Promisiunea managerilor de parole că nu pot vedea seifurile tale nu este întotdeauna adevărată
De-a lungul anilor, managerii de parole au câștigat popularitate, dar noile cercetări sugerează că afirmațiile lor despre modelul de „zero knowledge” nu sunt mereu corecte. Potrivit arstechnica.com, atacurile asupra infrastructurii serverelor acestora pot duce la compromisuri grave ale datelor utilizatorilor, inclusiv furtul seifurilor întregi.
👉 Creșterea utilizării și importanța parola managerilor
În ultimii 15 ani, managerii de parole au evoluat de la un instrument de securitate de nișă utilizat de cei pasionați de tehnologie la un instrument indispensabil pentru masa utilizatorilor, cu o estimare de 94 de milioane de adulți din SUA utilizându-i, reprezentând aproximativ 36% din aceștia. Ei stochează nu doar parole pentru pensionare, conturi financiare și adrese de email, ci și acreditive pentru criptomonedă, numere de carduri de plată și alte date sensibile.
👉 Problemele modelului „zero knowledge”
Toți cei opt manageri de parole de top au adoptat termenul de „zero knowledge” pentru a descrie sistemul complex de criptare pe care îl utilizează pentru a proteja datele stocate pe serverele lor. Definițiile variază ușor de la un furnizor la altul, dar, în general, acestea oferă o asigurare clară: nu există niciun mod prin care insiderii rău intenționați sau hackerii care compromit infrastructura cloud să poată fura seifurile sau datele stocate în acestea. Aceste promisiuni sunt de înțeles, având în vedere breșele anterioare de la LastPass și așteptarea rezonabilă că hackerii la nivel de stat au atât motivația cât și capacitatea de a obține seifurile de parole ale țintelor de mare valoare.
Unele dintre afirmațiile tipice sunt cele făcute de Bitwarden, Dashlane și LastPass, care împreună sunt utilizate de aproximativ 60 de milioane de persoane. De exemplu, Bitwarden afirmă că „nici măcar echipa de la Bitwarden nu poate citi datele tale (chiar dacă am dori).” Dashlane, pe de altă parte, susține că fără parola principală a utilizatorului, „actorii rău intenționați nu pot fura informațiile, chiar dacă serverele Dashlane sunt compromise.” LastPass declară că nimeni nu poate accesa „datele stocate în seiful tău LastPass, în afară de tine (nici măcar LastPass).”
Cercetări recente arată că aceste afirmații nu sunt întotdeauna adevărate, în special atunci când recuperarea contului este activată sau când managerii de parole sunt setați pentru a împărtăși seifuri sau a organiza utilizatorii în grupuri. Cercetătorii au analizat detaliat Bitwarden, Dashlane și LastPass și au identificat modalități prin care cineva cu control asupra serverului—fie că este vorba de acces administrativ sau ca rezultat al unei compromiteri—poate, de fapt, fura date și, în unele cazuri, întregi seifuri.
👉 Modalități de atac și vulnerabilități identificate
Cercetătorii au dezvoltat atacuri care pot slăbi criptarea până la punctul în care textul criptat poate fi convertit în text simplu. „Vulnerabilitățile pe care le descriem sunt numeroase, dar în mare parte nu sunt profunde din punct de vedere tehnic,” au scris cercetătorii de la ETH Zurich și USI Lugano. „Cu toate acestea, ele nu au fost identificate anterior, în ciuda mai mult de un deceniu de cercetare academică pe managerii de parole și a existenței mai multor audituri ale celor trei produse pe care le-am studiat.”
Cercetătorii au menționat că mai mulți alți manageri de parole pe care nu i-au analizat îndeaproape probabil suferă de aceleași defecte. Cel pe care au putut să-l numească a fost 1Password. Aproape toți managerii de parole, au adăugat ei, sunt vulnerabili la atacuri doar atunci când anumite funcții sunt activate. Cele mai severe dintre atacuri—vizând Bitwarden și LastPass—permit unui insider sau unui atacator să citească sau să scrie în conținutul întregilor seifuri. În unele cazuri, ele exploatează slăbiciuni în mecanismele de escrow al cheilor care permit utilizatorilor să recupereze accesul la conturile lor atunci când își pierd parola principală.
Alte atacuri vizează slăbiciunile în suportul versiunilor mai vechi ale managerului de parole. Un atac de furt al seifului împotriva Dashlane a permis citirea, dar nu și modificarea elementelor din seif atunci când acestea erau partajate cu alți utilizatori.
Concluzia cercetătorilor subliniază necesitatea măsurilor suplimentare de securitate în designul infrastructurii serverelor și atenția sporita la funcțiile activate.
