Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Správci hesel jsou skvělými nástroji pro zvýšení bezpečnosti na internetu. Jak se ale ukazuje, ani tyto programy nejsou bez bezpečnostních chyb a mohou naopak uložená hesla nechtěně vystavit riziku.

Nový výzkum přišel se zjištěním, že přinejmenším 5 populárních správců hesel trpí bezpečnostní chybou, při které jsou hesla uživatele při běhu programu na pozadí ukládána v rozšifrované podobě. Chybou podle zjištění trpí i oblíbené programy 1Password, Dashlane, KeePass a LastPass. Jak je situace vážná?

Správce hesel je software fungující na jednoduchém principu. Uživatel si musí pamatovat jediné silné heslo, díky kterému se dostane do správce, kde se nachází ostatní jeho uložená hesla v zašifrované podobě.

Jako byste nechali klíče pod rohožkou

Etičtí hackeři z ISE objevili problém populárních správců hesel. Ne vždy totiž programy šifrují heslo při jeho ukládání do paměti počítače poté, co je program odemčený uživatelem a běží na pozadí. O to horší je situace u další objevené chyby, kdy nedochází ke smazání rozšifrovaného hesla z paměti počítače po uzamčení programu a odhlášení uživatele.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Aplikace 1Password podle zjištění skupiny uchovává hlavní heslo v paměti a selhává při jeho následném vymazání v případě, kdy se uživatel z aplikace odhlásí. V některých případech má být hlavní heslo dokonce viditelné při zamčeném softwaru. Nová verze 1Password7 takto uchovává v paměti všechna rozšifrovaná hesla a ukládá si je i poté, co dojde k uzamčení programu.

U aplikace Dashlane je takto uloženo pouze poslední aktivní heslo, ale v případě, že uživatel upraví některé z hesel, dojde k uložení nezaheslovaného seznamu hesel do paměti počítače. Tyto informace zde opět zůstávají i po odhlášení z aplikace.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Ukázka prostředí programu KeePass pro správu hesel.

KeepPass a LastPass trpí podobnou chybou, kdy si některé z nezašifrovaných hodnot uchovávají v paměti počítače i po odhlášení uživatele. Nejlepším způsobem, jak takto nezabezpečená hesla skrýt, je úplné vypnutí programu po odhlášení.

Není třeba panikařit. Pokud máte dobře zabezpečený počítač, mělo by být vše v pořádku. Do problému se uživatel dostane až ve chvíli, kdy je napaden malwarem. Tento typ hrozeb není žádnou velkou novinkou a vývojáři o podobné možnosti napadení delší dobu vědí.

Nejlepší ochranou tak je i nadále opatrnost, používání bezpečných hesel a ideálně také dvoufázové ověření. Ani používání správců hesel není na škodu. Jen raději aktualizujte a pokud jej zrovna nevyužíváte, vypínejte jej.

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Marek

Mám Sticky Password, který po pár vteřínách maže uložené heslo z mezipaměti

Obrázek: Co dokáže domácí robot Optimus od Tesly? Elon Musk představil podrobnosti
Co dokáže domácí robot Optimus od Tesly? Elon Musk představil podrobnosti
Obrázek: Vyznáte se v USB? Nová označení mají vše zjednodušit
Vyznáte se v USB? Nová označení mají vše zjednodušit
Obrázek: Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Obrázek: Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Obrázek: Co je to spyware a jak se proti němu bránit?
Co je to spyware a jak se proti němu bránit?
Obrázek: BeReal: Jak funguje sociální síť bez přetvářky?
BeReal: Jak funguje sociální síť bez přetvářky?
Obrázek: Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Obrázek: Jak zmizet z internetu beze stopy?
Jak zmizet z internetu beze stopy?