Er zijn kwetsbaarheden vastgesteld in wachtwoordmanagers die op Windows 10 draaien. De in Maryland gevestigde Independent Security Evaluators publiceerden eerder deze week een rapport waarin de onderzoeksresultaten van een aantal populaire wachtwoordmanagers werden onthuld.

"In dit artikel stellen we beveiligingsgaranties voor die wachtwoordmanagers moeten bieden en onderzoeken we de onderliggende werking van vijf populaire wachtwoordmanagers die zich richten op het Windows 10-platform. " ze zeiden.

Geheimen uit het geheugen wissen als ze niet in gebruik zijn? Dat is wat de autoriteiten aanvankelijk hadden verwacht dat het geval zou zijn bij wachtwoordmanagers. Een "opschoning van het geheugen nadat een wachtwoordbeheerder was uitgelogd en in een vergrendelde toestand werd geplaatst"? Dat hadden ze verwacht, te.

Dus wat gebeurde er toen ze verder gingen? Ze zeiden dat "triviale geheimen extractie mogelijk was vanuit een vergrendelde wachtwoordbeheerder, inclusief in sommige gevallen het hoofdwachtwoord."

Charlie Osborne in ZDNet de bevindingen samengevat, schrijven dat "ISE deze wachtwoorden en andere inloggegevens uit het geheugen kon halen terwijl de betreffende wachtwoordbeheerder was vergrendeld."

Computer wereld in 2017 definieerde een wachtwoordbeheerder als "een app die uw wachtwoorden voor u onthoudt en opslaat in een gecodeerde kluis. Eén hoofdwachtwoord ontgrendelt de kluis wanneer u een wachtwoord moet ophalen of een nieuw wachtwoord moet maken, en doet het zonder dat iemand over je schouder kan lezen wat je typt of de login kan volgen met een keylogger."

Osborne zei in een voorbeeld:"het hoofdwachtwoord dat gebruikers moeten gebruiken om toegang te krijgen tot hun cache met inloggegevens, werd in platte tekst opgeslagen in het pc-RAM, leesbaar formaat."

Dit zou niet de eerste keer zijn dat er zorgen zijn geuit over het leggen van al uw eieren in één mand. Het zal ook niet de laatste keer zijn dat je alle tegenargumenten hoort dat, risico terzijde, het is nog steeds de moeite waard om een ​​zorgvuldig gekozen wachtwoordbeheerder te gebruiken.

Computer wereld in 2017 is slechts een van de vele sites die de mening uiten dat "ondanks problemen met bugs en een markt die wordt overspoeld met goede en slechte keuzes, beveiligingsexperts zijn het erover eens - een zeldzaamheid - dat wachtwoordmanagers de veiligste manier zijn voor mensen om hun accounts te beheren. De veiligheidsvoordelen wegen ruimschoots op tegen de risico's."

Het register in 2019 daarmee instemt, zelfs met de bevindingen in dit recente rapport. "Wachtwoordbeheerders kunnen uw online kroonjuwelen 'blootgesteld in RAM' achterlaten aan malware - maar hey, ze zijn nog steeds beter dan het alternatief." Dat was de kop eerder deze week.

Wat is meer, de beveiligingstekortkomingen die door ISE aan het licht zijn gekomen, zijn beschreven door: Het register als "mild vervelend" en "niet-wereldbeëindigend."

Die mening resoneert met wat 1Password's beveiligingsontwikkelaar Jeffrey Goldberg vertelde PCMag in een e-mail. "De realistische dreiging van deze kwestie is beperkt, " verklaarde hij. "Geen enkele wachtwoordbeheerder (of iets anders) kan beloven om veilig te werken op een gecompromitteerde computer."

"Het rapport suggereert op geen enkele manier dat u geen wachtwoordbeheerder zou moeten gebruiken, ' zei Nichols.

Om zeker te zijn, de auteurs waren vrij duidelijk dat hun bevindingen geen enkele conclusie ondersteunde dat wachtwoordmanagers niet alleen nutteloos maar ook riskant waren. "Eerst en vooral " zeiden de ISE-auteurs, "wachtwoordmanagers zijn een goede zaak. Alle wachtwoordmanagers die we hebben onderzocht, voegen waarde toe aan de beveiligingshouding van geheimenbeheer, en als Troy Hunt, een actieve beveiligingsonderzoeker schreef ooit:'Wachtwoordmanagers hoeven niet perfect te zijn, ze moeten gewoon beter zijn dan er geen te hebben."

Hun bedoeling in de krant was niet "om specifieke implementaties van wachtwoordmanagers te bekritiseren, " maar eerder "om een ​​redelijke minimale basislijn vast te stellen waaraan alle wachtwoordbeheerders zouden moeten voldoen."

Globaal genomen, een daarvan kijkt naar een probleem met wachtwoordbeheer dat voornamelijk "veilig geheugenbeheer" betreft.

Shaun Nichols in Het register zag een rode draad tussen vier wachtwoordbeheerders die wachtwoorden - "het hoofdwachtwoord of individuele inloggegevens - toegankelijk maakten in het geheugen. Dit zou mogelijk malware op een systeem toelaten, bepaalde malware met beheerdersrechten, om die wachtwoorden te verkrijgen."

De auteurs van het rapport wezen er in hun conclusies op dat "Elke wachtwoordbeheerder ook probeerde geheimen uit het geheugen te wissen. Maar er bleven resterende buffers over die geheimen bevatten, waarschijnlijk als gevolg van geheugenlekken, verloren geheugenreferenties, of complexe GUI-frameworks die interne geheugenbeheermechanismen niet blootleggen om geheimen te zuiveren."

Paul Lilly in HotHardware commentaar. "De afhaalmaaltijd lijkt te zijn dat het gebruik van een wachtwoordmanager nog steeds verstandig is, maar er is ruimte voor verbetering."

Dreigingspost , In de tussentijd, leverde een aantal significante reacties op van wachtwoordbeheerders.

Sandor Palfy, CTO bij LastPass, zei dat de door ISE benadrukte kwetsbaarheid aanwezig was in een "legacy" Windows-applicatie, en dat de LastPass-wachtwoordbeheerder al een update heeft ontvangen om het risico te minimaliseren.

Emmanuel Schalit, CEO van Dashlane, zei zodra het apparaat is gecompromitteerd, een aanvaller krijgt uiteindelijk toegang tot alles op het apparaat en er is geen manier om dit effectief te voorkomen.

ISE had een aantal aanbevelingen, volgens PCMag . Een van hun adviezen was (1) gebruik gerenommeerde antivirusproducten (2) sluit een wachtwoordbeheerder volledig af als je er klaar mee bent.

© 2019 Wetenschap X Netwerk