Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Správci hesel jsou skvělými nástroji pro zvýšení bezpečnosti na internetu. Jak se ale ukazuje, ani tyto programy nejsou bez bezpečnostních chyb a mohou naopak uložená hesla nechtěně vystavit riziku.

Nový výzkum přišel se zjištěním, že přinejmenším 5 populárních správců hesel trpí bezpečnostní chybou, při které jsou hesla uživatele při běhu programu na pozadí ukládána v rozšifrované podobě. Chybou podle zjištění trpí i oblíbené programy 1Password, Dashlane, KeePass a LastPass. Jak je situace vážná?

Správce hesel je software fungující na jednoduchém principu. Uživatel si musí pamatovat jediné silné heslo, díky kterému se dostane do správce, kde se nachází ostatní jeho uložená hesla v zašifrované podobě.

Jako byste nechali klíče pod rohožkou

Etičtí hackeři z ISE objevili problém populárních správců hesel. Ne vždy totiž programy šifrují heslo při jeho ukládání do paměti počítače poté, co je program odemčený uživatelem a běží na pozadí. O to horší je situace u další objevené chyby, kdy nedochází ke smazání rozšifrovaného hesla z paměti počítače po uzamčení programu a odhlášení uživatele.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Aplikace 1Password podle zjištění skupiny uchovává hlavní heslo v paměti a selhává při jeho následném vymazání v případě, kdy se uživatel z aplikace odhlásí. V některých případech má být hlavní heslo dokonce viditelné při zamčeném softwaru. Nová verze 1Password7 takto uchovává v paměti všechna rozšifrovaná hesla a ukládá si je i poté, co dojde k uzamčení programu.

U aplikace Dashlane je takto uloženo pouze poslední aktivní heslo, ale v případě, že uživatel upraví některé z hesel, dojde k uložení nezaheslovaného seznamu hesel do paměti počítače. Tyto informace zde opět zůstávají i po odhlášení z aplikace.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Ukázka prostředí programu KeePass pro správu hesel.

KeepPass a LastPass trpí podobnou chybou, kdy si některé z nezašifrovaných hodnot uchovávají v paměti počítače i po odhlášení uživatele. Nejlepším způsobem, jak takto nezabezpečená hesla skrýt, je úplné vypnutí programu po odhlášení.

Není třeba panikařit. Pokud máte dobře zabezpečený počítač, mělo by být vše v pořádku. Do problému se uživatel dostane až ve chvíli, kdy je napaden malwarem. Tento typ hrozeb není žádnou velkou novinkou a vývojáři o podobné možnosti napadení delší dobu vědí.

Nejlepší ochranou tak je i nadále opatrnost, používání bezpečných hesel a ideálně také dvoufázové ověření. Ani používání správců hesel není na škodu. Jen raději aktualizujte a pokud jej zrovna nevyužíváte, vypínejte jej.

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Marek

Mám Sticky Password, který po pár vteřínách maže uložené heslo z mezipaměti

Obrázek: Počítač poháněný fotosyntézou?
Počítač poháněný fotosyntézou?
Obrázek: Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Kurýři přijdou o práci: Uber Eats testuje autonomní roboty a auta bez řidičů
Obrázek: Konec Lightningu? Apple údajně plánuje USB-C iPhony
Konec Lightningu? Apple údajně plánuje USB-C iPhony
Obrázek: Immersive View na Google Maps: Krásnější a přesnější města
Immersive View na Google Maps: Krásnější a přesnější města
Obrázek: Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Dost bylo vibrací a stresujících vyzvánění. Google zkouší stíny, pohyb i vítr
Obrázek: Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Nový podvod útočí na české telefony s Androidem! Vydává se za zmeškanou hlasovou zprávu
Obrázek: 5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
5 chyb, kterým se vyvarovat při nákupu chytrého telefonu
Obrázek: Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti
Prohlížeč v prohlížeči: Na promyšlený internetový útok naletí i zkušení IT experti