Studiul Managerului de parole arată că parolele pot fi expuse atacatorilor
- Categorie: Securitate
Utilizarea unui manager de parole este una dintre puținele opțiuni pe care trebuie să le asigurați pentru a vă securiza toate conturile online cu parole sigure, imposibil de ghicit.
Motivul principal pentru aceasta este că majoritatea utilizatorilor de internet consideră imposibil să-și amintească parole sigure pentru zeci sau chiar sute de servicii web, cu excepția cazului în care folosesc reguli de bază simple sau folosesc aceeași parolă în mod repetat.
În timp ce browserele web, cum ar fi Firefox sau Google Chrome, pun la dispoziție o multitudine de manageri de parole, de obicei se ajunge la selectarea unui manager de parole care oferă funcțiile pe care le solicitați.
Securitatea reală a managerului de parole, modul în care gestionează parolele, atunci când le trimite pe servere și când nu, nu este cu adevărat transparentă de cele mai multe ori.
Un studiu recent „Managerii de parole care expun parolele peste tot” de Marc Blanchou și Paul Youn din Isecpartners a analizat modul în care administratorii de parole bazate pe browser interacționează cu site-urile web atunci când sunt activate.
Cercetătorii au examinat LastPass, IPassword și MaskMe pentru Chrome și Firefox și OneLastPass pentru Chrome. Mai exact, ei s-au uitat când și cum au completat aceste parole administratorii de parole.
Rezultatul poate fi o surpriză pentru utilizatorii managerilor de parole, dar s-a găsit că toate cele patru programe examinate s-au comportat într-un fel sau altul.
HTTP vs HTTPS : Managerul de parole MaskMe nu face distincție între schemele HTTP și HTTPS, ceea ce înseamnă că va completa formularul de parolă indiferent de schemă. Acest lucru poate fi exploatat de către atacurile omului în mijloc.
Un atacator care se află în mijlocul mediului, spuneți într-o rețea publică fără fir, ar putea pur și simplu redirecționa victimele către versiunile HTTP false ale site-urilor web populare cu formulare de autentificare și JavaScript pe care le transmite automat după ce sunt completate automat de MaskMe. Oricine folosește MaskMe cu umplere automată activată (acesta este comportamentul implicit) și-ar putea fura rapid parolele furate prin simpla conectare la un punct de acces rău intenționat, iar victimele nu ar ști niciodată.
Trimiterea parolelor de la origini : S-a găsit că LastPass, OneLastPass și MaskMe trimiteau parole de proveniență accros. Ceea ce se înțelege prin aceasta este că administratorii de parole afectate vor completa și trimite informații de autentificare pe site-uri, chiar dacă adresa la care sunt trimise informațiile este diferită de site-ul pe care este utilizat utilizatorul.
Ignorați subdomeniile: Toți cei patru manageri de parole gestionează subdomenii egale cu domeniul root. Aceasta înseamnă că informațiile de conectare sunt completate pe domeniul rădăcină, dar și pe toate subdomeniile cu același nume de domeniu.
Pagina de logare : Toți managerii de parole examinați în studiu nu își limitează activitățile la o pagină de conectare care a fost utilizată anterior de utilizator. Dacă o autentificare a fost salvată pentru un nume de domeniu, toate formularele de autentificare de pe numele de domeniu sunt tratate ca atare, indiferent dacă au fost folosite anterior sau nu.
Aceste practici, unele tratate în acest mod pentru comoditate, pot pune utilizatorii în pericol, deoarece atacatorii pot folosi aceste probleme pentru a fura informații despre parolă.
Cercetătorii sugerează că utilizatorii nu folosesc funcționalitatea de completare automată și autentificare pe care o oferă unii manageri de parole. Toate companiile au fost informate despre rezultate.