De-a lungul ultimilor 15 ani, managerii de parole au evoluat de la unelte de securitate de nișă, folosite de entuziaștii tehnologiei, la instrumente esențiale de securitate pentru mase. Se estimează că aproximativ 94 de milioane de adulți din SUA, adică în jur de 36%, utilizează aceste servicii. Aceștia păstrează în siguranță nu doar parolele pentru conturi de pensii, financiare și de email, dar și credențiale pentru criptomonede, numere de carduri de plată și alte date sensibile.
Toate cele opt cele mai utilizate servicii de management al parolelor adoptă termenul „zero cunoștințe” pentru a descrie sistemul complex de criptare folosit pentru a proteja „seifurile” de date pe care utilizatorii le stochează pe serverele lor. Definițiile variază ușor de la un furnizor la altul, dar în general, acestea se rezumă la o asigurare îndrăzneață: nu există nicio modalitate prin care persoane rău-intenționate din interior sau hackeri care reușesc să compromită infrastructura cloud să fure seifurile sau datele stocate în ele. Aceste promisiuni par logice, având în vedere breșele anterioare de la LastPass și așteptările rezonabile ca hackerii la nivel de stat să aibă atât motivul, cât și capacitatea de a obține seifurile de parole ale țintelor de înaltă valoare.
Tipice pentru aceste afirmații sunt cele făcute de Bitwarden, Dashlane și LastPass, care împreună sunt utilizate de aproximativ 60 de milioane de persoane. Bitwarden, de exemplu, afirmă că „nici măcar echipa de la Bitwarden nu poate citi datele tale (chiar dacă ar dori).” Dashlane, pe de altă parte, susține că fără parola principală a unui utilizator, „actorii rău-intenționați nu pot fura informațiile, chiar dacă serverele Dashlane sunt compromise.” LastPass declară că nimeni nu poate accesa „datele stocate în seiful tău LastPass, exceptându-te pe tine (nici măcar LastPass).”
Noi cercetări arată că aceste afirmații nu sunt adevărate în toate cazurile, în special când este activată recuperarea contului sau când managerii de parole sunt setați să partajeze seifuri sau să organizeze utilizatorii în grupuri. Cercetătorii au dezasamblat sau analizat îndeaproape Bitwarden, Dashlane și LastPass și au identificat modalități prin care cineva cu control asupra serverului – fie administrativ, fie ca rezultat al unei compromiteri – poate, de fapt, să fure date și, în unele cazuri, întregi seifuri. Cercetătorii au conceput de asemenea alte atacuri care pot slăbi criptarea până la punctul în care textul cifrat poate fi convertit în text clar.
„Vulnerabilitățile pe care le descriem sunt numeroase, dar nu sunt profund tehnice,” au scris cercetătorii de la ETH Zurich și USI Lugano. „Cu toate acestea, acestea nu au fost descoperite anterior, în ciuda mai mult de un deceniu de cercetare academică asupra managerilor de parole și a existenței multiplelor audituri ale celor trei produse pe care le-am studiat. Acest lucru motivează un efort suplimentar, atât teoretic, cât și practic.”
Cercetătorii au declarat în interviuri că mai mulți alți manageri de parole pe care nu i-au analizat atât de îndeaproape, probabil suferă de aceleași defecte. Singurul pe care au avut libertatea să-l numească a fost 1Password. Aproape toți managerii de parole, au adăugat ei, sunt vulnerabili la atacuri doar când anumite funcții sunt activate.
Sursa: Ars Tehnica Technology
Poll: Care dintre următoarele afirmații este cea mai importantă pentru tine atunci când utilizezi un manager de parole?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply