Popularne menedżery haseł z poważnymi lukami – tak twierdzą badacze z ETH Zurich. Sprawdź, czy Twoje dane są bezpieczne i co możesz teraz zrobić.
Menedżery haseł od lat uchodzą za jeden z fundamentów cyfrowego bezpieczeństwa. Przechowują dziesiątki, a nawet setki danych logowania w jednym, zaszyfrowanym miejscu – dostępnym z każdego urządzenia. Brzmi idealnie. Wielu użytkowników zaufało tej koncepcji na tyle, że przestało pamiętać własne hasła. Tymczasem najnowsze badania rzucają na tę układankę zupełnie inne światło.
Obietnica, która nie wytrzymała próby
Naukowcy z ETH Zurich oraz Università della Svizzera Italiana opublikowali wyniki analizy, która podważa fundamentalne założenia bezpieczeństwa trzech popularnych menedżerów haseł – Bitwarden, LastPass i Dashlane. Łącznie korzysta z nich ponad 60 milionów użytkowników.
Zero Knowledge Encryption – marketing zamiast ochrony
Wszystkie trzy serwisy promują swoje usługi pod hasłem „Zero Knowledge Encryption”. Chodzi o przekaz, że dane przechowywane na serwerach usługodawcy są niemożliwe do odczytania nawet przez samą firmę. Jeśli ktoś włamie się na serwer, i tak nic nie znajdzie – tak przynajmniej głosi obietnica.
Badacze określili to podejście jako mające charakter marketingowy, a nie czysto techniczny. Przeprowadzili szereg praktycznych ataków i wykazali, że takie zapewnienia nie zawsze mają pokrycie w rzeczywistości. Ataki działały nawet tam, gdzie stosowano uwierzytelnione szyfrowanie. Powodem okazało się niewystarczające oddzielenie kluczy kryptograficznych w skarbcach o złożonej strukturze oraz brak wiązania kryptograficznego między danymi a ich metadanymi. Tak właśnie opisali to autorzy badania: Matteo Scarlata, Giovanni Torrisi, Matilda Backendal i Kenneth G. Paterson.
Co udało się przejąć?
W jednym ze scenariuszy badacze przejęli całe konta użytkowników, korzystając z podatności w mechanizmach udostępniania kont i depozytu kluczy. W innym – brak integralności zaszyfrowanych danych umożliwił podmianę kluczy i przeprowadzenie ataku na skarbiec z hasłami. Efekt końcowy większości tych działań był identyczny: odczytanie haseł. A to jest coś, przed czym menedżery haseł mają wprost chronić.
Podatności zgłoszono producentom dotkniętych usług. Wszystkie trzy firmy potwierdziły, że prace nad poprawkami są w toku.
Co możesz teraz zrobić?
Choć brzmi to niepokojąco, eksperci podkreślają, że opisane ataki wymagają wcześniejszego przejęcia serwerów usługodawcy – a żaden z trzech serwisów nie padł jak dotąd ofiarą takiego incydentu. Mimo to warto zachować ostrożność.
Przede wszystkim warto upewnić się, że korzystasz z najnowszej wersji aplikacji lub rozszerzenia przeglądarki – producenci już wdrażają poprawki. Jeśli zależy Ci na jak najwyższym poziomie ochrony, sprawdź, czy Twój menedżer haseł przeszedł niezależny audyt bezpieczeństwa i czy domyślnie oferuje szyfrowanie end-to-end. Najważniejsze hasła – do konta bankowego, skrzynki e-mail czy poczty firmowej – warto zabezpieczyć dodatkowym czynnikiem uwierzytelniania (tzw. 2FA). Sam menedżer haseł to wciąż jedno z lepszych narzędzi dostępnych dla zwykłego użytkownika, jednak żadne oprogramowanie nie daje stuprocentowej gwarancji.
Źródło: WindowsCentral
