Populære Password Managers blev fundet lækker adgangskoder

Passwords Det kan ikke være nemt at huske, og hårde adgangskoder er svært at huske. For at komme rundt om dette problem bruger de fleste af os normalt en Password Manager som vil kryptere og gemme alle vores legitimationsoplysninger og vil komme ind på samme som og når det er nødvendigt. Alle adgangskoderne er bevogtet af et hovedadgangskode, og også nogle tjenester tilbyder tofaktorautentificering for en ekstra sikkerhed. Men er dine adgangskoder sikkert og sikre med Password Managers?

Password Managers fandt lækre adgangskoder
Password Managers fandt lækre adgangskoder

SIK Team udførte en sikkerhedsanalyse på populære adgangskodeforvaltere, og resultatet var faktisk bekymrende. Analysen viste tydeligt, hvordan Password Managers undlader at beskytte dataene ved at håndhæve tilstrækkelige sikkerhedsmekanismer. Tværtimod blev det fastslået, at de fleste af Password Managers misbruger brugernes tillid og udsætter dem for en højere risiko.

Følgende apps, blandt flere andre, blev fundet brudt - MyPasswords, Informaticore Password Manager, LastPass, Keeper, Avast Passwords, 1Password, F-Secure Key Password Manager og Dashlane Password Manager.

Forskerne fandt en række implementeringsfejl, som resulterede i nogle alvorlige sikkerhedsmutter. I en af ​​tilfældene fandt forskerne ud af, at apps lagrede adgangskoderne i plaintext / crypto-algoritmen og dermed kunne få adgang til alle adgangskoder / legitimationsoplysninger.

I endnu et tilfælde kunne forskerne bruge noget kaldet "restangreb"For at få adgang til hovednøglen, der er gemt i applikationen. Den værste del er, at der ikke kræves root tilladelser til det samme, og dette gav fuldstændig adgang til følsomme oplysninger, herunder masternøglen. Det blev yderligere opdaget, at mange af applikationerne har blindt øje med problemet med tastatursnusning, hvor auto-fill-funktionalitet kan bruges til at stjæle de lagrede hemmeligheder fra adgangskodeforvalterne.

Men de fleste af adgangskodeadministratorer bruger deres helt egen webbrowser, når det kommer til adgangskodefyldningsformer, men disse browsere var modtagelige for data lækage og brud.

Alle rapporterede sårbarheder er rettet af sælgerne nu, siger rapporten.

Kilde

Efterlad en kommentar