadlig programvara på ett system, särskild skadlig programvara med administratörsrättigheter, för att få dessa lösenord."
Rapportförfattarna påpekade i sina slutsatser att "Varje lösenordshanterare försökte också skrubba hemligheter från minnet. Men kvarvarande buffertar fanns kvar som innehöll hemligheter, troligen på grund av minnesläckor, förlorade minnesreferenser, eller komplexa GUI-ramverk som inte exponerar interna minneshanteringsmekanismer för att sanera hemligheter."
Paul Lilly in HotHardware kommenterade. "Uttaget verkar vara att det fortfarande är klokt att använda en lösenordshanterare, men det finns utrymme för förbättringar."
Hotpost , under tiden, tog med sig ett antal betydande svar från lösenordshanterarföretag.
Sandor Palfy, CTO på LastPass, sa att sårbarheten som lyfts fram av ISE fanns i en "legacy" Windows-applikation, och att LastPass lösenordshanteraren redan har fått en uppdatering för att minimera risken.
Emmanuel Schalit, VD för Dashlane, sa när enheten har äventyrats, en angripare kommer att få tillgång till vad som helst på enheten och det finns inget sätt att effektivt förhindra det.
ISE hade ett antal rekommendationer, enligt PCMag . Bland deras råd var (1) använd välrenommerade antivirusprodukter (2) stäng av en lösenordshanterare helt när du är klar med den.
© 2019 Science X Network