Rapporten finder uh-oh-problemer i populære adgangskodeadministratorer

Sårbarheder er blevet identificeret i adgangskodeadministratorer, der kører på Windows 10. Maryland-baserede uafhængige sikkerhedsvurderere offentliggjorde en rapport tidligere på ugen, der forhindrer undersøgelsesresultater på en række populære adgangskodeadministratorer.

"I dette papir foreslår vi sikkerhedsgarantier, som adgangskodeadministratorer bør tilbyde og undersøge de underliggende funktioner for fem populære adgangskodeadministratorer, der er målrettet mod Windows 10 -platformen, " de sagde.

Skrubning af hemmeligheder fra hukommelsen, når de ikke er i brug? Det var, hvad myndighederne i første omgang havde regnet med ville være tilfældet i adgangskodeadministratorer. En "sanering af hukommelse, når en password manager blev logget ud og placeret i en låst tilstand"? Det var, hvad de forventede, også.

Så hvad skete der, da de fortsatte? De sagde, at "trivielle hemmeligheder udtrækning var mulig fra en låst password manager, herunder hovedadgangskoden i nogle tilfælde. "

Charlie Osborne i ZDNet opsummerede resultaterne, skriver, at "ISE var i stand til at udtrække disse adgangskoder og andre loginoplysninger fra hukommelsen, mens den pågældende adgangskodeadministrator var låst."

PCWorld i 2017 defineret en adgangskodeadministrator som "en app, der husker dine adgangskoder for dig og gemmer dem i et krypteret hvælving. En hovedadgangskode låser op for hvælvningen, når du skal hente en adgangskode eller oprette en ny, og gør det uden at nogen kan læse, hvad du skriver over din skulder eller spore login med en keylogger. "

Osborne sagde i et eksempel, "hovedadgangskoden, som brugerne skal bruge for at få adgang til deres cache med legitimationsoplysninger, blev gemt i PC -RAM i en ren tekst, læsbart format. "

Dette ville ikke være første gang, der er rejst bekymring for at lægge alle dine æg i en kurv. Det vil heller ikke være sidste gang, du hører alle de modargumenter, der, risiko til side, det er stadig det værd at bruge en password manager, der blev valgt omhyggeligt.

PCWorld i 2017 er bare et af mange websteder, der udtrykker den opfattelse, at "på trods af problemer med fejl og et marked oversvømmet med gode og dårlige valg, sikkerhedseksperter er enige - en sjældenhed - i, at adgangskodeadministratorer er den sikreste måde for folk at administrere deres konti. Sikkerhedsfordelene opvejer langt farerne. "

Registret i 2019 ville gå med til det, selv med resultaterne i denne nylige rapport. "Passwordadministratorer kan efterlade dine online kronjuveler 'udsat for RAM' for malware - men hej, de er stadig bedre end alternativet. "Det var dens overskrift tidligere på ugen.

Hvad er mere, de sikkerhedsmangler, der blev afsløret af ISE, blev beskrevet af Registret som "mildt sagt irriterende" og "ikke-verdensafslutende."

Denne opfattelse resonerer med, hvad 1Passwords sikkerhedsudvikler Jeffrey Goldberg fortalte PCMag i en e -mail. "Den realistiske trussel fra dette spørgsmål er begrænset, "sagde han." Ingen password manager (eller noget andet) kan love at køre sikkert på en kompromitteret computer. "

"Rapporten tyder på ingen måde på, at du ikke bør bruge en adgangskodeadministrator, "sagde Nichols.

At være sikker, forfatterne var ganske klare på, at deres fund ikke understøttede nogen konklusioner om, at password -ledere ikke kun var ubrugelige, men også risikable. "Først og fremmest, "sagde ISE -forfatterne, "Adgangskodeadministratorer er en god ting. Alle adgangskodeadministratorer, vi har undersøgt, tilføjer værdi til sikkerhedsstillingen for hemmelighedsstyring, og som Troy Hunt, skrev en aktiv sikkerhedsforsker engang, 'Adgangskodeadministratorer behøver ikke at være perfekte, de skal bare være bedre end ikke at have en. "

Deres hensigt i avisen var ikke "at kritisere specifikke password manager -implementeringer, "men snarere" at fastlægge en rimelig minimumsbaseline, som alle adgangskodeadministratorer bør overholde. "

Alt i alt, man ser på et password manager -problem med hovedsageligt "sikker hukommelsesstyring".

Shaun Nichols i Registret så en rød tråd blandt fire adgangskodeadministratorer, der efterlod adgangskoder - "enten hovedadgangskoden eller individuelle legitimationsoplysninger - tilgængelige i hukommelsen. Dette vil muligvis tillade malware på et system, særlig malware med administratorrettigheder, for at få disse adgangskoder. "

Rapportforfatterne påpegede i deres konklusioner, at "Hver password manager også forsøgte at skrubbe hemmeligheder fra hukommelsen. Men resterende buffere forblev, der indeholdt hemmeligheder, sandsynligvis på grund af hukommelseslækager, mistede hukommelsesreferencer, eller komplekse GUI -rammer, der ikke udsætter interne hukommelsesstyringsmekanismer til at desinficere hemmeligheder. "

Paul Lilly i HotHardware kommenterede. "Takeaway ser ud til at være, at det stadig er klogt at bruge en adgangskodeadministrator, men der er plads til forbedringer. "

Trusselpost , imens, båret antal betydelige svar fra password manager -virksomheder.

Sandor Palfy, CTO hos LastPass, sagde den sårbarhed, ISE fremhævede, var til stede i en "ældre" Windows -applikation, og at LastPass password manager allerede har modtaget en opdatering for at minimere risikoen.

Emmanuel Schalit, CEO for Dashlane, sagde, når enheden er kompromitteret, en angriber vil ende med at have adgang til noget på enheden, og der er ingen måde at effektivt forhindre det.

ISE havde en række anbefalinger, ifølge PCMag . Blandt deres råd var (1) brug velrenommerede antivirusprodukter (2) luk en password manager helt ned, når du er færdig med det.

© 2019 Science X Network