Fatalny stan zabezpieczeń menedżerów haseł

[KopalniaWiedzy.pl 318]

Eksperci z niemieckiego Instytutu Fraunhofera przeanalizowali 9 najpopularniejszych menedżerów haseł dla Androida i odkryli luki bezpieczeństwa w każdym z nich. Niektóre z analizowanych programów przechowywały hasła w formie otwartego tekstu lub też zawierały w kodzie źródłowym klucze, pozwalające na odszyfrowanie haseł.

Badane programy to My Passwords, Informaticore Password Manager, LastPass, Keeper, F-Secure KEY, Dashlane, Hide Pictures Keep Safe Vault, Avast Passwords oraz 1Password.

W każdym z nich znaleziono co najmniej jeden błąd. Najbardziej chyba zaskakującym odkryciem, jest wspomniany już fakt przechowywania haseł w postaci otwartego tekstu czy obecność kluczy deszyfrujących w kodzie oprogramowania. Inne popularne błędy to umożliwienie dostępu do haseł za pomocą narzędzi informatyki śledczej. Okazało się też, że większość menedżerów haseł nie chroni przed atakiem na schowek. A to oznacza, że hasła nie są usuwane ze schowka po ich skopiowaniu przez użytkownika.

Badacze uznali swoje odkrycie za alarmujące i zauważają, że niektóre z tych menedżerów reklamowane są jako zapewniające bezpieczeństwo na poziomach wymaganych w bankowości czy wojskowości. To, jak się okazuje, nieprawdziwe stwierdzenia.

Eksperci z Fraunhofera poinformowali twórców programów o swoim odkryciu. Obecnie wszystkie znalezione podczas badań błędy zostały poprawione.

« powrót do artykułu

[darekp 80]

 

 

czy obecność kluczy deszyfrujących w kodzie oprogramowania

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie. Jeśli ma pamiętać jakąś poufną informację i na dodatek nie pytać użytkownika o hasło przy każdym odczycie. Oczywiście klucz powinien być jakoś yntelygentnie zakodowany, ale cudów nie ma, jak ktoś ma dostęp do kodu takiego programu, to drogą inżynierii wstecznej zawsze odkoduje.

[radar 103]

 

 

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

Klucz powinien być oddzielnym plikiem, trzymanym np. na pendrivie (np. keepass) i generowanym dla każdego użytkownika oddzielnie (na żądanie), a nie "zahardkodowany" w programie. Nie rozwiązuje to oczywiście wszystkich problemów, ale to jest raczej poprawna forma implementacji.

 

Nie mniej jednak nigdy nie byłem przekonany do menadżerów haseł właśnie z tego powodu. Jedna słabość i wszystkie hasła "poszły w Polskę".

[wilk 103]

 

 

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

 

Zerować pamięć, w której przechowywano klucze/hasła przed jej zwolnieniem, nadpisywać tymczasowe pliki (flash-friendly ). Używać systemowych operacji kryptograficznych, dzięki czemu tylko dany proces ma dostęp do tych danych. Używać TPM (tak wiem o inwigilacji służb, ale bez przesady — „Kowalskim” aż tak się nikt nie interesuje, trzeba skalkulować to sobie). Problemem jest to, że większość Androidowych telefonów jest od razu rootowana przez użytkowników, więc sami robią raj dla wykradaczy haseł.

 

Tutaj jest to fajnie opisane: http://keepass.info/help/base/security.html

[Jajcenty 314]

To ja jestem ciekaw jak inaczej można coś zaszyfrować w takim programie.

w świecie Windows używam DPAPI - polecam. Pod linuksem jeszcze nie musiałem się w to bawić, ale sądzę że są dostępne odpowiedniki - zapewne nawet lepsze Co do zasady działania:

https://msdn.microsoft.com/en-us/library/ms995355.aspx

 

 

 

Zerować pamięć, w której przechowywano klucze/hasła przed jej zwolnieniem, nadpisywać

 

c# ma fajną klasę: SecureString https://msdn.microsoft.com/en-us/library/system.security.securestring(v=vs.110).aspx

Edytowane 4 marca 2017 przez Jajcenty

[wieliczkoaneta 0]

z windowsem zawsze były, są i będą problemy, luka goni lukę - a chłopaki z Microsoft widać są w tym dużo w tyle za Apple. System bezpieczeństwa informacji dla firm informatycznych, wdrożenie wszelakich zabezpieczeń nigdy nie było jakimś "konikiem" twórców windows, również by się przydało im porządne szkolenie z bezpieczeństwa informacji.
Zastanawiam się kiedy znowu coś wykryją

Edytowane 29 marca 2017 przez wilk
usunięta reklama