Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Správci hesel jsou skvělými nástroji pro zvýšení bezpečnosti na internetu. Jak se ale ukazuje, ani tyto programy nejsou bez bezpečnostních chyb a mohou naopak uložená hesla nechtěně vystavit riziku.

Nový výzkum přišel se zjištěním, že přinejmenším 5 populárních správců hesel trpí bezpečnostní chybou, při které jsou hesla uživatele při běhu programu na pozadí ukládána v rozšifrované podobě. Chybou podle zjištění trpí i oblíbené programy 1Password, Dashlane, KeePass a LastPass. Jak je situace vážná?

Správce hesel je software fungující na jednoduchém principu. Uživatel si musí pamatovat jediné silné heslo, díky kterému se dostane do správce, kde se nachází ostatní jeho uložená hesla v zašifrované podobě.

Jako byste nechali klíče pod rohožkou

Etičtí hackeři z ISE objevili problém populárních správců hesel. Ne vždy totiž programy šifrují heslo při jeho ukládání do paměti počítače poté, co je program odemčený uživatelem a běží na pozadí. O to horší je situace u další objevené chyby, kdy nedochází ke smazání rozšifrovaného hesla z paměti počítače po uzamčení programu a odhlášení uživatele.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Aplikace 1Password podle zjištění skupiny uchovává hlavní heslo v paměti a selhává při jeho následném vymazání v případě, kdy se uživatel z aplikace odhlásí. V některých případech má být hlavní heslo dokonce viditelné při zamčeném softwaru. Nová verze 1Password7 takto uchovává v paměti všechna rozšifrovaná hesla a ukládá si je i poté, co dojde k uzamčení programu.

U aplikace Dashlane je takto uloženo pouze poslední aktivní heslo, ale v případě, že uživatel upraví některé z hesel, dojde k uložení nezaheslovaného seznamu hesel do paměti počítače. Tyto informace zde opět zůstávají i po odhlášení z aplikace.

Obrázek: Správce hesel není záruka: Hackeři našli chyby v 5 populárních programech

Ukázka prostředí programu KeePass pro správu hesel.

KeepPass a LastPass trpí podobnou chybou, kdy si některé z nezašifrovaných hodnot uchovávají v paměti počítače i po odhlášení uživatele. Nejlepším způsobem, jak takto nezabezpečená hesla skrýt, je úplné vypnutí programu po odhlášení.

Není třeba panikařit. Pokud máte dobře zabezpečený počítač, mělo by být vše v pořádku. Do problému se uživatel dostane až ve chvíli, kdy je napaden malwarem. Tento typ hrozeb není žádnou velkou novinkou a vývojáři o podobné možnosti napadení delší dobu vědí.

Nejlepší ochranou tak je i nadále opatrnost, používání bezpečných hesel a ideálně také dvoufázové ověření. Ani používání správců hesel není na škodu. Jen raději aktualizujte a pokud jej zrovna nevyužíváte, vypínejte jej.

nejnovější nejstarší nejlépe hodnocené
Upozornit na
Marek
Čtenář
Marek

Mám Sticky Password, který po pár vteřínách maže uložené heslo z mezipaměti

Obrázek: Kybernetické zabezpečení v době koronaviru: Ohrožena je práce z domova i nemocnice
Kybernetické zabezpečení v době koronaviru: Ohrožena je práce z domova i nemocnice
Obrázek: Zahnutý displej, 5G a nejlepší mobilní fotoaparát? Nový Huawei P40 Pro se obešel i bez služeb Googlu
Zahnutý displej, 5G a nejlepší mobilní fotoaparát? Nový Huawei P40 Pro se obešel i bez služeb Googlu
Obrázek: CoroVent: Čeští inženýři vyrobí extrémně levně 500 ventilátorů pro nakažené koronavirem, skládají se lidé z celé ČR
CoroVent: Čeští inženýři vyrobí extrémně levně 500 ventilátorů pro nakažené koronavirem, skládají se lidé z celé ČR
Obrázek: Máte nevyužitou 3D tiskárnu? Zapojte se do tisku respirátorů pro hasiče a záchranáře
Máte nevyužitou 3D tiskárnu? Zapojte se do tisku respirátorů pro hasiče a záchranáře
Obrázek: Rozhovor s odborníkem: YouTube a Netflix snižují kvalitu. Zvládne český internet současný nápor?
Rozhovor s odborníkem: YouTube a Netflix snižují kvalitu. Zvládne český internet současný nápor?
Obrázek: Respirátory z 3D tiskárny: Soubory jsou ke stažení zdarma, stačí použít filtry pro vysavače
Respirátory z 3D tiskárny: Soubory jsou ke stažení zdarma, stačí použít filtry pro vysavače
Obrázek: Ruce si myjeme, mobily jsou ale špinavější než záchodové prkénko: Jak správně vydezinfikovat telefon?
Ruce si myjeme, mobily jsou ale špinavější než záchodové prkénko: Jak správně vydezinfikovat telefon?
Obrázek: Jak najít název písničky podle zvuku? S rozeznáním hudby pomůže šikovná aplikace
Jak najít název písničky podle zvuku? S rozeznáním hudby pomůže šikovná aplikace
Obrázek: Amerika se inspiruje Evropou: USA připravují vlastní obdobu GDPR
Amerika se inspiruje Evropou: USA připravují vlastní obdobu GDPR

Šéf Applu Tim Cook spolu se senátory stále aktivněji tlačí do kongresu návrh americké verze kontroverzního evropského nařízení o ochraně...

Zavřít