Исследователи из Калифорнийского университета в Беркли выполнили анализ безопасности знаменитых менеджеров для хранения паролей, среди которых такие как NeedMyPassword, LastPass, My1Login, RoboForm и PasswordBox.
В этих парольных веб-менеджерах обнаружены бреши, которые дают возможность преступнику воровать учётные данные юзера.
Мы отыскали бреши в разных функциях, таких как например одноразовые пароли, коллективные пароли и букмарклеты
, говорилось в опубликованном научном труде: http://devd.me/papers/pwdmgr-usenix14.pdf. Источники появления ошибок также различаются, от неверного понимания модели безопасности веб-приложений до ошибок аутентификации, в дополнение к классическим брешам типа XSS и CSRF".
Авторы исследования обращают внимание на то, что распространение уязвимых менеджеров паролей лишь портит обстоятельство с безопасностью данных в сети Интернет, потому что они являются критическими узлами — т.е., брешь в одной точке компрометирует ИТ безопасность одновременно на других веб-сайтах, на которых юзер выполнял регистрацию.
Данные о брешах переданы разработчикам ПО. В отчётах исследования не были опубликованы тех. детали уязвимостей, а эксплоиты (exploit) не выкладывались для открытого доступа. Авторы четырёх из пяти затронутых менеджеров паролей, за исключением NeedMyPassword, оперативно среагировали на сообщение и устранили уязвимости.
Потому, как мониторинг мы проводили в ручном режиме, то по всей вероятности в программах сохранились иные бреши
, — предупреждают авторы исследования. Они также сообщили, что уже начали работу над инструментом для автоматического поиска брешей, а сами в частности собираются создать совершенно защищённый и надёжный менеджер паролей.
Вместе с тем разработчики программы LastPass рекомендуют юзерам, которые использовали программу до сентября 2013 года, сменить мастер-пароль: http://blog.lastpass.com/2014/07/a-note-from-lastpass.html.
Мы же от себя настоятельно рекомендуем пароли для доступа к онлайн-банкингу хранить в голове или же в зашифрованных архивах, но никогда во всяких веб-менеджерах паролей!
