Sono state identificate vulnerabilità nei gestori di password in esecuzione su Windows 10. Independent Security Evaluators, con sede nel Maryland, ha pubblicato un rapporto all'inizio di questa settimana che mostra i risultati dell'esame su un certo numero di gestori di password popolari.

"In questo documento proponiamo garanzie di sicurezza che i gestori di password dovrebbero offrire ed esaminare il funzionamento sottostante di cinque popolari gestori di password destinati alla piattaforma Windows 10, " loro hanno detto.

Cancellare i segreti dalla memoria quando non sono in uso? Questo è ciò che le autorità avevano inizialmente previsto che sarebbe successo nei gestori di password. Una "sanificazione della memoria una volta che un gestore di password è stato disconnesso e messo in uno stato bloccato"? Questo è quello che hanno anticipato, pure.

Allora cosa è successo quando hanno proceduto? Hanno detto che "l'estrazione di segreti banali era possibile da un gestore di password bloccato, inclusa la password principale in alcuni casi."

Charlie Osborne in ZDNet riassume i risultati, scrivendo che "ISE è stato in grado di estrarre queste password e altre credenziali di accesso dalla memoria mentre il gestore di password in questione era bloccato".

PCWorld nel 2017 ha definito un gestore di password come "un'app che ricorda le tue password per te e le memorizza in un deposito crittografato. Una password principale sblocca il deposito quando è necessario recuperare una password o crearne una nuova, e lo fa senza che nessuno sia in grado di leggere ciò che scrivi al di sopra delle tue spalle o tenere traccia del login con un keylogger."

Osborne ha detto in un esempio, "la password principale che gli utenti devono utilizzare per accedere alla cache delle credenziali è stata memorizzata nella RAM del PC in un testo semplice, formato leggibile."

Questa non sarebbe la prima volta che vengono sollevate preoccupazioni sul mettere tutte le uova nello stesso paniere. Né sarà l'ultima volta che ascolterai tutte le controargomentazioni che, rischio a parte, vale comunque la pena utilizzare un gestore di password che è stato scelto con cura.

PCWorld nel 2017 è solo uno dei tanti siti che esprimono l'opinione che "nonostante problemi di bug e un mercato invaso da scelte buone e cattive, gli esperti di sicurezza concordano, una rarità, che i gestori di password sono il modo più sicuro per le persone di gestire i propri account. I vantaggi per la sicurezza superano di gran lunga i rischi".

Il registro nel 2019 sarebbe d'accordo, anche con i risultati di questo recente rapporto. "I gestori di password possono lasciare i tuoi gioielli della corona online 'esposti nella RAM' al malware, ma ehi, sono ancora meglio dell'alternativa." Questo era il titolo all'inizio di questa settimana.

Inoltre, le carenze di sicurezza rivelate da ISE sono state descritte da Il registro come "leggermente fastidioso" e "non finale del mondo".

Questa visione risuona con ciò che ha detto lo sviluppatore di sicurezza di 1Password Jeffrey Goldberg PCMag in una e-mail. "La minaccia realistica di questo problema è limitata, " ha dichiarato. "Nessun gestore di password (o qualsiasi altra cosa) può promettere di funzionare in modo sicuro su un computer compromesso".

"Il rapporto non suggerisce in alcun modo di non utilizzare un gestore di password, " disse Nichols.

Per essere sicuro, gli autori erano abbastanza chiari sul fatto che i loro risultati non supportassero alcuna conclusione secondo cui i gestori di password non erano solo inutili ma anche rischiosi. "Innanzitutto, " hanno affermato gli autori di ISE, "I gestori di password sono una buona cosa. Tutti i gestori di password che abbiamo esaminato aggiungono valore alla posizione di sicurezza della gestione dei segreti, e come Troy Hunt, un ricercatore di sicurezza attivo una volta ha scritto, 'I gestori di password non devono essere perfetti, devono solo essere meglio che non averne uno."

La loro intenzione nel documento non era "criticare specifiche implementazioni di gestori di password, " ma piuttosto "per stabilire una base di riferimento minima ragionevole a cui tutti i gestori di password dovrebbero attenersi".

Tutto sommato, uno sta esaminando un problema di gestione delle password principalmente di "gestione sicura della memoria".

Shaun Nichols in Il registro ha visto un filo conduttore tra quattro gestori di password che ha lasciato le password - "o la password principale o le credenziali individuali - accessibili in memoria. Ciò consentirebbe potenzialmente malware su un sistema, particolare malware con diritti di amministratore, per ottenere quelle password."

Gli autori del rapporto hanno sottolineato nelle loro conclusioni che "Ogni gestore di password ha anche tentato di cancellare i segreti dalla memoria. Ma sono rimasti buffer residui che contenevano segreti, molto probabilmente a causa di perdite di memoria, riferimenti di memoria persi, o framework GUI complessi che non espongono meccanismi di gestione della memoria interna per disinfettare i segreti."

Paul Lilly in HotHardware commentato. "La conclusione sembra essere che usare un gestore di password sia ancora saggio, ma ci sono margini di miglioramento".

Posta delle minacce , nel frattempo, portato numero di risposte significative da aziende di password manager.

Sandor Palfy, CTO di LastPass, ha affermato che la vulnerabilità evidenziata da ISE era presente in un'applicazione Windows "legacy", e che il gestore di password LastPass ha già ricevuto un aggiornamento per ridurre al minimo i rischi.

Emmanuel Schalit, CEO di Dashlane, detto una volta che il dispositivo è compromesso, un utente malintenzionato finirà per avere accesso a qualsiasi cosa sul dispositivo e non c'è modo di impedirlo efficacemente.

ISE aveva una serie di raccomandazioni, secondo PCMag . Tra i loro consigli c'erano (1) utilizzare prodotti antivirus affidabili (2) chiudere completamente un gestore di password una volta terminato.

© 2019 Scienza X Rete