Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Fatalny stan zabezpieczeń menedżerów haseł

Rekomendowane odpowiedzi

Eksperci z niemieckiego Instytutu Fraunhofera przeanalizowali 9 najpopularniejszych menedżerów haseł dla Androida i odkryli luki bezpieczeństwa w każdym z nich. Niektóre z analizowanych programów przechowywały hasła w formie otwartego tekstu lub też zawierały w kodzie źródłowym klucze, pozwalające na odszyfrowanie haseł.

Badane programy to My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords oraz 1Password.

W każdym z nich znaleziono co najmniej jeden błąd. Najbardziej chyba zaskakującym odkryciem, jest wspomniany już fakt przechowywania haseł w postaci otwartego tekstu czy obecność kluczy deszyfrujących w kodzie oprogramowania. Inne popularne błędy to umożliwienie dostępu do haseł za pomocą narzędzi informatyki śledczej. Okazało się też, że większość menedżerów haseł nie chroni przed atakiem na schowek. A to oznacza, że hasła nie są usuwane ze schowka po ich skopiowaniu przez użytkownika.

Badacze uznali swoje odkrycie za alarmujące i zauważają, że niektóre z tych menedżerów reklamowane są jako zapewniające bezpieczeństwo na poziomach wymaganych w bankowości czy wojskowości. To, jak się okazuje, nieprawdziwe stwierdzenia.

Eksperci z Fraunhofera poinformowali twórców programów o swoim odkryciu. Obecnie wszystkie znalezione podczas badań błędy zostały poprawione.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

czy obecność kluczy deszyfrujących w kodzie oprogramowania

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie. Jeśli ma pamiętać jakąś poufną informację i na dodatek nie pytać użytkownika o hasło przy każdym odczycie. Oczywiście klucz powinien być jakoś yntelygentnie zakodowany, ale cudów nie ma, jak ktoś ma dostęp do kodu takiego programu, to drogą inżynierii wstecznej zawsze odkoduje.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

Klucz powinien być oddzielnym plikiem, trzymanym np. na pendrivie (np. keepass) i generowanym dla każdego użytkownika oddzielnie (na żądanie), a nie "zahardkodowany" w programie. Nie rozwiązuje to oczywiście wszystkich problemów, ale to jest raczej poprawna forma implementacji.

 

Nie mniej jednak nigdy nie byłem przekonany do menadżerów haseł właśnie z tego powodu. Jedna słabość i wszystkie hasła "poszły w Polskę".

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

 

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

 

Zerować pamięć, w której przechowywano klucze/hasła przed jej zwolnieniem, nadpisywać tymczasowe pliki (flash-friendly :D). Używać systemowych operacji kryptograficznych, dzięki czemu tylko dany proces ma dostęp do tych danych. Używać TPM (tak wiem o inwigilacji służb, ale bez przesady — „Kowalskim” aż tak się nikt nie interesuje, trzeba skalkulować to sobie). Problemem jest to, że większość Androidowych telefonów jest od razu rootowana przez użytkowników, więc sami robią raj dla wykradaczy haseł.

 

Tutaj jest to fajnie opisane: http://keepass.info/help/base/security.html

  • Pozytyw (+1) 1

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Napisano (edytowane)
To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

w świecie Windows używam DPAPI - polecam. Pod linuksem jeszcze nie musiałem się w to bawić, ale sądzę że są dostępne odpowiedniki - zapewne nawet lepsze ;) Co do zasady działania:

https://msdn.microsoft.com/en-us/library/ms995355.aspx

 

 

 

Zerować pamięć, w której przechowywano klucze/hasła przed jej zwolnieniem, nadpisywać

 

c# ma fajną klasę: SecureString https://msdn.microsoft.com/en-us/library/system.security.securestring(v=vs.110).aspx

Edytowane przez Jajcenty

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

z windowsem zawsze były, są i będą problemy, luka goni lukę - a chłopaki z Microsoft widać są w tym dużo w tyle za Apple. System bezpieczeństwa informacji dla firm informatycznych, wdrożenie wszelakich zabezpieczeń nigdy nie było jakimś "konikiem" twórców windows, również by się przydało im porządne szkolenie z bezpieczeństwa informacji.
Zastanawiam się kiedy znowu coś wykryją :D

Edytowane przez wilk
usunięta reklama

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...