Výzkum poukázal na nedostatky správců hesel. Je možné získat hesla z paměti

21. 2. 2019

Sdílet

Databáze je dobře chráněná, takže ji těžko někdo prolomí, pokud si ovšem nevyberte slabé hlavní heslo. Ze správců je však možná aspoň některá hesla získat, když běží. Zanechávají totiž stopy v paměti.

Bez hesel se neobejdeme, takže nám nezbývá než doporučovat, abyste generovali unikátní komplexní hesla a ideálně je i pravidelně měnili. S ohledem na situaci se stále více přikláníme k používání správců hesel, bez nich je zkrátka takřka nemožné důsledně dodržovat nejen vyjmenované bezpečnostní praktiky. Výzkum Independent Security Evaluators bohužel ukázal, že i oni mají svá slabá místa.

Přestože se ohání silným šifrováním a stojí na principu silného hlavního hesla, které byste za tímto účelem měli zvolit co nejdelší a nejkomplexnější, dělají určité až začátečnické chyby, které mohou vést k tomu, že se někdo cizí dostane k vašim přihlašovacím nebo jiným uloženým údajům. Ovšem jen za specifických podmínek. Zjištění nelze snadno paušalizovat – předmětem zkoumání se staly 1Password4, 1Password7, Dashlane, KeePassLastPass.

Studie ochranu proti nechtěnému vpádu považuje za dostatečnou u všech řešení, pokud neběží, tj. v uloženém stavu nečinně přebývají na úložišti. V takovém případě by případní útočníci nebo útočnice museli získanou databázi napadnou leda tvrdou silou, což by v případě silného hesla nemělo mít reálnou šanci na úspěch. Potud je tedy všechno v pořádku.

Sanitizace paměti? Tam správci selhávají

Všichni správci se pak pokouší po použití vymazat svůj obsah z paměti zařízení. V tomto už ale selhávají. Z lišících se důvodů nezvládají proces sanitizace, což ve zkratce znamená, že kdyby někdo chtěl získat vaše přihlašovací údaje z chráněné databáze, má šanci, pokud tedy činnost programu není ukončená. Lze předpokládat, že většinu času program pracuje, protože ho potřebujete průběžně používat.

ICTS24

Podle autorského týmu studie by ani v tzv. odemčeném stavu správci nikdy neměli do paměti ukládat uložené záznamy. V žádné podobě by v tomto stavu nemělo být uložené ani hlavní heslo. Zkoumané programy ale nejsou odolné ani vůči relativně základním metodám prozkoumávání obsahu schránky nebo zaznamenávání stisků kláves. Jenže s tím mnoho neudělají, tyto útoky se mohou dotknout jakéhokoli programu.

Kompletní podobu výzkumu si můžete pročíst na webu Independent Security Evaluators, případně na jejich blogu. I s ohledem na omezený počet aplikací cílem výzkumu není drtivá kritika, ale spíše zavedení minimálních bezpečnostních praktik, které by měly dodržovat všechny nástroje na správu hesel.