Výzkum poukázal na nedostatky správců hesel. Je možné získat hesla z paměti

Databáze je dobře chráněná, takže ji těžko někdo prolomí, pokud si ovšem nevyberte slabé hlavní heslo. Ze správců je však možná aspoň některá hesla získat, když běží. Zanechávají totiž stopy v paměti.

14
zamek lock 1600
Ilustrační foto (autorka: MabelAmber / Pixabay.com / upravil: Petr Urban)

Bez hesel se neobejdeme, takže nám nezbývá než doporučovat, abyste generovali unikátní komplexní hesla a ideálně je i pravidelně měnili. S ohledem na situaci se stále více přikláníme k používání správců hesel, bez nich je zkrátka takřka nemožné důsledně dodržovat nejen vyjmenované bezpečnostní praktiky. Výzkum Independent Security Evaluators bohužel ukázal, že i oni mají svá slabá místa.

Přestože se ohání silným šifrováním a stojí na principu silného hlavního hesla, které byste za tímto účelem měli zvolit co nejdelší a nejkomplexnější, dělají určité až začátečnické chyby, které mohou vést k tomu, že se někdo cizí dostane k vašim přihlašovacím nebo jiným uloženým údajům. Ovšem jen za specifických podmínek. Zjištění nelze snadno paušalizovat – předmětem zkoumání se staly 1Password4, 1Password7, Dashlane, KeePassLastPass.

Studie ochranu proti nechtěnému vpádu považuje za dostatečnou u všech řešení, pokud neběží, tj. v uloženém stavu nečinně přebývají na úložišti. V takovém případě by případní útočníci nebo útočnice museli získanou databázi napadnou leda tvrdou silou, což by v případě silného hesla nemělo mít reálnou šanci na úspěch. Potud je tedy všechno v pořádku.

Sanitizace paměti? Tam správci selhávají

Všichni správci se pak pokouší po použití vymazat svůj obsah z paměti zařízení. V tomto už ale selhávají. Z lišících se důvodů nezvládají proces sanitizace, což ve zkratce znamená, že kdyby někdo chtěl získat vaše přihlašovací údaje z chráněné databáze, má šanci, pokud tedy činnost programu není ukončená. Lze předpokládat, že většinu času program pracuje, protože ho potřebujete průběžně používat.

Podle autorského týmu studie by ani v tzv. odemčeném stavu správci nikdy neměli do paměti ukládat uložené záznamy. V žádné podobě by v tomto stavu nemělo být uložené ani hlavní heslo. Zkoumané programy ale nejsou odolné ani vůči relativně základním metodám prozkoumávání obsahu schránky nebo zaznamenávání stisků kláves. Jenže s tím mnoho neudělají, tyto útoky se mohou dotknout jakéhokoli programu.

Kompletní podobu výzkumu si můžete pročíst na webu Independent Security Evaluators, případně na jejich blogu. I s ohledem na omezený počet aplikací cílem výzkumu není drtivá kritika, ale spíše zavedení minimálních bezpečnostních praktik, které by měly dodržovat všechny nástroje na správu hesel.

Výzkum poukázal na nedostatky správců hesel. Je možné získat hesla z paměti
Ohodnoťte tento článek!
3.4 (68.57%) 14 hlas/ů

14 KOMENTÁŘE

  1. hm.. Nedokážu si představit, jak by se dala uživatelsky přijemně splnit podmínka nedostupnosti master hesla nebo dekryptovaných hesel v paměti. 😀 V okamžiku, kdy se má heslo ukázat, tak tam prostě bude a jakékoli mazání jen znamená, že program bude uživatele jen dokola prudit o master heslo.

        • Bankám stačí na všechno otisk, takže to falšování pro běžného Frantu nebude problém a pokud na něj bude někdo mířit zbraní, tak vydá i heslo.

          Nejsnadnější cesta ven je 2FA, ale to by 2FA musely třeba banky podporovat jinak než formou SMS.

            • Divné, že jste tedy nepřišel s vlastním konceptem zabezpečení. Neprolomitelnym a soucasne uzivatele neotravujici.

            • Svůj koncept mám. 🙂 Jen zřejmě není kompatibilní s většinou.

              Jinak osobně nechápu, k čemu je dvoufaktor pro uživatele, který má bankovnictví v telefonu, na který mu chodí i potvrzovací SMS – zejména pokud drtivá většina populace ignoruje zabezpečení a do telefonů instaluje kde co (a samozřejmě povoluje vše, oč si aplikace řekne).

    • V tom reportu se dá najít, že asi nejčastějši slabina je, že dešifrovaná hesla v paměti jsou i tehdy, pokud se správce hesel zase zamkne a čeká na opětovné zadání master hesla. Zrovna to je jen odfláknutá bezpečnost, která by neměla žádný dopad na uživatelský komfort.

      • když se koukneš na matrici děr (https://www.securityevaluators.com/wp-content/uploads/2019/02/Picture21.jpg), tak u keepassu (který shodou okolností používám) jsou dohledatelné pouze záznamy, se kterými bylo pracováno. Souhlasím ale, že scrubbing otevřených záznamů v obou stavech aplikace by mohl a měl být dokonalejší. To nicméně nic neřeší v okamžiku, kdy je nějakým způsobem kompromitován celý systém.

        Za mně je nejhorší případ, že v paměti zůstane master heslo i celý set hesel (1Password7), případně master heslo (LastPass).

        Osobně navíc Keepass nemám běžně ani spuštěný/otevřený, pouze jej spustím v okamžiku, kdy jej potřebuju a následně jej zase komplet zavírám (tedy ukončuji aplikaci).

        • Pokud uživatel nemá stále zadávat heslo, tak musí být v paměti buď master heslo nebo dešifrovaná hesla (maximálně se to dá “schovat”, ať nejde vyhledávat plaintextem), ale souhlasím, že stačí jen jedno z toho. Pak se stejně dá udělat jednoduchý monitor na clipboard a ta hesla si prostě kopírovat takhle, proti tomu neochrání žádný správce hesel.

          KeePass je primárně desktop aplikace, zatímco u 1Password i LastPass by mě zajímalo, jak si vedou rozšíření do prohlížečů. U těch dvou si troufám říct, že jejich desktop aplikace “nikoho” nezajímá, protože nejčastěji se doplňují přihlašovací údaje někam na stránku.