Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Správci hesel jsou skvělými nástroji pro zvýšení bezpečnosti na internetu. Jak se ale ukazuje, ani tyto programy nejsou bez bezpečnostních chyb a mohou naopak uložená hesla nechtěně vystavit riziku.

Nový výzkum přišel se zjištěním, že přinejmenším 5 populárních správců hesel trpí bezpečnostní chybou, při které jsou hesla uživatele při běhu programu na pozadí ukládána v rozšifrované podobě. Chybou podle zjištění trpí i oblíbené programy 1Password, Dashlane, KeePass a LastPass. Jak je situace vážná?

Správce hesel je software fungující na jednoduchém principu. Uživatel si musí pamatovat jediné silné heslo, díky kterému se dostane do správce, kde se nachází ostatní jeho uložená hesla v zašifrované podobě.

Jako byste nechali klíče pod rohožkou

Etičtí hackeři z ISE objevili problém populárních správců hesel. Ne vždy totiž programy šifrují heslo při jeho ukládání do paměti počítače poté, co je program odemčený uživatelem a běží na pozadí. O to horší je situace u další objevené chyby, kdy nedochází ke smazání rozšifrovaného hesla z paměti počítače po uzamčení programu a odhlášení uživatele.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Aplikace 1Password podle zjištění skupiny uchovává hlavní heslo v paměti a selhává při jeho následném vymazání v případě, kdy se uživatel z aplikace odhlásí. V některých případech má být hlavní heslo dokonce viditelné při zamčeném softwaru. Nová verze 1Password7 takto uchovává v paměti všechna rozšifrovaná hesla a ukládá si je i poté, co dojde k uzamčení programu.

U aplikace Dashlane je takto uloženo pouze poslední aktivní heslo, ale v případě, že uživatel upraví některé z hesel, dojde k uložení nezaheslovaného seznamu hesel do paměti počítače. Tyto informace zde opět zůstávají i po odhlášení z aplikace.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Ukázka prostředí programu KeePass pro správu hesel.

KeepPass a LastPass trpí podobnou chybou, kdy si některé z nezašifrovaných hodnot uchovávají v paměti počítače i po odhlášení uživatele. Nejlepším způsobem, jak takto nezabezpečená hesla skrýt, je úplné vypnutí programu po odhlášení.

Není třeba panikařit. Pokud máte dobře zabezpečený počítač, mělo by být vše v pořádku. Do problému se uživatel dostane až ve chvíli, kdy je napaden malwarem. Tento typ hrozeb není žádnou velkou novinkou a vývojáři o podobné možnosti napadení delší dobu vědí.

Nejlepší ochranou tak je i nadále opatrnost, používání bezpečných hesel a ideálně také dvoufázové ověření. Ani používání správců hesel není na škodu. Jen raději aktualizujte a pokud jej zrovna nevyužíváte, vypínejte jej.

avatar
1 Vlákna diskuze
0 Vláken s odpovědí
1 Sledujících
 
Komentář s nejvíce reakcemi
Nejrušnější vlákno komentářů
1 Autoři komentářů
Marek Autoři posledních komentářů
  Odebírat  
nejnovější nejstarší nejlépe hodnocené
Upozornit na
Marek
Čtenář
Marek

Mám Sticky Password, který po pár vteřínách maže uložené heslo z mezipaměti

Blockchain a kryptoměny Chytrá domácnost Chytrá města Chytrá věda Chytrá zábava Chytrá zařízení Chytré aplikace Chytré automobily Chytré studie Chytré technologie Chytré zprávy IoT Průmysl 4.0 Tiskové zprávy
Obrázek: Na britské 50librové bankovce se objeví Alan Turing: Prolomil Enigmu a stal se otcem počítačů
Na britské 50librové bankovce se objeví Alan Turing: Prolomil Enigmu a stal se otcem počítačů
Obrázek: Neznámí velikáni: Zemřel Fernando J. Corbató, průkopník multitaskingu a hesel
Neznámí velikáni: Zemřel Fernando J. Corbató, průkopník multitaskingu a hesel
Obrázek: Paradox: Facebook musí zaplatit 5 miliard dolarů – hodnota akcií mu tím stoupla
Paradox: Facebook musí zaplatit 5 miliard dolarů – hodnota akcií mu tím stoupla
Obrázek: Amerika se inspiruje Evropou: USA připravují vlastní obdobu GDPR
Amerika se inspiruje Evropou: USA připravují vlastní obdobu GDPR

Šéf Applu Tim Cook spolu se senátory stále aktivněji tlačí do kongresu návrh americké verze kontroverzního evropského nařízení o ochraně...

Zavřít