Správce hesel není záruka: Hackeři našli chyby v 5 programech

Správci hesel jsou skvělými nástroji pro zvýšení bezpečnosti na internetu. Jak se ale ukazuje, ani tyto programy nejsou bez bezpečnostních chyb a mohou naopak uložená hesla nechtěně vystavit riziku.

Nový výzkum přišel se zjištěním, že přinejmenším 5 populárních správců hesel trpí bezpečnostní chybou, při které jsou hesla uživatele při běhu programu na pozadí ukládána v rozšifrované podobě. Chybou podle zjištění trpí i oblíbené programy 1Password, Dashlane, KeePass a LastPass. Jak je situace vážná?

Správce hesel je software fungující na jednoduchém principu. Uživatel si musí pamatovat jediné silné heslo, díky kterému se dostane do správce, kde se nachází ostatní jeho uložená hesla v zašifrované podobě.

Jako byste nechali klíče pod rohožkou

Etičtí hackeři z ISE objevili problém populárních správců hesel. Ne vždy totiž programy šifrují heslo při jeho ukládání do paměti počítače poté, co je program odemčený uživatelem a běží na pozadí. O to horší je situace u další objevené chyby, kdy nedochází ke smazání rozšifrovaného hesla z paměti počítače po uzamčení programu a odhlášení uživatele.

Aplikace 1Password podle zjištění skupiny uchovává hlavní heslo v paměti a selhává při jeho následném vymazání v případě, kdy se uživatel z aplikace odhlásí. V některých případech má být hlavní heslo dokonce viditelné při zamčeném softwaru. Nová verze 1Password7 takto uchovává v paměti všechna rozšifrovaná hesla a ukládá si je i poté, co dojde k uzamčení programu.

U aplikace Dashlane je takto uloženo pouze poslední aktivní heslo, ale v případě, že uživatel upraví některé z hesel, dojde k uložení nezaheslovaného seznamu hesel do paměti počítače. Tyto informace zde opět zůstávají i po odhlášení z aplikace.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Ukázka prostředí programu KeePass pro správu hesel.

KeepPass a LastPass trpí podobnou chybou, kdy si některé z nezašifrovaných hodnot uchovávají v paměti počítače i po odhlášení uživatele. Nejlepším způsobem, jak takto nezabezpečená hesla skrýt, je úplné vypnutí programu po odhlášení.

Není třeba panikařit. Pokud máte dobře zabezpečený počítač, mělo by být vše v pořádku. Do problému se uživatel dostane až ve chvíli, kdy je napaden malwarem. Tento typ hrozeb není žádnou velkou novinkou a vývojáři o podobné možnosti napadení delší dobu vědí.

Nejlepší ochranou tak je i nadále opatrnost, používání bezpečných hesel a ideálně také dvoufázové ověření. Ani používání správců hesel není na škodu. Jen raději aktualizujte a pokud jej zrovna nevyužíváte, vypínejte jej.